Nie działa Centrum zabezpieczeń systemu Windows, Windows Defender

[zyxu]

Witam

Na wstępie zaznaczę że mam takie same objawy jak w tym temacie http://www.fixitpc.p...ystemu-windows/

System: Win 7 Home Premium 64 bit

Z różną cześtotliwością klikając w odnośnik na googlach pojawiają się strony z grami, erotyczne itd. Dodatkowo nie działa Centrum zabezpieczeń systemu Windows i Windows Defender.

 

Avast nic nie wykrył

Spybot znalazł dwa wpisy w rejestrze -> Microsoft.WindowsSecurityCenter_disabled

 

Microsoft.WindowsSecurityCenter_disabled: [sBI $2E20C9A9] Ustawienia (Zmiany w rejestrze, nothing done)
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.WindowsSecurityCenter_disabled: [sBI $2E20C9A9] Ustawienia (Zmiany w rejestrze, nothing done)
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

 

Eset online znalazł jednego wirusa po wykasowaniu pliku dalej problem wystepuje.

CCleaner wyczyścił wszystko i nic.

Microsoft Security Essential wywala błąd podczas uruchamiania

Malwarebytes' Anti-Malware nie wykrył nic

Windows Defender Offline podczas instalownia się na USB wywala błąd

 

Diagnostyka:

OTL - podczas skanowania zawiesza się na Firefox'ie

DDS - sobie poradził

 

Proszę o pomoc ekspertów w tym temacie.

Pozdrawiam

Attach.txt

DDS.txt

[picasso]

Problem tworzy infekcja uruchamiana via Harmonogram:

 

2012-08-31 14:33:39	167936	--sha-r-	C:\windows\SysWow64\cliconfgz.dll

 

Ale ten log z DDS jest biedny (m.in. nie ma skanu pod kątem ZeroAccess), spróbuj jednak zrobić OTL:

 

 

OTL - podczas skanowania zawiesza się na Firefox'ie

 

Plik preferencji Firefox i tak jest solidnie zabrudzony adware Claro, więc radykalnie go zresetuj. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik:

 

C:\Users\zyxuy\AppData\Roaming\Mozilla\Firefox\Profiles\pw1u6dsl.default\prefs.js

 

Po tym ponów skan OTL.

 

 

 

.

[zyxu]

Trafna podpowiedź, udało się zrobić pełny skan OTL. W załączniku wyniki skanowania

Extras.Txt

OTL.Txt

[picasso]

Posunąłeś się nieco dalej niż twierdzisz, uruchamiałeś też ComboFix ... Przechodząc do usuwania infekcji (OTL widzi dwa pliki, czego się spodziewałam, DDS nie pokazywał *.JOB):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\windows\tasks\Lrptgr.job
C:\windows\SysWow64\cliconfgz.dll
C:\windows\SysNative\drivers\etc\hosts.*.backup
C:\Users\zyxuy\AppData\Roaming\Media Finder
C:\Users\zyxuy\AppData\Roaming\mozilla\firefox\profiles\pw1u6dsl.default\searchplugins\askcom.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKU\S-1-5-21-2366372758-2908335690-447069990-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=115131&tt=3412_5&babsrc=SP_iclro&mntrId=460f9810000000000000002682a33a47"
IE - HKU\S-1-5-21-2366372758-2908335690-447069990-1000\..\SearchScopes\{DCBC2872-4EA1-4B6E-B538-A67167812932}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CFD60BBC-F0AA-48B6-8BB8-E4564BE26D4E&apn_sauid=E6541817-FF6C-4FA8-8506-3C8353A2B05C"
O3 - HKU\S-1-5-21-2366372758-2908335690-447069990-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Adware Claro zaatakowało także Google Chrome. Otwórz przeglądarkę, z listy stron startowych wymaż isearch.claro-search.com, w zarządzaniu wyszukiwarkami przestaw domyślną z Claro Search na np. Google, po tym Claro Search usuń z listy.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Stworzyłeś niezdrową sytuację, są aktualnie w systemie dwa antywirusy Avast + Microsoft Security Essentials. Jeden z nich do deinstalacji.

 

5. Włącz funkcje wyłączone przez malware:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Jeśli w punkcie 4 wybrałeś pobyt Microsoft Security Essentials, to dla usługi Microsoft Antimalware Service Typ uruchomienia ustaw na Automatyczny. Windows Defender za to nie będzie tu włączany celowo = przy antywirusach jest zbędny i dla wydajności powinien być wyłączony.
  
• Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"
  

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[zyxu]

Zrobiłem wg Twojej instrukcji.

W załączeniu pliki ze skanowania.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystko wykonane. Kończymy:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\zyxuy\Desktop\ComboFix.exe /uninstall

 

Następnie w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku foldery:

 

C:\Windows\erdnt

C:\Users\zyxuy\DoctorWeb

 

2. Zaktualizuj Adobe Flash, Java, Google Chrome i Opera: KLIK. Wersje widziane aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83216026F0}" = Java™ 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Opera 12.00.1467" = Opera 12.00
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2366372758-2908335690-447069990-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 19.0.1084.56
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

Wszystkie Java i Adobe Flash po prostu odinstaluj przed wprowadzeniem najnowszych wersji.

 

 

 

PS. I polecam wymianę zasobożernego Gadu-Gadu 10 lżejszym programem z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: Darmowe komunikatory.

 

 

.

[zyxu]

Wszystko działa jak należy.

Bardzo dziękuję za pomoc.