Suchar Opublikowano 9 Września 2015 Zgłoś Udostępnij Opublikowano 9 Września 2015 Witam, jak w tytule, usługa wyłącza się sama. Z czystej ciekawości chciałem wejść w defendera lecz nie mogłem, co mnie zaniepokoiło. Na chwile wyskakuje okienko, że został wyłączony i że nie ochrania komputera. Włączenie usługi w "usługi" nic nie daje, ani opcja ręczne ani automatyczne, po wyjściu ponownie się wyłącza. Jeżeli to ważne to miałem problem ze sklepem (już działa) i aplikacją aparatu (która nadal nie działa, sam moduł działa np w skype). Komputer ogólnie wolniej chodzi. Skanowanie GMER oddaje bluescreena, nie mam daemona ani nic, lecz mam program codeblocks i sdk do windows phone z "emulation images". Czy któryś z tych może powodować problemy? Wstępne otworzenie GMER coś pokazuje, ale wiem że to nie wystarczy.Powodem infekcji może być lewy office, no cóż.... Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 10 Września 2015 Zgłoś Udostępnij Opublikowano 10 Września 2015 2015-08-29 22:22 - 2015-08-29 22:22 - 00000258 _____ C:\Users\oleks\Documents\nudy.cpp 2015-08-29 22:04 - 2015-08-29 22:04 - 00957638 _____ C:\Users\oleks\Documents\Kalkulator.exe 2015-08-29 22:04 - 2015-08-29 22:04 - 00003012 _____ C:\Users\oleks\Documents\Kalkulator.o 2015-08-29 22:04 - 2015-08-29 22:04 - 00000769 _____ C:\Users\oleks\Documents\Kalkulator.cpp 2015-08-29 22:00 - 2015-08-29 22:00 - 00000684 _____ C:\Users\oleks\Documents\switch.cpp 2015-08-29 21:31 - 2015-08-29 22:00 - 00957638 _____ C:\Users\oleks\Documents\switch.exe 2015-08-29 21:24 - 2015-08-29 22:00 - 00002922 _____ C:\Users\oleks\Documents\switch.o 2015-08-29 13:50 - 2015-08-29 13:50 - 00000276 _____ C:\Users\oleks\Documents\yyyyyyy.cpp 2015-08-29 12:46 - 2015-08-29 13:50 - 00957126 _____ C:\Users\oleks\Documents\yyyyyyy.exe 2015-08-29 12:29 - 2015-08-29 13:50 - 00002058 _____ C:\Users\oleks\Documents\yyyyyyy.o 2015-08-27 10:28 - 2015-08-29 22:37 - 00000000 ____D C:\Users\oleks\Documents\ShareX 2015-08-26 17:06 - 2015-08-26 17:06 - 00000397 _____ C:\Users\oleks\Documents\wejscie.cpp 2015-08-26 15:21 - 2015-08-26 17:06 - 00957638 _____ C:\Users\oleks\Documents\wejscie.exe 2015-08-26 15:21 - 2015-08-26 17:06 - 00002593 _____ C:\Users\oleks\Documents\wejscie.o 2015-08-25 18:23 - 2015-08-29 22:22 - 00957126 _____ C:\Users\oleks\Documents\nudy.exe 2015-08-25 18:23 - 2015-08-29 22:22 - 00001999 _____ C:\Users\oleks\Documents\nudy.o 2015-08-24 21:48 - 2015-08-24 21:48 - 00000135 _____ C:\Users\oleks\Documents\cos22.cpp 2015-08-24 21:15 - 2015-08-24 21:15 - 00000147 _____ C:\Users\oleks\Documents\hyhy.cpp 2015-08-24 21:12 - 2015-08-24 21:15 - 00957090 _____ C:\Users\oleks\Documents\hyhy.exe 2015-08-24 21:10 - 2015-08-24 21:15 - 00001190 _____ C:\Users\oleks\Documents\hyhy.o 2015-08-22 23:22 - 2015-08-24 21:48 - 00957090 _____ C:\Users\oleks\Documents\cos22.exe 2015-08-22 23:19 - 2015-08-24 21:48 - 00001347 _____ C:\Users\oleks\Documents\cos22.o Znasz te powyższe? (w tej lokalizacji nie powinno być żadnego *.exe) Otwórz Notatnik i wklej w nim: Task: {F6062646-9148-4CC4-9413-9E8F5D6E583E} - System32\Tasks\Kiaxu => Rundll32.exe "C:\WINDOWS\SysWOW64\adtschema6.dll",giosrfwibb C:\WINDOWS\SysWOW64\adtschema6.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Powstanie plik fixlog.txt. Daj ten log. >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK Kliknij na "Uruchom ponownie". Zrób nowe logi FRST. jessi Odnośnik do komentarza
