McAfee - Wyłączone skanowanie w czasie rzeczywistym

[robertkahl]

Dzień dobry.

Posiadam program antywirusowy McAfee i od pewnego czasu nie mogę włączyć  skanowania w czasie rzeczywistym oraz innych skanowań. Program jest legalny i opłacona subskrypcja. Próbowałem instalować jeszcze raz ale to nie dało rezultatu.

Addition.txt

FRST.txt

Shortcut.txt

DANEgmer.txt

[picasso]

Widać tu tylko źle wyczyszczone adware - najcięższym elementem uruchamianym z zestawu jest sterownik {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64, który może mieć bardzo negatywny wpływ na system. Natomiast komponenty McAfee zwracają w Dzienniku zdarzeń błędy typu "is not trusted", jedna z usług brak pliku (tę będę usuwać). Dodatko licencja Windows wygląda na scrackowaną (to się nasuwa, gdyż do kompletu w pliku HOSTS są charakterystyczne blokady serwerów MS, które robią cracki).

 

Application errors:

==================

Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905
 

Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905
 

Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905
 

Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905
 

Error: (01/27/2015 11:06:37 PM) (Source: Winlogon) (EventID: 4103) (User: )

Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000.
 

System errors:

=============

Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu:

%%1053
 

Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service.
 

Error: (01/27/2015 10:52:36 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu:

%%2

 

Na razie usuń adware, choć mam szczere wątpliwości, czy to ma związek z McAfee. Wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64; C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys [48784 2015-01-27] (StdLib)
S1 {820a714f-c526-4777-8e87-e9d6612e0938}Gw64; system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}Gw64.sys [X]
S2 0165441422395760mcinstcleanup; C:\Users\KAHLR\AppData\Local\Temp\016544~1.EXE [854720 2014-11-19] (McAfee, Inc.)
S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.3.336.0\McCSPServiceHost.exe" [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
Task: {80F9AE36-6054-4DBE-97DA-6C5674208116} - System32\Tasks\{7F420921-0A3A-4C35-A7C4-681F2A7B61AD} => pcalua.exe -a C:\Users\ROBERT\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=sien
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-1773470009-2733455634-175904507-1001\...\MountPoints2: {6b98147a-94ce-11e4-8aa1-00241dd78311} - J:\LGAutoRun.exe
AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found
AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => "c:\progra~3\intere~1\intere~1.dll" File Not Found
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\Temp
C:\ProgramData\IePluginServices
C:\ProgramData\Norton
C:\ProgramData\Symantec
C:\ProgramData\WindowsMangerProtect
C:\Users\ROBERT\*.exe
C:\Users\ROBERT\AppData\Local\globalUpdate
C:\Users\ROBERT\AppData\Roaming\systweak
C:\Windows\system32\roboot64.exe
C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\ROBERT\AppData\Local
CMD: dir /a C:\Users\ROBERT\AppData\LocalLow
CMD: dir /a C:\Users\ROBERT\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Logi pochodzą z konta ROBERT, ale w systemie jest większa ilość kont:

 

========================= Accounts: ==========================
 

KAHLR (S-1-5-21-1773470009-2733455634-175904507-1003 - Administrator - Enabled) => C:\Users\KAHLR

Malinka (S-1-5-21-1773470009-2733455634-175904507-1004 - Limited - Enabled) => C:\Users\Malinka

ROBERT (S-1-5-21-1773470009-2733455634-175904507-1001 - Administrator - Enabled) => C:\Users\ROBERT

 

Wymagane logi FRST z każdego konta z osobna. Tzn. po kolei zaloguj się na każde konto poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy zestaw FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut). Na koncie limitowanym Malinka uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (to zmieni kontekst konta).

 

Dołącz też plik fixlog.txt.

[robertkahl]

Dzień dobry.

Dzięki za szybką odpowiedź.

Wykonałem trzy polecenia.

