Problem z uruchomieniem Windows Defendera

[sylwek1982]

Witam.

Mam problem związany z uruchomieniem usługi Windows Defender. W pierwszej kolejności myślałem że za ten problem odpowiada Norton zainstalowany na moim koputerze, i że to on blokuje działanie defendera. Odinstalowałem Nortona( był i tak już nieaktywny i nie chronił mojego komputera) ale gdy norton pytał mnie czy podczas odinstalowywania mają być zapamiętane ustawienia Nortona to ja "kazałam" mu je zostawić na wypadek ewentualnego późniejszego instalowania av. Dodam również że po odinstalowaniu Nortona  przywróciłem system do stanu poprzedniego poprzez "przywracanie " i potem nie mogłem odinstalować  go mimo tego że widoczny jest w programach i funkcjach. Po czym Windows Defender i tak nie uruchamiał się. W usługach Defender jest ale nie pozwala się uruchomić. W centrum akcji też nie pozwala się uruchomić. Bardzo proszę o wskazówki.

ps. Nie wiem czy nie proszę o zbyt wiele ale bardzo proszę Was o zbadanie logów pod kątem infekcji.( nie udało mi się zrobić opcjonalnego loga zabezpieczeń  ;/ )

 

 

Extras.Txt

OTL.Txt

[Conor29134]

Dorzuć GMER-a/tdss killera bo cos zbyt dużo usług ma status stopped

dodatkowo log z FSS

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

[sylwek1982]

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-06-09 21:23:47
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000039  rev. 0,00MB
Running: gmer.exe; Driver: C:\Users\Monika\AppData\Local\Temp\pwdcypod.sys


---- Kernel code sections - GMER 2.1 ----

.text   C:\windows\system32\ntoskrnl.exe!KiCpuId + 988                                                                              fffff8005c86a41c 1 byte [31]

---- User code sections - GMER 2.1 ----

.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3644] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 690             000007f891851532 4 bytes [85, 91, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3644] C:\windows\SYSTEM32\MSIMG32.dll!GradientFill + 698             000007f89185153a 4 bytes [85, 91, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3644] C:\windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246           000007f89185165a 4 bytes [85, 91, F8, 07]