Suchar Opublikowano 10 Września 2015 Autor Zgłoś Udostępnij Opublikowano 10 Września 2015 tak, znam te powyższe (podstawowe programy w c++), jeżeli stanowią formę jakiejś luki, mogę je usunąć, natomiast ShareX to program do udostępniania screenów.Wykonałem fix Centrum zabezpieczen teraz zostaje włączone, jednakże defendera nie moge uruchomić, ponownie wyskakuje okienko (ale nie znika mogę przeczytać, że "używam innego oprogramowania antywirusowego" czy coś"). W panelu sterowania w zabezpieczenia i konserwacja klikanie opcji "włącz teraz" nic nie daje. Jeżeli mogę, to wykonam skan Malwarbytesem (poczekam na odpowiedź).Co z GMER? Usunąć SKD do windows phone?Logi: Fixlog.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 10 Września 2015 Zgłoś Udostępnij Opublikowano 10 Września 2015 tak, znam te powyższe (podstawowe programy w c++), jeżeli stanowią formę jakiejś luki, mogę je usunąć Skoro znasz, to nie widzę potrzeby usuwania ich. Jeżeli mogę, to wykonam skan Malwarbytesem Oczywiście możesz. jednakże defendera nie moge uruchomić, ponownie wyskakuje okienko (ale nie znika mogę przeczytać, że "używam innego oprogramowania antywirusowego" czy coś"). W panelu sterowania w zabezpieczenia i konserwacja klikanie opcji "włącz teraz" nic nie daje. Zrób log z Farbar Service Scanner. jessi Odnośnik do komentarza
Suchar Opublikowano 10 Września 2015 Autor Zgłoś Udostępnij Opublikowano 10 Września 2015 malwarebytes coś tam znalazłdefender nadal nie działa logi: FSS.txt Odnośnik do komentarza
jessica Opublikowano 10 Września 2015 Zgłoś Udostępnij Opublikowano 10 Września 2015 Action Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} key. The key does not exist. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"=""Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:dword:00000000Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). (to miało być razem w w pierwszym "Fix.Reg", ale opcja EDYTUJ POST fatalnie działa na tym forum, więc daję oddzielnie) Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Pobierz ServicesRepair. Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator. Zrestartuj komputer - jeśli nie było restartu. Zrób nowy log z FSS. jessi Odnośnik do komentarza
Suchar Opublikowano 12 Września 2015 Autor Zgłoś Udostępnij Opublikowano 12 Września 2015 Nadal nie mogę włączyć defendera, w logu to samo co było z defenderem + wyłączona zapora przeze mnie. Może to żadna infekcja tylko super win10? (nie miałem czasu szybciej wykonać poleceń) nowy log: FSS.txt Odnośnik do komentarza
jessica Opublikowano 12 Września 2015 Zgłoś Udostępnij Opublikowano 12 Września 2015 Może to żadna infekcja tylko super win10? Nie sądzę, by była to wina WIN 10. Ten System na bardzo dużo wad, ale nie słyszałam, by powodował problemy z Defenderem. Zrekonstruuj usługę Windows Defender Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> > z prawokliku Scal Zrób nowy log z FSS. jessi Odnośnik do komentarza
Suchar Opublikowano 12 Września 2015 Autor Zgłoś Udostępnij Opublikowano 12 Września 2015 nowy fix wywala błąd tak, odpalam jako admin, inaczej sie nie da, zrestartowalem system nawet ale nic nie pomoglo Odnośnik do komentarza
jessica Opublikowano 12 Września 2015 Zgłoś Udostępnij Opublikowano 12 Września 2015 Otwórz Notatnik i wklej w nim: ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefendListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinDefend\ParametersListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinDefend\SecurityListPermissions: HKLM\SOFTWARE\Microsoft\Windows Defender Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW).Powstanie plik fixlog.txt.Daj ten log. Potem czekaj na @Picasso. Jak tylko zauważysz, że @Picasso zaczyna pomagać na forum, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/ https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/page-2?do=findComment&comment=172845 Nie napisała, kiedy zacznie pomagać, więc ja też nie wiem, kiedy. jessi Odnośnik do komentarza
Suchar Opublikowano 14 Września 2015 Autor Zgłoś Udostępnij Opublikowano 14 Września 2015 ok, zrobione rozumiem, będę wyczekiwał Fixlog.txt Odnośnik do komentarza
