Blokowanie antywirusów, zapory

[delta12345]

Witam, problem pojawił się dzisiaj, mianowicie coś zaczęło mi blokować przeglądarki, antywirusy oraz systemową zaporę. O ile z zaporą i przeglądarkami jakoś sobie poradziłem, tak z antywirusami mam nadal problem. Na początku miałem Avirę, której nie mogę teraz nawet usunąć, potem ściągnąłem AVG, jednak też został zablokowany ("Ten program jest blokowany przez zasady grupy. Aby uzyskać więcej informacji skontaktuj się z administratorem systemu"). Podaje logi z OTL:

 

http://wklej.org/id/1503736/

 

Z góry dzięki za pomoc

[picasso]

delta12345, proszę przeczytaj zasady działu: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie, i tak niepełne (brak OTL Extras). Obowiązkowe są raporty z FRST i GMER. Uzupełnij.

[delta12345]

Ok, przepraszam za błędy. Chciałbym jeszcze dodać, że początkowo nie mogłem wykonać logów OTL'em ponieważ zapętlał mi się folder Application Data i na nim się zatrzymywało. Jednak problem ustąpił.

 

Logi z FRST:

1. http://wklej.org/id/1503740/- Frst.txt

2. http://wklej.org/id/1503741/- Addition.txt

3. http://wklej.org/id/1503742/- Shortcut.txt

 

Logi z GMER:

http://wklej.org/id/1503743/

[picasso]

W systemie są oznaki infekcji, a programów antywirusowych nie da się uruchomić, gdyż infekcja wprowadziła blokadę na poziomie polityk oprogramowania. Przypuszczalnie eksploit np. Java był przyczyną infekcji.

 

Przeprowadź następujące operacje:

 

1. Na początek odinstaluj jeden z antywirusów, gdyż jest ich za dużo: AVG 2015 lub Avira Free Antivirus. Dodatkowo jeszcze odinstaluj starszą wersję Java 7 Update 60.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
AlternateDataStreams: C:\Windows:9EE977B70241662B
HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes 
HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Avira 
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software 
Task: {3FE03D29-0B8E-4C07-A4F8-7726ECC8262F} - \GPUP No Task File 
Task: {69C128BF-4DBC-4980-BC20-FD1FC06F078D} - System32\Tasks\EnergoTech Update => C:\ProgramData\EnergoTech\update12.exe
Task: {F8F1D53E-5473-4F01-BF28-4D0358D11884} - System32\Tasks\Chrome Launcher => C:\Program Files (x86)\Techsnab\Chrome Launcher\chrome-links.exe
Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
SearchScopes: HKCU - {52970FDE-1250-4AB9-A21B-6D2A4ECED1CB} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=282369&p={searchTerms}
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation)
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo
C:\ProgramData\*.log
C:\ProgramData\YiggUhuy
C:\Users\Piotrek\AppData\Local\*.log
C:\Users\Piotrek\AppData\Local\69ff07055291669bb2b218.72821112
C:\Users\Piotrek\AppData\Local\kuphoqej
C:\Users\Piotrek\Desktop\Programy\avast! Free Antivirus.lnk
C:\Users\Piotrek\Desktop\Programy\Avira.lnk
C:\Users\Piotrek\Desktop\Programy\Comodo Dragon.lnk
C:\Users\Piotrek\Desktop\Programy\COMODO Firewall.lnk
C:\Users\Piotrek\Desktop\Programy\GeekBuddy.lnk
C:\Windows\avast5.ini
C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup
C:\Windows\system32\log
C:\Windows\SysWow64\avast5.ini
RemoveDirectory: C:\Users\Piotrek\Downloads\FRST-OlderVersion
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetWorx" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

 

 

 

.

[delta12345]

FRST - http://wklej.org/id/1503747/
FSS - http://wklej.org/id/1503748/
fixlog.txt - http://wklej.org/id/1503746/

[picasso]

Wszystko zrobione. Programy antywirusowe zostały odblokowane. Log z FSS pokazuje jeszcze, że Windows Update jest zdeaktywowane. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
CMD: sc config wuauserv start= delayed-auto
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

 

.

[delta12345]

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-10-2014

Ran by Piotrek at 2014-10-30 04:28:37 Run:3

Running from C:\Users\Piotrek\Downloads

Loaded Profile: Piotrek (Available profiles: Piotrek)

Boot Mode: Normal

==============================================

 

Content of fixlist:

*****************

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]

CMD: sc config wuauserv start= delayed-auto

DeleteQuarantine:

*****************

 

sptd => Service deleted successfully.

 

========= sc config wuauserv start= delayed-auto =========

 

[sC] ChangeServiceConfig SUKCES

 

========= End of CMD: =========

 

"C:\FRST\Quarantine" => Removed successfully.

 

==== End of Fixlog ====

[picasso]

Wykonane. Kończymy:

 

1. Usuń używane narzędzia za pomocą DelFix. GMER dokasuj ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Proponuję dorzucić jeszcze darmową wersję Malwarebytes Anti-Exploit.

[delta12345]

Ok, wszystko zrobione, dzięki wielkie za pomoc

A tutaj log z DelFix'a:

# DelFix v10.8 - Logfile created 30/10/2014 at 04:48:13

# Updated 29/07/2014 by Xplode
# Username : Piotrek - PIOTR-KOMPUTER
# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)

~ Removing disinfection tools ...

Deleted : C:\_OTL
Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\Users\Piotrek\Downloads\Addition.txt
Deleted : C:\Users\Piotrek\Downloads\AdwCleaner.exe
Deleted : C:\Users\Piotrek\Downloads\Extras.Txt
Deleted : C:\Users\Piotrek\Downloads\Fixlog.txt
Deleted : C:\Users\Piotrek\Downloads\FRST.txt
Deleted : C:\Users\Piotrek\Downloads\FRST64.exe
Deleted : C:\Users\Piotrek\Downloads\FSS.exe
Deleted : C:\Users\Piotrek\Downloads\FSS.txt
Deleted : C:\Users\Piotrek\Downloads\OTL.Txt
Deleted : C:\Users\Piotrek\Downloads\OTL.exe
Deleted : C:\Users\Piotrek\Downloads\ServicesRepair.exe
Deleted : C:\Users\Piotrek\Downloads\Shortcut.txt
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

[picasso]

Potwierdzam wykonanie zadania. Log C:\DelFix.txt możesz skasować z dysku.

 

Temat rozwiązany. Zamykam.