---- Threads - GMER 2.1 ----

Thread  C:\windows\System32\svchost.exe [960:1204]                                                                                  000007f893f13fd0
Thread  C:\windows\System32\svchost.exe [960:1444]                                                                                  000007f88c2cd594
Thread  C:\windows\System32\svchost.exe [960:2744]                                                                                  000007f88c2c4150
Thread  C:\windows\System32\svchost.exe [960:188]                                                                                   000007f88d7d54c0
Thread  C:\windows\system32\svchost.exe [992:276]                                                                                   000007f88d401824
Thread  C:\windows\system32\svchost.exe [992:2152]                                                                                  000007f88d795c38
Thread  C:\windows\system32\svchost.exe [992:232]                                                                                   000007f88aaf51dc
Thread  C:\windows\system32\svchost.exe [992:152]                                                                                   000007f88c0b1470
Thread  C:\windows\system32\svchost.exe [992:2792]                                                                                  000007f88c0b1470
Thread  C:\windows\system32\svchost.exe [992:1780]                                                                                  000007f88f1616b0
Thread  C:\windows\system32\svchost.exe [992:5920]                                                                                  000007f887d410f0
Thread  C:\windows\system32\svchost.exe [520:2224]                                                                                  000007f88cc658dc
Thread  C:\windows\system32\svchost.exe [520:4932]                                                                                  000007f87ad36ba8
Thread  C:\windows\system32\svchost.exe [520:4936]                                                                                  000007f87ad36794
Thread  C:\windows\system32\svchost.exe [520:2400]                                                                                  000007f88d795c38
Thread  C:\windows\System32\spoolsv.exe [1416:488]                                                                                  000007f88d7d54c0
Thread  C:\windows\System32\spoolsv.exe [1416:732]                                                                                  000007f88d7b30ec
Thread  C:\windows\System32\spoolsv.exe [1416:2308]                                                                                 000007f88a9b5798
Thread  C:\windows\System32\spoolsv.exe [1416:2916]                                                                                 000007f88a9fd29c
Thread  C:\windows\system32\svchost.exe [1488:1524]                                                                                 000007f894053c90
Thread  C:\windows\system32\svchost.exe [1488:1568]                                                                                 000007f894053c90
Thread  C:\windows\system32\svchost.exe [1488:1592]                                                                                 000007f894053c90
Thread  C:\windows\system32\svchost.exe [1488:1600]                                                                                 000007f88e1ac4f0
Thread  C:\windows\system32\svchost.exe [1488:1660]                                                                                 000007f88e1b8810
Thread  C:\windows\system32\svchost.exe [1488:1720]                                                                                 000007f88e1d5170
Thread  C:\windows\system32\svchost.exe [1488:1724]                                                                                 000007f88e1b84a0
Thread  C:\windows\system32\svchost.exe [1488:1824]                                                                                 000007f88de231a0
Thread  C:\windows\system32\svchost.exe [1488:2168]                                                                                 000007f88de29c68
Thread  C:\windows\system32\svchost.exe [1488:2260]                                                                                 000007f88c9524e8
Thread  C:\windows\system32\svchost.exe [1488:2284]                                                                                 000007f88c8f1544
Thread  C:\windows\system32\svchost.exe [1488:2316]                                                                                 000007f88c8d55dc
Thread  C:\windows\system32\svchost.exe [1488:1308]                                                                                 000007f88d144910
Thread  C:\windows\system32\svchost.exe [1488:4520]                                                                                 000007f88d141044
Thread  C:\windows\system32\svchost.exe [2008:1052]                                                                                 000007f88d7d54c0
Thread  C:\windows\system32\svchost.exe [2008:1112]                                                                                 000007f88d7b30ec
Thread   [2772:2788]                                                                                                                000007f896c04aa0
Thread   [2772:2956]                                                                                                                000007f897ebda50
Thread   [2772:6064]                                                                                                                000007f897ebda50
Thread  C:\windows\System32\svchost.exe [2848:4160]                                                                                 000007f88c9d77b0
Thread  C:\windows\System32\svchost.exe [2848:2412]                                                                                 000007f88c9d77b0
Thread  C:\windows\SYSTEM32\ntdll.dll [2712:2716]                                                                                   0000000000051c24
Thread   [944:2124]                                                                                                                 0000000076a8f1e6
Thread   [944:876]                                                                                                                  0000000073c9c59c
Thread   [944:872]                                                                                                                  00000000771750a7
Thread   [944:4240]                                                                                                                 00000000771750a7
Thread   [944:5284]                                                                                                                 00000000771750a7
Thread   [2368:1572]                                                                                                                000007f896c04aa0
Thread   [2368:2472]                                                                                                                000007f897595e10
Thread   [2368:2416]                                                                                                                000007f897ebda50
Thread   [2368:3412]                                                                                                                000007f897ebda50
Thread   [2368:2092]                                                                                                                000007f897ebda50
Thread  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4206.722_x64__8wekyb3d8bbwe\LiveComm.exe [3272:3360]  000007f88c9d77b0
Thread  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4206.722_x64__8wekyb3d8bbwe\LiveComm.exe [3272:3296]  000007f88c9d77b0
Thread  C:\windows\system32\wbem\wmiprvse.exe [3308:4656]                                                                           000007f8879a10a0
Thread   [3968:3984]                                                                                                                000007f891c31b94
Thread   [3968:4016]                                                                                                                000007f897ebda50
Thread  C:\windows\explorer.exe [4596:6140]                                                                                         000007f88d7d54c0
Thread  C:\windows\explorer.exe [4596:3188]                                                                                         000007f888c1a380
Thread   [4020:3760]                                                                                                                000007f882f2efe4
Thread   [4020:1652]                                                                                                                000007f882fe09a0
Thread   [4020:5032]                                                                                                                000007f897ebda50
Thread   [4020:1032]                                                                                                                000007f891c31b94

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                                                                                                       unknown MBR code
Disk    \Device\Harddisk0\DR0                                                                                                       sector 0: rootkit-like behavior

---- EOF - GMER 2.1 ----
 

 

 

 

 

 

 

...Były dwa komunikaty o braku dostępu do pliku.

 

Zapomniałem dodać że pracuję na 64 bitowej windzie 8

[Conor29134]

Czyli jest coś rootkito podobne w MBR tym razem uruchom kaspersky tdss killer jak wykryłby rootkita to napisz jakiego akcja domyślna zapewne cure powinna być

[sylwek1982]

@

Conor29134

Dziękuję Ci za poświęcony czas i za "chęć pomocy" ale poczekam jednak aż tematem zainteresuje się któryś z moderatorów. Pozdrawiam.