Suchar Opublikowano 30 Września 2015 Autor Zgłoś Udostępnij Opublikowano 30 Września 2015 Odświeżam - nadal nie mogę uruchomić Defendera (nie zależy mi na nim ale jest to jednak lekko podejrzane). Jeżeli to jakaś bolączka systemu super10 to wytrzymam, jeżeli oznaka infekcji wolałbym ją zwalczyć - gdzie format stawiam na samym końcu listy opcji. Próba uruchomienia defendera kończy się tak: W "panelu sterowania" w "Zabezpieczenia i konserwacja" klikanie "włącz teraz" nic nie daje. Odnośnik do komentarza
picasso Opublikowano 13 Października 2015 Zgłoś Udostępnij Opublikowano 13 Października 2015 jessika Zły import rejestru dostosowany pod starsze systemy! "Windows Defender" w Windows 8/8.1 i Windows 10 to nie jest ten sam program co w starszych systemach, tylko najnowsza wersja Microsoft Security Essentials pod zmienioną nazwą. FRST nie filtruje programów zabezpieczających, więc jeśli Windows Defender nie jest uszkodzony, jest widoczny: Windows 7 i Vista: ==================== Usługi (filtrowane) ======================== R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) Windows 10 i 8/8.1: ==================== Usługi (filtrowane) ======================== R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation) ===================== Sterowniki (filtrowane) ========================== S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation) R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation) R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation) Trzeba będzie odkręcać to co zrobiłaś, bo żadnym cudem nie będzie działać konstrukcja ze starego systemu. Suchar Zacznijmy od tego, że infekcję nabyłeś używając cracka aktywacji. Na dysku widać było wyraźnie, że powstał KMSPico, a trzy minuty później już szkodliwe zadanie w Harmonogramie: 2015-09-08 17:03 - 2015-09-08 17:03 - 00466944 __RSH C:\WINDOWS\SysWOW64\adtschema6.dll 2015-09-08 17:03 - 2015-09-08 17:03 - 00002656 _____ C:\WINDOWS\System32\Tasks\Kiaxu 2015-09-08 17:00 - 2015-09-08 17:09 - 00000000 ____D C:\Program Files (x86)\KMSPico 10.0.6 To ta infekcja zdewastowała usługi zabezpieczeń Windows. Jeśli chodzi o nieszczęsny Windows Defender, z raportu wynika, że masz wyciętą w pień połowę w/w zestawu. W FRST w ogóle nie widać tych dwóch usług WdNisSvc + WinDefend (z poprawką na to, że później jessika przywróciła tę drugą w formie ze starych systemów). Są tylko sterowniki, które notabene mają przestawiony tryb startu na Ręczny: S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation) S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation) S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation) Dwie brakujące usługi muszą zostać ręcznie odbudowane. Niemniej w pierwszej kolejności trzeba potwierdzić czy na pewno tylko tego brakuje. FSS mówi, że nie został naruszony folder C:\Program Files\Windows Defender (są wykrywane w nim dwa pliki podpisane cyfrowo), a przynajmniej nie w części którą sprawdza FSS. 1. Poproszę o więcej danych na temat stanu katalogu. Do Notatnika wklej: Folder: C:\Program Files\Windows Defender Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt. 2. Poza tym, poproszę o świeże raporty FRST z opcji Skanuj (Scan), zaznacz pole Addition. . Odnośnik do komentarza
