Windows Defender nie chce się uruchomić

[Okacz]

Witam, ostatnio szukałem pomocy w poprawieniu działania mojego laptopa (zaskakująco szybko się nagrzewa), i natrafiłem na ten problem: przy próbie skorzystania z narzędzia Windows Defender wyświetla się "Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście". Czy mój komputer jest zainfekowany? Dodam, że ostatnio miałem problem z oprogramowaniem TuneUp Utilities, które zainstalowało się sam nie wiem kiedy, i wydaje się pomocne, lecz opiera się wszelkim próbom usuwania.

 

Oto logi:

Extras.Txt

OTL.Txt

Gmer.txt

[diox]

Masz tutaj trojana ZeroAccess/Sirefef, to on jest przyczyną niedziałającego Windows Defendera, ale i nie tylko.

Zrób jeszcze loga z Farbar Service Scanner i poczekaj na moderatora działu, nie jestem upoważniony do udzielania pomocy.

[Okacz]

Log z FFS:

FSS.txt

[picasso]

Log z GMER był robiony w złych warunkach, nie usunąłeś emulatorów napędów wirtualnych i sterownika SPTD:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ai3rl8a3)
DRV - [2010-09-18 23:39:05 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

 

1. Start > w polu szukania wpisz regedit > skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Zresetuj system w celu odładowania infekcji z pamięci.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=CZJCoxRUX3p0SNdWo6zCqLcW23U?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKCU..\Run: [{A12402A6-0EBF-7D69-C40A-E8A2B3EC504C}] C:\Users\Okacz\AppData\Roaming\Xutu\umvyyl.exe (ScanSoft, Inc)
O4 - HKCU..\Run: [DATE73A.tmp.exe] C:\Users\Okacz\AppData\Local\Temp\DATE73A.tmp.exe (Indilinx)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
 
:Files
C:\Users\Okacz\AppData\Local\{0a014057-5cb7-611c-2b40-bcb26bb5d8ff}
C:\Users\Okacz\AppData\Local\Temp
C:\Users\Okacz\AppData\Roaming\Daav
C:\Users\Okacz\AppData\Roaming\OpenCandy
C:\Users\Okacz\AppData\Roaming\Xutu
C:\Users\Okacz\AppData\Local\promo.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

4. Napraw martwą ikonę Centrum zabezpieczxeń uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

5. Przez Panel sterowania odinstaluj Pandora Service (adware od KMPlayer) + Uniblue DriverScanner (wątpliwy skaner).

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Uruchom SystemLook i do okna wklej:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

.

[Okacz]

Wielkie dzięki za pomoc, Win Defender już działa, a kilka niepotrzebnych programów zniknęło.

 

Ostateczne logi:

OTL2.Txt

FSS2.txt

SystemLook.txt

[picasso]

1. Import FIX.REG niepoprawny (ucięło końcowy znak "), poza tym jeszcze resztki trzeba wykończyć. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{A12402A6-0EBF-7D69-C40A-E8A2B3EC504C}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Przez SHIFT+DEL skasuj folder C:\Program Files\PANDORA.TV.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie, resztę wykończ ręcznie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Okacz]

PANDORA.TV nie życzy sobie zostać skasowanym. Po próbie usunięcia twierdzi, że jest uruchomiony w innym programie. Wg. Menedżera Zadań nie ma żadnego aktywnego procesu związanego z nim, a folder wydaje się być pusty.

[picasso]

Może sama obecność KMPlayer to powoduje. Sprawdź czy folder da się usunąć w Trybie awaryjnym Windows i czy się aby nie odtworzy po usunięciu. Jeśli tak, to już go zostaw w spokoju i przejdź do kolejnych czynności.

 

 

.

[Okacz]

Udało się skasować Pandorę, trzeba było wcześniej faktycznie usunąć KMPlayer

 

Logi z MBAM:

MBAM-log-2013-02-24 (20-44-43).txt

[picasso]

1. Wyniki MBAM: nic szczególnego, instalatory adware i jakieś śmieci w wirtualnym magazynie oraz Koszu ba dysku D. Usuń te wyniki za pomocą programu.

 

2. Ważne aktualizacje: KLIK. Wg raportu jest krytyczny poziom aktualizacji Vista oraz zainstalowane wersje:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{2BD2FA21-B51D-4F01-94A7-AC16737B2163}" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()

 

Czyli: odinstaluj wszystkie stare wersje Adobe i Java zastępując najnowszymi, wykonaj pełną aktualizację Windows (pakiet SP2 + IE9 + reszta łat).

Uwaga dodatkowa: posiadasz Gadu-Gadu 10. Program jest straszny, zasoby systemowe obciąża. Propozycje alternatyw: WTW, AQQ, Kadu, Miranda NG. Opisy: KLIK.

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[Okacz]

Wielkie dzięki za pomoc, teraz chyba już wszystko gra.

 

Jedno pytanie tylko: czy logi wskazują może na to, co powoduje wybitne grzanie się komputera i pochłanianie pamięci RAM (Windowsowy sidebar pokazuje, że 40% z 4GB jest wykorzystywane przy odpalonym Firefoxie)

[picasso]

Jedno pytanie tylko: czy logi wskazują może na to, co powoduje wybitne grzanie się komputera i pochłanianie pamięci RAM (Windowsowy sidebar pokazuje, że 40% z 4GB jest wykorzystywane przy odpalonym Firefoxie)

 

To nie są logi pod "grzanie". Grzanie do działu Hardware: KLIK. A spożycie RAM mnie tu nie dziwi aż tak bardzo jak Ciebie, w tle uruchamia się dużo procesów (w tym Norton). Nie wiadomo też co w Firefox robisz (ile kart otwartych i jak zasobożernych).

 

 

 

.