Proceso netsh.exe consume 2GB RAM con FortiClientVpn

Perdón, olvidé comentarte. En otra pc donde no tenía sincronizado Chrome no encontré nada (ni con malwarebytes ni con adwcleaner), sincronicé y pasé otra vez y no encontró nada.

En esta pc luego pasé adwcleaner. Encontró esto AdwCleaner[S10].txt (3,9 KB) Y limpié AdwCleaner[C10].txt (2,5 KB)

Nota: me avisa sobre poner en cuarentena software preinstalado Lenovo. No tildo para poner en cuarentena porque no me dice que es malware, no entiendo por qué me lo informa.

Hola @Sebastian_Pereira

Antes de reinstalar Google Chrome, realiza un Análisis Personalizado que fue lo que te indique, demora un poco mas, pero analiza todo el equipo.

Antes de reinstalar Forti, como instalaste y desinstalaste con varias versiones prueba el comando de desinstalación desde CMD o Powershell con derechos de administrador.

  • Abrir un cmd o un Powershell con permisos de administrador (botón derecho y ejecutar como administrador).
  • Ejecutar el siguiente comando:

wmic product where "name like 'Forti%%'" call uninstall /nointeractive

y darle al Enter.

Reinicias, e intentas una nueva instalación limpia descargándolo desde su pagina oficial.

Ahora me pregunto, al ser un programa pago, tienes una licencia valida o la estabas instalando pirata?

Salu2

Hola!

Hice el análisis personalizado y ya no encontró nada. Hice la desinstalación como me indicaste.

Luego volví a instalar. Tené en cuenta que el producto pago es el server, no el cliente VPN que es el que utilizo, así que cero pirata. Pero ahora no se conecta, no tengo el proceso netsh consumiendo recursos (bien por eso!) pero no logro que se conecte. Ya añadí la exclusión del firewall también.

Por otro lado, no entendí si me pediste que reinstale Chrome. Lo desinstalo con Revo? o con ese comando de powerShell antes?

Por último, noto un cambio en los últimos días luego de toda esta limpieza que me estuviste facilitando. Por lo general hiberno el equipo, pero ahora demora cerca de 10 minutos en apagarse, cosa que antes era casi instantáneo.

Gracias!!

Intenté desinstalar Forti (con Revo y Powershell) e instalar luego una versión anterior… Vuelve a Pasar lo del proceso netsh cuando está por conectarse… Se me ocurrió pasar adwcleaner y encontró:

AdwCleaner[S11].txt (4,0 KB) AdwCleaner[C11].txt (2,6 KB)

Perdón, no hago más nada que no me pidas.

Te comento que ayer cuando hiberné, luego de 10 minutos tiró pantalla azul diciendo que el sistema tenía un error grave y se tenía que reparar; luego de un conteo rápido de un porcentaje apagó. Ahora arranca igual que antes y persiste la falla.

Hola @Sebastian_Pereira

Evidentemente las versiones anteriores no funcionan y la ultima versión no te conecta.

Nunca he usado el programa, por lo cual desconozco sus fallas especificas, yo desinstalaría nuevamente con Revo y el comando de Powershell, y luego puedes consultar en la Comunidad No Oficial de Forti. tal vez puedan darte una mano con ello.

Sobre AdwCleaner, seria recomendable que lo ejecutes y elimines todo el software preinstalado que te detecta (siempre que tu no los utilices) consumen muchos recursos y suelen ser inútiles.

Para analizar el Pantallazo Azul:

Y de paso chequea tu disco duro:

Descarga Hard Disk Sentinel

  • Selecciona la versión portable.

  • Descomprime el zip a una carpeta o ubicación de fácil acceso (como por ejemplo el escritorio) y ejecútalo.
  • Adjunta en tu próxima respuesta una captura de pantalla, donde se aprecie la pantalla principal de este programa, es decir, abre el programa y captura la primera pantalla que te dé. No des clic en ninguna opción dentro de él.

Como subir imágenes al Foro?

Salu2

Muchas gracias por tu dedicación! voy a escribir en el foro que me indicaste.