Suchar Opublikowano 13 Października 2015 Autor Zgłoś Udostępnij Opublikowano 13 Października 2015 Dziękuje za odpowiedź jak mówiłem, lewy office logi: Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Folder nie jest naruszony, zostaje odbudowa usług. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-320" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4e,00,69,00,\ 73,00,53,00,72,00,76,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000003 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-242" "DependOnService"=hex(7):57,00,64,00,4e,00,69,00,73,00,44,00,72,00,76,00,00,00,\ 00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 "LaunchProtected"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-310" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\ 4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000002 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-240" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,\ 00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\ 65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,\ 00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,\ 68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,\ 73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,\ 50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,\ 63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,\ 00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,00,6e,00,76,00,69,00,72,00,\ 6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,01,00,00,00,03,00,00,00,14,00,00,\ 00,03,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00 "LaunchProtected"=dword:00000003 "FailureCommand"="C:\\WINDOWS\\system32\\mrt.exe /EHB /ServiceFailure \"CAMP=4.8.10240.16384;approximate-> Engine=1.1.12101.0;AVSIG=1.207.2896.0;ASSIG=1.207.2896.0\" /StartService /Defender /q" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdBoot] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdFilter] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisDrv] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicyScripts\User: Ograniczenia C:\Program Files (x86)\KMSPico 10.0.6 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Suchar Opublikowano 15 Października 2015 Autor Zgłoś Udostępnij Opublikowano 15 Października 2015 a więc defender teraz odpowiada, pojawiła się jakaś aktualizacja systemu (może tylko zbieg okoliczności) logi: Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Wszystko zgodnie z planem. Windows Defender w raporcie prezentuje się jak należy. Uwaga dodatkowa: masz obecnie wyłączone Przywracanie systemu - to domyślne ustawienie Windows 10 dla mniejszych dysków o określonym progu. Sugeruję funkcję ponownie włączyć, by mieć wyjście awaryjne w razie jakiejś katastrofy. Na zakończenie zastosuj DelFix. Odnośnik do komentarza
Suchar Opublikowano 16 Października 2015 Autor Zgłoś Udostępnij Opublikowano 16 Października 2015 Dysk mam duży (1 Tb). Sam wyłączyłem raz, zwykle jak coś się sypie po całości to wolę postawić system od 0, czyszcząc partycję systemową. Delfix usunął co miał usunąć. A więc bardzo dziękuję za pomoc, niby tylko Defender, którego się rzadko używa ale bardzo dobrze że jednak nic większego. Pozdrawiam i dziękuje jeszcze raz. Odnośnik do komentarza
picasso Opublikowano 16 Października 2015 Zgłoś Udostępnij Opublikowano 16 Października 2015 Dysk mam duży (1 Tb). Sam wyłączyłem raz, zwykle jak coś się sypie po całości to wolę postawić system od 0, czyszcząc partycję systemową. vs. ==================== Dyski ================================ Drive c: () (Fixed) (Total:99.56 GB) (Free:38.46 GB) NTFS Drive e: () (Fixed) (Total:831.17 GB) (Free:527.81 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D9FA2484) Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=99.6 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=450 MB) - (Type=27) Partition 4: (Not Active) - (Size=831.2 GB) - (Type=07 NTFS) Przywracanie systemu jest ustawiane względem partycji a nie całości dysku. Dysk fizyczny duży, ale partycja C jest mała. Tak, 100GB to już "za mało" - u mnie przy tym progu Windows 10 zdecydował, że Przywracanie będzie wyłączone. Nie jestem pewna, ale wydaje mi się, że progiem przy którym Przywracanie jest deaktywowane na Windows 10 jest Odnośnik do komentarza
Rekomendowane odpowiedzi