Zablokowany AVAST - chroniony przez zasady ograniczeń oprogramowania

[amx]

Opis problemu:

Zaobserwowałem następujące problemy:
- program AVAST nie uruchamia się a przy dwukliku zwraca następującą informację:

 

Program Files\AVAST Software\Avast\AvastUI.exe "System windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu."

 

- mocno wydłużyło się ładowanie systemu na starcie
- wyrzuca Firefoxa z informacja o awarii plugincontrainer.exe (z dziennika zdarzeń: Aplikacja powodująca błąd plugin-container.exe, wersja 33.1.0.5423, moduł powodujący błąd mozalloc.dll, wersja 33.1.0.5423, adres błędu 0x00001425.)
- nie można skorzystać z punktów przywracania systemu (wyskakuje informacja że próba sie niepowiodła)
- przez pewien czas obciążenie zasobów systemowych było tak duże, że próba uruchomienia np. Fierfoxa czy choćby jakiegokolwiek folderu bądź programu np. IrfanView czy excel kończyło się zamknięciem go w ciągu 2-3 sekund (jak narazie ten problem zniknął)
- podobnie jak AVAST zablokowany był Malwarebytes jednak reinstalacja pomogła i aktualnie mogę z niego korzystać

Co ciekawe w trybie awaryjnym Avast działa i przed reinstalacją w tym trybie działał również Malwarebytes. Nie wywalało również Firefoxa.


Podejmowane działania:

Do tej pory skanowałem system wykorzystując Malwarebytes. Raport ze skanowania dołączony w załącznikach. Program znalazł sporo zagrożeń. Po czyszczeniu zmniejszyła się częstotliwość awarii Firefoxa, jednak Avast nadal nie uruchamia się.

Wcześniej próbowałem jeszcze przeinstalować AVASTA. Działał około dwa dni i problem się powtórzył.

OTL.Txt

Shortcut.txt

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

mbam.txt

[picasso]

Avast i kilka innych zostało zablokowanych w oparciu o restrykcje Safer nałożone poprzez infekcję. Prawdopodobnie winą był exploit Java, choć tu jest bardzo szerokie pole do popisu. Podglebie dla infekcji znakomite, dramatyczny ogólny status aktualizacji systemu (SP2 i IE6!) i niebezpieczne wersje różnych programów zainstalowane, w tym Java (bo też i stary OpenOffice.ux.pl 3.2 nie obsługuje nowych bezpieczniejszych).

 

Dodatkowo, zdaje się że jest tu jakiś problem z dyskiem i strukturą plików na dysku. W raporcie FRST widać nazwy folderów kont z suffiksami charakterystycznymi dla tworzenia nowych, bo do oryginałów brak dostępu (m.in. mogą powodować to błędy dysku) oraz dziwowiska typu listowanie podwójnie tego samego katalogu:

 

2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321

2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321

 

 

Wdróż następujące działania:

 

1. Był uruchamiany GMER, toteż sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Odinstaluj via Dodaj/Usuń programy stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 12.1, Java 7 Update 9, Java™ 6 Update 20, OpenOffice.ux.pl 3.2, SUPERAntiSpyware.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
HKLM Group Policy restriction on software: C:\Program Files\Trend Micro 
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared 
HKLM Group Policy restriction on software: C:\Program Files\Trend Micro 
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software 
HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat"
HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Winlogon: [shell] C:\WINDOWS\EXPLORER.EXE [1033728 2004-08-03] (Microsoft Corporation) 
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X]
S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 cdrbsvsd; No ImagePath
S3 VComm; system32\DRIVERS\VComm.sys [X]
S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lI13602NbMlK13602
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ciqapo
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DSite
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DVDVideoSoft
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ebintu
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ekes
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\FaceGen
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Kiobf
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\mystartsearch
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\NetMedia Providers
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\pdfforge
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Xirrus
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ytixoz
C:\Program Files\mozilla firefox\plugins
Hosts:
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B} /f
CMD: dir /a "C:\Documents and Settings"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox ze śmieci i starych preferencji "przed-aktualizacyjnych": menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

 

 

 

.

[amx]

1. Sprawdzone - wszystko było ustawione "DMA jeśli dostępne" choć bieżący tryb transferu: PIO.

2. Wszystkie wskazane programy odinstalowane

3. Zrobione - AVAST uruchomił się

4. Zrobione

5. Logi dołączone

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

1. Pierwszy punkt:

 

1. Sprawdzone - wszystko było ustawione "DMA jeśli dostępne" choć bieżący tryb transferu: PIO.

I właśnie o to chodzi - PIO to jest ta wada. O ile jeszcze tego nie zrobiłeś: z prawokliku odinstaluj kanał na którym jest PIO i zresetuj system, Windows przebuduje kanał i powinien znacznie przyśpieszyć.