Pasé adwcleaner y limpié. AdwCleaner[S13].txt (4,2 KB) AdwCleaner[C13].txt (4,6 KB)

Instalé Debuggins Tools for Windows. Reporte: BSOD.TXT (8,5 KB)

Instalé (no encontré la versión portable) HDD Sentinel:

Luego de reiniciar pasé adwcleaner otra vez, y sigue encontrando siempre lo mismo AdwCleaner[S14].txt (2,8 KB)

Por qué siempre encuentra eso? Gracias otra vez!

Encontré algo que quizás pueda servir. Había desinstalado con Revo y Powershell el Forti. Probé instalando ahora la última versión (a ver si el haber quitado los pre-instalados cambiaba algo)

Pasó lo mismo. Al intentar conectar muestra como que no se conecta, pero intenté de todas maneras acceder a una máquina de la VPN de mi cliente y accedió (fijate que me pide usuario y contraseña en esta imagen de abajo)

Pero esperé. Justo antes de la pantalla que te mostré también había subido bastante los recursos de MalwareBytes y por eso me llamó la atención. Luego bajó.

Entonces finalicé dos veces el proceso “Shell de comandos de Red” (que en Detalles es netsh.exe) y ahora no volvió a aparecer y muestra que está conectado y tengo acceso.

Te lo comento porque quizás esta recurrente detección tiene algo que ver. Tengo entendido que Forti antes de conectar hace un chequeo de vulnerabilidades (en la versión anterior lo mostraba y en esta es más “minimalista” y quizás lo haga y no lo muestre.

Te paso el Log de Forti log_forti.txt.txt (4,2 KB)

(veo que menciona algo de MBAM)…

Hola @Sebastian_Pereira

El Sofware preinstalado parece que se elimino lo que no puede borrar es DAEMON Search utilizas Daemon? parece haber dejado algo en tu navegador.

Intenta lo siguiente, eso si deshabilita Forti y Malwarebytes para correrlos.

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?


Bien algo es algo…:+1: es todo un avance.

Pues como Forti es una Herramienta antimalware tambien esta teniendo una incompatibilidad con Malwarebytes:

FortiShield has prevented an application from modifying a file or registry setting protected by FortiClient" processname=MBAMService.exe

FortiShield ha impedido que una aplicación modifique un archivo o configuración de registro protegida por FortiClient. Nombre del proceso MBAMService.exe.

Desinstala por completo Malwarebytes con su Herramienta especifica.

Realiza los pasos con Forti desactivado para que no te bloquee el proceso.

Reinicias y pruebas.

Salu2

Hice lo que me pediste. Deshabilité Forti y desinstalé Malwarebytes.

Paso reporte de ESET ESET Online scan.txt (660 Bytes)

Kaspersky no encontró nada.

No sé qué es DAEMON Search, no lo uso ni lo quiero! je… Luego de hacer todo y reiniciar pasé adwcleaner, encontró daemon y lo eliminé. Luego de reiniciar lo pasé de nuevo y no encontró, recién ahí abrí Chrome, pasé de nuevo y encontró. Está ahí la cosa quizás.

Qué hago con HDD Sentinel (quedó instalado)? y con debugging tools?

Hola @Sebastian_Pereira

Disculpa la demora, he estado sin Internet…:-1:

Es un buscador lo que te detecta AdwCleaner y no puede eliminar.

Para quitar otros buscadores de tu Google Chrome:

  1. Abre Chrome en tu ordenador.
  2. En la parte superior derecha, haz clic en Más unnamed >> Configuración
  3. Presionas un clic sobre “Buscador” (a la izq de la pantalla), haz clic en "Administrar buscadores"
  4. Busca DAEMON Search, a la derecha del mismo, haz clic en Más unnamed>>> Eliminar de la lista .

Si, puedes desinstalarlo con RevoUnistaller.

Aun no lo desinstales.

Como el problema del Pantallazo te dio cuando Hibernaste, necesito que vuelvas a probar una Hibernación Manual y ver que sucede.

Primero revisa si tienes Desactivado el reinicio automático

Luego procede a la Hibernación.

