Samoczynne wyłączanie się antywirusa - brak możliwości uruchomienia skanowania w czasie rzeczywistym

[RahdiEnneida]

Witam serdecznie,

 

Mam nadzieję, że wybrałem właściwy dział Od jakiegoś czasu mam problem z antywirusem. Do tej pory, przez dłuższy czas (co najmniej kilka miesięcy) używałem tylko ZoneAlarm, przy czym z niedziałającym modułem antywirusa. Jeszcze kilka miesięcy temu, moduł antywirusa co chwilę wyłączał się i włączał samoczynnie. Później był już cały czas wyłączony - jak próbowałem go włączyć, to po chwili sam się wyłączał - cały czas pokazywał, że jest nieaktualny. Jak wykonałem aktualizację, to wszystko było w porządku tylko przez chwilę, bo zaraz znowu się wyłączał i był nieaktualny. I tak przy każdej próbie aktualizacji.

Myślałem, że może to problem tego konkretnego programu. Przeinstalowałem go, tym razem bez modułu antywirusa, i zainstalowałem Avirę. Podobnie jak poprzednio, nie dało się włączyć opcji skanowania w czasie rzeczywistym. Różnica polegała na tym, że tutaj nawet na chwilę nie dało się włączyć tej opcji. Klik, chwila ładowania i nic się nie dzieje. Odinstalowałem Avirę i zainstalowałem Avast. Podobnie jak poprzednio, nie dało rady włączyć opcji skanowania w czasie rzeczywistym.

Nie działa opcja skanowania w czasie rzeczywistym ani żaden rodzaj skanowania w Avaście. W Avirze pełen skan przebiega bez problemów. Na ten moment używam zapory systemowej i mam zainstalowanego Avasta, który nie działa.

Wszystkie powyższe programy używałem w wersji darmowej.

Wysyłam potrzebne raporty - GMER wykonałem przy włączonym programie Avast (z niedziałającymi osłonami) i, o czym nie pamiętałem do momentu zakończenia skanowania, włączonej zaporze systemowej. Jeśli to problem, to uprzejmie proszę o informację, wtedy wykonam skan jeszcze raz, bez uruchomionych tych narzędzi.

 

Pozdrawiam

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Brak widocznych oznak infekcji... Za to notuję sterowniki Kasperskiego pozostałe po niepoprawnie odinstalowanym antywirusie ZoneAlarm. Na razie wykonaj te działania:

 

 

1. Deinstalacje:

- Wejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. Po użyciu programu opuść Tryb awaryjny.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis ZoneAlarm Antivirus > Dalej.

- Poprzez Panel sterowania odinstaluj starą wersję Adobe Flash Player 15 ActiveX oraz zbędny program zainstalowany jako sponsor produktów Adobe McAfee Security Scan Plus.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 cpuz130; \??\C:\Users\Adrian\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X]
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X]
S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-4162316270-4102970208-303935742-1000\...\MountPoints2: {9d0a26f5-cb2a-11e3-b7f0-94de80bc51f2} - E:\Aoesetup.exe
HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
FF user.js: detected! => C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\user.js [2014-05-28]
FF Extension: Avira Browser Safety - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\Extensions\abs@avira.com.xpi [2016-01-25]
C:\Program Files (x86)\ESET
C:\Users\Adrian\AppData\Local\Google
C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{D69B9A91-89BC-4FB2-A3AE-BB7014DAC94A}
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui
DisableService: PAExec
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś pozytywne zmiany.

[RahdiEnneida]

Wykonałem wszystko według instrukcji, z tym że Kaspersky Remover nic u mnie nie wykrył. Próbowałem wymusić odinstalowanie sterownika (wybrałem Kaspersky Anti-Virus/Internet Security 2015), wychodząc z założenia, że program nie odinstaluje czegoś, czego nie ma i spodziewając się jakiejś informacji, że nie może tego odinstalować. Ale chwilę odinstalowywał i pojawiło się powiadomienie o pomyślnym usunięciu i konieczności ponownego uruchomienia. Jeśli zrobiłem źle, to przepraszam.

Po wszystkim nie widzę zmian w działaniu antywirusa - dalej nie mam możliwości włączenia skanowania w czasie rzeczywistym.

W załącznikach potrzebne logi.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Sterowniki Kasperskiego zostały pomyślnie usunięte. I ja w raportach nie widzę przyczyny dla opisywanego zachowania... Spróbuj jeszcze przeinstalować Avast: najpierw usuń go normalnie via Panel sterowania, następnie w Trybie awaryjnym zastosuj Avast Uninstall Utility. Podaj rezultaty.