 

2. Niestety infekcja się zregenerowała i wszystkie blokady są ponownie na miejscu. Powtórka. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
HKLM Group Policy restriction on software: C:\Program Files\Trend Micro 
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared 
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software 
HKLM Group Policy restriction on software: C:\Program Files\Trend Micro 
HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat"
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab
FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
S4 sptd; System32\Drivers\sptd.sys [X]
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug
C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Macromedia
C:\Program Files\Common Files\Java
C:\Program Files\Java
C:\Program Files\OpenOffice.ux.pl 3
C:\WINDOWS\system32\Adobe
C:\WINDOWS\system32\Macromed
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na swoje konto amx, a nie na Administratora). Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[amx]

1. Zrobione - faktycznie po zmianach komputer wyraźnie przyśpieszył.

 

2. Wykonane - Avast ponownie uruchomił się.

 

3. Logi dołączone.

FRST.txt

Fixlog.txt

[picasso]

Infekcja pomyślnie usunięta, ale tu nie koniec działań. Jak mówiłam, notowalne problemy ze strukturą plików na dysku. Teraz czas na sprawdzanie powierzchni:

 

Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Podaj jego statystyki, są one dostępne w Dzienniku zdarzeń w sekcji Aplikacja jako zdarzenie Winlogon numer 1001. Wyszukaj ten rekord, pobierz jego Szczegóły, skopiuj je i wklej do posta.

 

 

.

[amx]

Wykonałem skan.

 

 

Typ zdarzenia:    Informacje
Źródło zdarzenia:    Winlogon
Kategoria zdarzenia:    Brak
Identyfikator zdarzenia:    1001
Data:        2014-11-21
Godzina:        00:24:39
Użytkownik:        Brak
Komputer:    X-628658B1E9874
Opis:
Sprawdzanie systemu plików na C:
Typ systemu plików to NTFS.

Zaplanowano sprawdzenie dysku.
System Windows sprawdzi teraz dysk.                         
Porzadkowanie niewielkich niespójnosci na dysku.
CHKDSK odzyskuje utracone pliki.
Oczyszczanie 240 nieuzywanych wpisów w indeksie $SII pliku 0x9.
Oczyszczanie 240 nieuzywanych wpisów w indeksie $SDH pliku 0x9.
Porzadkowanie 240 nieuzywanych deskryptorów zabezpieczen.
Trwa sprawdzanie dziennika Usn...
Zakonczono sprawdzanie poprawnosci dziennika Usn.
CHKDSK sprawdza dane pliku (poziom 4 z 5)
Zakonczono sprawdzanie danych pliku.
CHKDSK sprawdza wolne miejsce (etap 5 z 5)
Zakonczono sprawdzanie wolnego miejsca na dysku.
Usuwanie bledów atrybutu BITMAP glównej tabeli plików.
System Windows wprowadzil poprawki do systemu plików.

  40957685 KB calkowitego miejsca na dysku.
  32885828 KB w 98880 plikach.
     38964 KB w 10031 indeksach.
         4 KB w uszkodzonych sektorach.
    402085 KB uzywanych przez system.
     65536 KB zajetych przez plik dziennika.
   7630804 KB dostepnych na dysku.

      4096 bajtów w kazdej jednostce alokacji.
  10239421 ogólem jednostek alokacji na dysku.
   1907701 jednostek alokacji dostepnych na dysku.

Informacje wewnetrzne:
40 94 02 00 79 a9 01 00 cc 55 02 00 00 00 00 00  @...y....U......
60 11 00 00 03 00 00 00 49 02 00 00 00 00 00 00  `.......I.......
44 6d c1 05 00 00 00 00 42 51 32 80 00 00 00 00  Dm......BQ2.....
dc ee 22 21 00 00 00 00 fe de e5 bf 09 00 00 00  .."!............
f2 f2 69 18 02 00 00 00 9e 4f 1c 8a 0c 00 00 00  ..i......O......
99 9e 36 00 00 00 00 00 90 39 07 00 40 82 01 00  ..6......9..@...
00 00 00 00 00 10 31 d7 07 00 00 00 2f 27 00 00  ......1...../'..

System Windows zakonczyl sprawdzanie dysku.
Zaczekaj na ponowne uruchomienie systemu.
 

[picasso]

"4 KB w uszkodzonych sektorach" = proszę załóż temat w dziale Hardware podając wymagane do diagnostyki dysku dane: KLIK. Zlinkuj im do tutejszego tematu, by było wiadome skąd się wziął wątek.