Si te da un nuevo Pantallazo Azul lo vuelves a analizar con Debugging Tools solo ten en cuenta la fecha del ultimo pantallazo (si se produce)

Nos comentas.

Salu2

Por favor Sandra, no tenés que disculparte! Me estás ayudando muchísimo!!

Listo! quité DAEMON y ADWCleaner no lo detecta más! (comentario: noto que cuando inicio la pc aparece una ventana de cmd con un mensaje de alguna función de optimización de AdwCleaner) Desinstalé HDD. Desactivé reinicio automático, pero nada cambió, sólo que ahora se queda en la pantalla azul y no hace más nada. Por cierto, no es el error BSoD, te paso una foto:

Hice el análisis de “C:\Windows\MEMORY.DMP”: windbg 1.TXT (9,3 KB) Como dijiste que preste atención a la fecha y no encontré nada (salvo dentro del reporte), también te paso el análisis de “C:\Windows\Minidump\071720-11968-01.dmp” windbg 2.TXT (9,0 KB)

Te hago un comentario más. Ví tu post acerca de los problemas con sfc/scannow… Antes de consultar acá había hecho los pasos de este foro: https://answers.microsoft.com/es-es/windows/forum/all/windows-10-aumento-uso-memoria-en-proceso-shell-de/8ec70837-c990-4a76-a354-624661911bcc que no me funcionaron (evidentemente le pasaba lo mismo que a mí con Forti). Por si tiene algo que ver, te paso los logs: dism.log.txt (518,3 KB) el log del CBS te lo subí a Drive https://drive.google.com/file/d/1_P_iwyZ5tzg9aQqcmri6PgzR3yudDb3J/view?usp=sharing

Sos una genia! En su momento había hecho una donación al Foro, pero ya no encuentro esa opción. Cómo puedo retribuir tu ayuda?

Bien…:+1:

Ya lo veremos.

Pero el equipo luego arranco ??

Sobre el error Azul:

  • Driver Power State Failure

Es probable que tengas un problema con la configuración de energía o con algún driver corrupto.

Sobre:

  • C:\Windows\Minidump\ 071720-11968-01.dmp

Justamente me refería a:

07-17- 20 : 17 de Jul del 2020

DRIVER_POWER_STATE_FAILURE (9f) A driver has failed to complete a power IRP within a specific time. Arguments: Arg1: 0000000000000003, A device object has been blocking an Irp for too long a time Arg2: ffff80048f9dfd20, Physical Device Object of the stack Arg3: ffffe2088784f7b0, nt!TRIAGE_9F_POWER on Win7 and higher, otherwise the Functional Device Object of the stack Arg4: ffff80049fc029e0, The blocked IRP

Sobre el comando Dism, efectivamente te dio muchos errores.

Recuerdame tu SO es original? Tienes Windows Update con las actualizaciones al día?

Se ven muchísimos errores en los reportes pero 0 Reparaciones.

A estas alturas me veo en la obligación de preguntarte si no te seria mas conveniente una re instalación limpia desde 0 de tu Windows o intentar al menos una re instalación conservando tus archivos, creo que sera mas simple que intentar resolver el conjunto de problemas que tienes en ese equipo, aunque insisto lo mejor sería una reinstalación desde 0.

Gracias Gracias… :blush: :blush:

Nuestra ayuda es totalmente voluntaria y gratuita nos encanta ayudar!!! :+1:

Salu2

jjeje más Genia aun.

Iba a responderte que el SO es oroginal, y que recordá que no puedo actualizar más allá de la versión 1903, también pensé que por el lado del DISM podíamos llegar a dar en el clavo, pero bueno, entiendo tu sugerencia. Antes te pregunto si vos considerás que esto pudo haberse causado por alguna de las desinfecciones que hicimos. Y si es así, si hubiera sido mejor pagar (puedo hacerlo) una licencia de algún antivirus en lugar de usar Windows Defender. Estaba por pagar para mi y mi equipo de colaboradores MalwareBytes, considerás que es la mejor opción? Mientras voy reinstalando. Gracias!!

Cierto, releí nuevamente todo el tema, nunca te ofreció la 1909 y la 2004 no es compatible con tu equipo.