[RahdiEnneida]

Nie byłem w stanie odinstalować programu poprzez panel sterowania; po pojawieniu się okna "Avast Free Antivirus Setup" i kliknięciu "Uninstall", wyskakiwał błąd: "Instalator Avasta nie może kontynuować, ponieważ ostatnia operacja została wykonana bez ponownego uruchomienia komputera. Proszę wykonać restart komputera i ponownie uruchomić instalator". Próbowałem kilka razy restartować, ale za każdym razem pojawiał się ten błąd. Dopiero Avast Uninstall Utility zdołał usunąć program.

Zainstalowałem antywirusa ponownie, ale niestety problem nie zniknął. Dalej nie mogę uruchomić skanowania w czasie rzeczywistym. I teraz też nie mogę odinstalować programu przez panel sterowania - pojawia się ten sam błąd.

[picasso]

Zaczyna mi brakować pomysłów. Może spróbuj jeszcze:

 

1. Sprawdzanie dysku pod kątem błędów:

 

Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER:

 

chkdsk /f /r

 

Zatwierdź uruchomienie przy następnym starcie i zresetuj system. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki.

 

2. Sprawdzanie poprawności plików Windows. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

[RahdiEnneida]

Podaję wynik sprawdzania dysku:

 

- System

    - Provider

      [ Name] Microsoft-Windows-Wininit       [ Guid] {206f6dea-d3c5-4d10-bc72-989f03c8b84b}       [ EventSourceName] Wininit

    - EventID 1001

      [ Qualifiers] 16384

      Version 0       Level 4       Task 0       Opcode 0       Keywords 0x80000000000000     - TimeCreated

      [ SystemTime] 2016-04-17T16:33:54.000000000Z

      EventRecordID 60414       Correlation     - Execution

      [ ProcessID] 0       [ ThreadID] 0

      Channel Application       Computer Adrian-Komputer       Security

- EventData

      Sprawdzanie systemu plików na C: Typ systemu plików to NTFS. Zaplanowano sprawdzenie dysku. System Windows sprawdzi teraz dysk. CHKDSK sprawdza pliki (poziom 1 z 5) Przetworzone rekordy plików: 328960. Ukonczono sprawdzanie plików. Przetworzone rekordy duzych plików: 2485. Przetworzone rekordy uszkodzonych plików: 0. Przetworzone rekordy atrybutów rozszerzonych: 0. Przetworzone rekordy ponownej analizy: 10109. CHKDSK sprawdza indeksy (poziom 2 z 5) Przetworzone wpisy indeksu: 481408. Ukonczono weryfikacje indeksów. Przeskanowane pliki nieindeksowane: 0. Odzyskane pliki nieindeksowane: 0. CHKDSK sprawdza deskryptory zabezpieczen (poziom 3 z 5) Przetworzone deskryptory zabezpieczen/identyfikatory plików: 328960. Oczyszczanie 1777 nieuzywanych wpisów w indeksie $SII pliku 0x9. Oczyszczanie 1777 nieuzywanych wpisów w indeksie $SDH pliku 0x9. Porzadkowanie 1777 nieuzywanych deskryptorów zabezpieczen. Ukonczono sprawdzanie deskryptorów zabezpieczen. Przetworzone pliki danych: 76225. Trwa sprawdzanie dziennika Usn... Przetworzone bajty numerów USN: 33958392. Zakonczono sprawdzanie poprawnosci dziennika Usn. CHKDSK sprawdza dane pliku (poziom 4 z 5) Przetworzone pliki: 328944. Zakonczono sprawdzanie danych pliku. CHKDSK sprawdza wolne miejsce (etap 5 z 5) Przetworzone wolne klastry: 46668075. Zakonczono sprawdzanie wolnego miejsca na dysku. System Windows sprawdzil system plików i nie znalazl zadnych problemów. 488282111 KB calkowitego miejsca na dysku. 301005044 KB w 237763 plikach. 159024 KB w 76226 indeksach. 0 KB w uszkodzonych sektorach. 445743 KB uzywanych przez system. 65536 KB zajetych przez plik dziennika. 186672300 KB dostepnych na dysku. 4096 bajtów w kazdej jednostce alokacji. 122070527 ogólem jednostek alokacji na dysku. 46668075 jednostek alokacji dostepnych na dysku. Informacje wewnetrzne: 00 05 05 00 90 ca 04 00 63 79 08 00 00 00 00 00 ........cy...... 53 08 00 00 7d 27 00 00 00 00 00 00 00 00 00 00 S...}'.......... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ System Windows zakonczyl sprawdzanie dysku. Zaczekaj na ponowne uruchomienie systemu.