Załączam logi:

Addition.txt

Addition-k.txt

Addition-m.txt

Fixlog.txt

FRST.txt

FRST-k.txt

FRST-m.txt

[picasso]

Jak sądzę żadnych zmian w operatywności McAfee? Jeśli chodzi o zadania związane z adware, to zostały pomyślnie wykonane, na pozostałych kontach nie widać żadnych jawnych szkodników. Drobne poprawki na koncie ROBERT:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\AppEnable
C:\Program Files (x86)\Common Files\Symantec Shared
C:\ProgramData\374311380
C:\ProgramData\NortonInstaller

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń na razie) i dostarcz log z folderu C:\AdwCleaner.

[robertkahl]

Dzień dobry.

Wykonałem punkty.

McAfee dalej nie działa.

Fixlog.txt

AdwCleanerR0.txt

[picasso]

W kwestii doczyszczania po adware:

 

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj Szukaj + Usuń. Po czyszczeniu:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt.

 

 

McAfee dalej nie działa.

vs.

 

Próbowałem instalować jeszcze raz ale to nie dało rezultatu.

Jaki konkretnie błąd zwracają osłony McAfee? Spróbuj jeszcze raz przeinstalować program, ale wg tych kroków:

- Odinstaluj wszystkie komponenty (McAfee LiveSafe, McAfee SafeKey(uninstall only), McAfee SiteAdvisor) tradycyjnie przez Panel sterowania.

- Następnie zastosuj McAfee Consumer Product Removal Tool.

- Zainstaluj program ponownie.

 

Jeśli to nie przyniesie rezultatów, proponuję skontaktować się bezpośrednio z supportem McAfee.

[robertkahl]

Wszystko wykonałem.

 

Wykonam jeszcze jedną próbę instalacji a potem może zastosuje sposób podany na stronie http://service.mcafee.com/faq/TS101446_Polish.htm

Instalowałem McAfee przedtem tak jak teraz podawałaś.

Fixlog.txt

[picasso]

1. Jeśli chodzi o czyszczenie systemu, skończyliśmy. Skasuj FRST z J:\. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Jeśli chodzi o McAfee, jak mówiłam, skontaktuj się bezpośrednio z supportem technicznym. Program legalny i na licencji, mają obowiązek zająć się sprawą.

[robertkahl]

Dzień dobry.

Wykonałem.

Jestem umówiony na poniedziałek z McAfee na kontrolę zdalną mojego komputera.

Cytuje: Technik bedzie mial dostep do Panskiego komputera i bedzie mogl sprawdzic co dokladnie sie dzieje, a Pan bedzie mogl obserwowac wszystko podczas tej procedury.

Na razie dzięki, jak będzie wynik kontroli to go zamieszczę.

Proszę jeszcze nie zamykać tematu.

Pozdrowienia.

DelFix.txt

[picasso]

Skasuj z dysku plik C:\Delfix.txt. Tematu zgodnie z życzeniem nie zamykam i czekam na wyniki diagnozy technika McAfee.

[robertkahl]

Dzień dobry.

Wczoraj technik z McAfee próbował zdalnie znaleźć rozwiązanie niemożliwości włączenia skanowania w czasie rzeczywistym ale po wielu próbach poddał się. Powiedział że to jakiś większy problem i trzeba czekać na aktualizacje wersji programy która zainstaluje się za kilka dni. Podobno technicy już próbują rozwiązać problem. Zaproponowano mi przedłużenie subskrypcji o 30 dni, więc czekam i zobaczę co wymyślą.

Jak będę znał wynik to napiszę.

Pozdrowienia

[robertkahl]

Dzień dobry.

Po powtórnej sesji zdalnej technik naprawił jakiś plik Win. I program McAtee działa poprawnie.

Pozdrawiam.

Temat do zamknięcia.

[picasso]

Nie wiesz o jakim pliku mowa?

[robertkahl]

Niestety nie wiem.