Centrum akcji nie może włączyć usługi Windows Defender

[karas3105]

Witam, to jest mój pierwszy temat na tym forum więc postaram się go jak najsensowniej napisać.

A więc wczoraj gdy przyszedłem do domu zauważyłem że nie działa antywirus microsoftu i nie da się go włączyć. Czytałem pare tematów lecz pisze że trzeba osobny. Więc zakładam z myślą  że pomożecie mi się uporać z tym czymś co sie zainfekowało. Komputera używa więcej osób niż ja więc nie wiem co mogło zostać zainstalowane, ściągnięte etc. Próbowałem odinstalować antywirusa i zainstalować lecz przy próbie ponownej instalacji nie da się jej dokoczyć. Spróbuję dodać logi lecz jeżeli coś było by nie tak proszę o pytania gdyż pierwszy raz to będę robil. 

 

W załącznikach logi. Myslę że wszystko poprawnie zrobione w razie pomyłki proszę o pomoc. Robiłem wszystko z instrukcją. 

Pozdrawiam i czekam na pomoc.

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

A jednak niewłaściwy zestaw logów. Log z OTL na złym ustawieniu, opcja Rejestr ustawiona na Wszystko, a miało być Użyj filtrowania. Dostarczyłeś też DDS, który nie jest tu obowiązkowy. Obowiązkowy jest FRST. Podaj te raporty. Dodatkowo także dostarcz log z Farbar Service Scanner.

 

 

 

.

[karas3105]

Witam ponownie, Przepraszam za błedne logi następnym razem postaram się zrobić to dobrze. Problem został rozwiązany poprzez pomoc z innego forum. Ale dziękuje za chęci. Pozdrawiam Temat uważam za zamknięty.  

[picasso]

Proszę o podanie linka do innego forum, gdzie rozwiązywano sprawę i podtrzymuję: dostarcz brakujące logi.

[karas3105]

http://www.elektroda.pl/rtvforum/viewtopic.php?t=2752013&highlight=

Logi w załącznikach. Mam także teraz problem z spowolnionym komputerem a małym zuzyciem pamięci oraz procesora. poprostu programy się wieszają przy próbie włączania. 

Addition.txt

FRST.txt

FSS.txt

[picasso]

Komentarze do zadań na tamtym forum:

- Pierwszy post zakładał niepoprawną kolejność instrukcji. Zadany AdwCleaner bez poprawnej deinstalacji programów adware. AdwCleaner stosuje się po deinstalacjach. Ale ja i tak nie widzę śladów, byś program zastosował, co w tym przypadku było dobrym zagraniem.

- Skrypt do OTL usunął poprawny 32-bitowy wpis WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} (to jest fałszywe "not found"), integrację prawidłowego programu MetaWeb w Internet Explorer (to nie było adware) oraz folder 0F1F1C2Y1H1P1C0I0T trzymający deinstalator programu adware Gadu-Gadu 10 (GG 10.5) Packages (to nie jest Gadu lecz wrapper adware) i niestety wejścia nie można już poprawnie odinstalować, jeśli zastosowałeś Sprzątanie w OTL. WebCheck będę odtwarzać, wpis Packages w rejestrze usuwać, ale MetaWeb to już musisz przeinstalować.

- Również metoda deinstalacji adware BuzzSearch z Google Chrome nie była poprawna. Zawsze zaczyna się od deinstalacji adware poprzez interfejs przeglądarki, bo to czyści też Preferences. Usuwanie skryptami folderu adware jest usuwaniem po łebkach i robi się to tylko w ostateczności, gdy nie można się pozbyć rozszerzeń inną drogą.

- Była w systemie infekcja, jeden z jej wpisów nadal jest widoczny (nie sprawdzono ponownego skanu po użyciu skryptu OTL).

 

A Windows Defender i tak jest obecnie wyłączony, gdyż zainstalowałeś MSSE, który go zastępuje i wyłącza.

 

 

Mam także teraz problem z spowolnionym komputerem a małym zuzyciem pamięci oraz procesora. poprostu programy się wieszają przy próbie włączania.

O których konkretnie programach mowa? I przyczyna może leżeć gdzie indziej, nie w infekcjach. Np. w zakres podejrzanych mogą tu wchodzić: ASUS WebStorage (problematyczna integracja z eksplorer skutkująca często błędami explorer.exe) czy aktualizator PLAY ONLINE (znany z dziwnych rzeczy typu zmiany fokusu okiewn). Obydwa programy wstępnie adresuję.