 

W załączniku raport z SFC.

sfc.txt

[picasso]

Ten problem z wyłączaniem modułów programów zabezpieczających wygląda na pochodną uszkodzeń plików systemowych. Skan SFC notuje rozwalone komponenty Windows Filtering Platform (utylizowany przez zewnętrzne programy zabezpieczające), brak plików. Nic nie zostało naprawione, gdyż brak poprawnych kopii w systemie:

2016-04-17 18:54:27, Info                  CSI    0000036a [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    0000036b [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    0000036c [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    0000036d [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    0000036e [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery"
2016-04-17 18:54:27, Info                  CSI    0000036f [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    00000370 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery"
2016-04-17 18:54:27, Info                  CSI    00000371 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"fltLib.dll"; source file in store is also corrupted
2016-04-17 18:54:27, Info                  CSI    00000372 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:18{9}]"fltMC.exe"; source file in store is also corrupted
2016-04-17 18:54:27, Info                  CSI    00000373 [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2016-04-17 18:54:27, Info                  CSI    00000374 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery"
2016-04-17 18:54:27, Info                  CSI    00000375 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:48{24}]"FirewallControlPanel.dll"; source file in store is also corrupted

Naprawa będzie polegać na dostarczeniu z mojego systemu wiernych kopii plików o identycznych sumach MD5 wymaganych przez system. Na razie podaj mi wygodniejszy do analizy spis plików. Tzn. uruchom FRST,  polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log.

 

fltLib.dll;fltMC.exe;FirewallControlPanel.dll

[RahdiEnneida]

Proszę.

Search.txt

[picasso]

W tym spisie plików jest też informacja, że katalog C:\$Windows.~BT pozostawiony po aktualizacji Windows ma niepoprawne pliki niepodpisane cyfrowo.

 

Natomiast w kwestii braków podaj mi jeszcze skan czy istnieją foldery nadrzędne do których mają iść pliki. Otwórz Notatnik i wklej:

 

Folder: C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352
Folder: C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[RahdiEnneida]

Nie chciałbym nic popsuć, więc zapytam: czy ma jakieś znaczenie to, że dzisiaj zainstalowałem kilkanaście aktualizacji systemowych?

[picasso]

W tym przypadku nie powinno mieć to znaczenia. Dla świętego spokoju, prócz podanego skanu na obecność folderów, możesz dostarczyć nowe wyniki wyszukiwania FRST na poprzednio zadane warunki. Ten skan będzie dowodem, że nie nastąpiły żadne przetasowania.

[RahdiEnneida]

Dzięki - wysyłam oba pliki.

Fixlog.txt

Search.txt

[picasso]

Tak jak mówiłam, nie dokonały się żadne zmiany i sprawa nadal aktualna. Foldery komponentów na dysku są. Czyli przechodzimy do podstawiania plików:

1. Przesyłam paczkę plików. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP trzy pliki. Następnie przygotuj skrypt podstawiania plików, tzn. do Notatnika wklej:

CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\SysWOW64\FirewallControlPanel.dll
CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85\FirewallControlPanel.dll
CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\SysWOW64\fltLib.dll
CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltLib.dll
CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\SysWOW64\fltMC.exe
CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltMC.exe

Plik zapisz pod nazwą fixlist.txt. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive.

2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

3. Jeśli powyższa operacja się wykona poprawnie, ponownie uruchomiony skan sfc /scannow powinien zwrócić komunikat "nie wykryto naruszeń integralności".

[RahdiEnneida]

Pliki podmienione, w załączniku fixlog.txt.

Po ponownym uruchomieniu komputera Avast zaczął działać.

Skan SFC nic nie wykrył.

Wszystko wskazuje na to, że problem został rozwiązany - bardzo dziękuję za pomoc!

 

Pozdrawiam

Fixlog.txt

[picasso]

Drobnostki końcowe:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\$Windows.~BT wykazujący podobne naruszenia. W przypadku gdyby nie chciał się usunąć (błąd "Odmowa dostępu"), zastosuj skrypt fixlist.txt do FRST o zawartości:

 

RemoveDirectory: C:\$Windows.~BT

 

2. A na szarym końcu skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK

[RahdiEnneida]

Zrobione. Jeszcze raz dziękuję za pomoc!