[picasso]

sylwek1982:
 

gdy norton pytał mnie czy podczas odinstalowywania mają być zapamiętane ustawienia Nortona to ja "kazałam" mu je zostawić na wypadek ewentualnego późniejszego instalowania av. Dodam również że po odinstalowaniu Nortona przywróciłem system do stanu poprzedniego poprzez "przywracanie " i potem nie mogłem odinstalować go mimo tego że widoczny jest w programach i funkcjach. Po czym Windows Defender i tak nie uruchamiał się.

 
Przecież ta akcja odkręciła deinstalację i tylko pogorszyła stan. Log z OTL pokazuje Symantec w pełnej krasie, program na chodzie (uruchamia się usługa, wiele obiektów nadal w systemie):

========== Services (SafeList) ==========

SRV - [2012-12-24 05:33:29 | 000,144,520 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Norton Internet Security\Engine\20.3.1.22\ccSvcHst.exe -- (NIS)

========== Driver Services (SafeList) ==========

DRV:64bit: - [2013-01-31 05:18:18 | 000,432,800 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\symnets.sys -- (SymNetS)
DRV:64bit: - [2013-01-31 05:18:06 | 001,139,800 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\symefa64.sys -- (SymEFA)
DRV:64bit: - [2013-01-29 03:45:19 | 000,796,248 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\srtsp64.sys -- (SRTSP)
DRV:64bit: - [2013-01-29 03:45:19 | 000,036,952 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\srtspx64.sys -- (SRTSPX)
DRV:64bit: - [2013-01-22 04:15:33 | 000,493,656 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\symds64.sys -- (SymDS)
DRV:64bit: - [2012-11-16 04:22:01 | 000,224,416 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\ironx64.sys -- (SymIRON)
DRV:64bit: - [2012-11-16 04:18:04 | 000,168,096 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\ccsetx64.sys -- (ccSet_NIS)
DRV:64bit: - [2012-06-20 23:27:30 | 000,023,448 | ---- | M] (Symantec Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\Drivers\NISx64\1403010.016\symelam.sys -- (SymELAM)
DRV:64bit: - [2012-05-26 02:56:14 | 000,168,608 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\Drivers\NARAx64\0401000.00B\ccSetx64.sys -- (ccSet_NARA)
DRV - [2013-04-03 16:23:04 | 000,513,184 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\Definitions\IPSDefs\20130406.001\IDSviA64.sys -- (IDSVia64)
DRV - [2013-04-03 12:40:13 | 002,087,664 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\Definitions\VirusDefs\20130409.021\ex64.sys -- (NAVEX15)
DRV - [2013-04-03 12:40:13 | 000,484,512 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys -- (eeCtrl)
DRV - [2013-04-03 12:40:13 | 000,138,912 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2013-04-03 12:40:13 | 000,126,192 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\Definitions\VirusDefs\20130409.021\eng64.sys -- (NAVENG)
DRV - [2013-03-22 02:09:06 | 001,387,608 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\Definitions\BASHDefs\20130322.001\BHDrvx64.sys -- (BHDrvx64)

O2 - BHO: (Norton Identity Protection) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\20.3.1.22\coIEPlg.dll (Symantec Corporation)
O2 - BHO: (Norton Vulnerability Protection) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\20.3.1.22\IPS\IPSBHO.DLL (Symantec Corporation)

W takim stanie Windows Defender nie będzie działał (firmy trzecie deaktywują ten komponent na korzyść swoich składników), musisz wyrzucić kompletnie Symantec z systemu. Skoro teraz się pogrążyłeś Przywracaniem systemu i normalna deinstalacja nie jest już możliwa zastosuj Norton Removal Tool. Przed użyciem go odinstaluj inny program Symantec, czyli Norton Backup, bo ta procedura go naruszy.


PS. A ten odczyt w GMER nic jeszcze nie odznacza.



.

[sylwek1982]

Dziękuję za odpowiedź i radę. Pozdrawiam. Sylwek

[picasso]

Nie wypowiadasz się nic na temat wyników tej akcji. Czy są rezultaty?

[sylwek1982]

Dzięki programowi do deinstalacji nortona udało mi się odinstalować skutecznie av i Win Defender działa poprawnie. Bardzo dziękuję - pomogło. Temat do zamknięcia