 

 

---

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-2855948867-3410098508-4095136188-1002\...\CurrentVersion\Windows: [Load] C:\ProgramData\{$1284-9213-2940-1289$}\comhost.exe 
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
C:\Users\Karas1\AppData\Roaming\system.ini
() C:\ProgramData\PLAY ONLINE\OnlineUpdate\ouc.exe
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Gadu-Gadu 10 (GG 10.5) Packages" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg add HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v WebCheck /t REG_SZ /d {E6FB5E20-DE35-11CF-9C87-00AA005127ED} /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Google Chrome:

- W związku z tym, że BuzzSearch był siłowo usuwany z Google Chrome zastosuj: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

- Zresetuj cache wtyczek, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Nie ma śladów użycia AdwCleaner, więc go pobierz z linka i uruchom. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Przez Panel sterowania odinstaluj ów wspominany ASUS WebStorage. Po tym zastosuj TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. Wypowiedz się czy są jakieś zmiany w systemie.

 

 

 

.

[karas3105]

Zrobiłem wszystko jak napisane. Program jaki się najbardziej wiesza to utorrent. Po dodaniu torrenta zawiesza sie i trzeba go wyłączyć, oraz uruchamia się przy starcie ale pulpit zostanie zaladowany pzegladam juz nawet poczte i dopiero sie włącza. 

 

PS. Zmiany jakie zauważylem to tak jakby szybciej chodzi komputer. Po załączeniu "komputer" odrazu pojawia się a nie trzeba czekać aż zielona linia dojdzie do końca. Inne zmiany narazie nie zauważalne. Uruchomie jeszcze komputer ponownie i zobaczymy od początku startu czy coś się zmieni.

 

Myślę że wszystko zrobiłem jak należy. Pozdrawiam i czekam na dalsze informacje.

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST.txt

[picasso]

Rozpracowywałam tę infekcję w wirtualnej maszynie. Infekcja tworzy różne szkody: resetuje uprawnienia oraz wyłącza usługę Harmonogram zadań (nie działają więc żadne zadania startowane tą metodą). Pierwszy zakres usterek być może się nie odbył, bo gładko wszedłeś do Windows po usuwaniu na tamtym forum, ale Harmonogram jest pewnie wyłączony. Poproszę o skan dodatkowy. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s
Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s
Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dołącz wynikowy fixlog.txt.

 

 

.

[karas3105]

Zrobione, Log w załączniku. Czekam na dalsze informacje.

Fixlog.txt

[picasso]

Usługa Harmonogramu zadań jest wyłączona, są też dodane przez infekcję nadwyżkowe klucze WSH. Kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Przedstaw wynikowy fixlog.txt. Wypowiedz się też czy obecnie są notowane w systemie jakieś dziwności.

 

 

 

.

[karas3105]

Zrobilem jak należy. I utorrent nadal załącza się bardzo dlugo. około 2 minuty po załączeniu komputera. Czy to nadal problem z tym wirusem czy trzeba zalożyć odrębny temat o "zamulonym" kompie?

Fixlog.txt

[picasso]

Skrypt poprawnie wykonany, usługa Harmonogramu (oraz wszystkie podpięte pod nią zadania) powinna już działać. Harmonogram nie ma związku z uTorrent, to jest odrębna sprawa. Jeśli chodzi o uTorrent: mam rozumieć, że przed infekcją nie zawieszał on startu systemu, jest to potwierdzone? W raporcie FRST widzę, że folder uTorrent był odświeżany w czasokresie, gdy trwała infekcja (być może jednak infekcja wyresetowała uprawnienia folderu):

 

==================== One Month Modified Files and Folders =======
 

2014-02-09 16:10 - 2013-07-17 20:43 - 00000000 ____D () C:\Users\Karas1\AppData\Roaming\uTorrent

 

Spróbuj przeinstalować uTorrent wg kroków:

 

1. Odinstaluj via Panel sterowania.

 

2. Następnie przez SHIFT+DEL dokasuj z dysku folder C:\Users\Karas1\AppData\Roaming\uTorrent. Jeśli usuwanie zwróci błąd uprawnień, zastosuj GrantPerms x64: do okna wklej tę ścieżkę i klik w Unlock, ponów akcję SHIFT+DEL.

 

3. Zainstaluj ponownie uTorrent. Podaj czy są jakieś zmiany.

 

 

 

.

[karas3105]

Niestety problem z utorrent nadal wystepuje. 

[picasso]

karas3105, uściślij mi: uTorrent był przed infekcją, startował z systemem i nie było żadnego zawieszenia?

 

 

 

.

[karas3105]

No wlasnie nie bylo tego problemu i startowal z systemem. W ogole mam jakis problem bo wydajnosc komputera malo zuzywa lecz zawiesza sie co chwile.