Solo muestra muchos errores y no reconoce tu unidad C: por ello no pudo reparar:

[C:] is not recognized

Puedes copiar aquí exactamente los comandos que ejecutastes?

Si y esto es parte del problema, hay un daño en tu sistema, comandos como Dism no funcionan, Windows Update no funcionaba, en su momento debió ofrecerte actualizar a la 1909 y no lo hizo, y como ya sabes tu equipo NO esta preparado para la 2004.

La verdad no lo creo, aunque es posible no tenias ninguna infeccion de las muy duras como para semejante lio creo que esto es mas bien de Windows, y las instalaciones y desinstalaciones u incompatibilidades de Software.

Si, si puedes pagar por el siempre es mejor uno de pago, especialmente para empresas, ya que ante el menor problema te darán soporte.

Malwarebytes Pro es excelente…:+1:

Ojin, con que imagen .iso cuentas? Por que si lo haces directamente desde la pagina de Microsoft va a la 2004. y luego de ejecutarla te dará error y tirara para atrás.

Ahora si tienes guardada otra imagen .iso anterior o una partición de recuperación es otra la historia.

Eso si no instales nada hasta que veamos como quedo.

Nos comentas.

Salu2

Jeje… cuánta dedicación le ponés! Si no estuviera la cuarentena te mandaría un desayuno, jeje… gracias!!

Dentro de Restauración había un botón que decía “Reinstalar”. Creo que esta Lenovo (que podría decirse que es un modelo bastante top) como ya vino con licencia tiene su imagen que, supongo, irá actualizando. Luego de reinstalar y sólo una actualización ya tengo 1909. El equipo reinicia e hiberna sin pantalla azul.

Instalé pero no probé la conexión Forti, pero hasta ahora todo viene bastante bien…

jeje… perdón, ya instalé: Notepad++,Chrome, Forti, Drive File Stream (cliente para Google Drive) y Lenovo Vantage (opciones de mi máquina que uso)

Qué me recomendás hacer para asegurarme que quedó bien? Los DISM que había hecho son:

  • DISM.exe /Online /Cleanup-image /Scanhealth
  • DISM.exe /Online /Cleanup-image /Restorehealth
  • DISM.exe /Online /Cleanup-image /Startcomponentcleanup
  • sfc /scannow

A sus órdenes, je

Bien…:+1:

Genial…:clap:

Estupendo… :laughing:

Pues esa deberás probarla ya que el famoso proceso por el que abriste este tema venia de problemas con Forti…

Solo prueba Forti, no es necesario ejecutar Dism.

Algo que casi me olvido, tu comentabas de comprar Malwarebytes Pro, pero tiene incompatibilidades con Forti y tu lo necesitas si o si.

Salvo que puedas poner a estos dos en sus excepciones.

Prueba como esta todo, y nos comentas.

Salu2

Buenas!!!

Forti corre de maravillas. Luego instalé MBAM y sigue funcionando bien. Reinicié, hiberné, y todo de maravillas!! (el único problema es que no encuentro el serial de mi Office, jeje… )

Por lo tanto evidentemente no hay drama con MBAM. Por eso (y perdón si me estoy abusando) te consulto qué opción usar de MBAM para empresas. No tenemos un dominio, cada notebook trabaja independiente. Sí tenemos un server pero lo usamos para guardar datos y correr una versión test del soft que implementamos (QlikSense, Qlikview).

En la nube? EndPoint? estoy perdido. Temo que las soluciones para empresas sean orientadas a aquellas que tienen un dominio y ese estilo:

Mil gracias!!! Y pasame la dirección así te mando el desayuno, jeje

Perdón, la última, recomendás que desinstale Windows Defense (siguiendo los pasos que subiste en ¿Cómo configurar Seguridad de Windows - Windows Defender?) si instalo MBAM?

Hola @Sebastian_Pereira

Pues tal vez Malwarebytes Pro para X cantidad de equipos.

De todas maneras contactate con ellos a través del formulario de la pagina, y te asesoraran.:+1:

No es necesario ya al instalar otro antivirus se desactiva W. Defender, pero ademas con Malwarebytes funcionan muy bien sin problemas.

Salu2