AgRe5t Opublikowano 2 Lutego 2016 Zgłoś Udostępnij Opublikowano 2 Lutego 2016 Witam. Zauważyłem ostatnio, że mam wyłączoną zaporę systemową Windows Defender oraz przestał mi działać antywirus Microsoft Seciurity Essential. Jakiekolwiek próby włączenia go kończą się niepowodzeniem. Skanowałem system combo fixem (koledzy mi powiedzieli, że to pomoże) i jedyne co znalazło i usunęło to coś takiego 18a2a62f446e7a592aa3d7754c783a0f52519f0c. Czytałem kilka postów u Was na forum i widzę, że serwujecie pomoc najwyższej jakości więc nie będę nic na własną rękę cudował i również proszę pomoc. Poniżej raporty z FRST oraz GMER Shortcut.txt GMER.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Cytat Zauważyłem ostatnio, że mam wyłączoną zaporę systemową Windows Defender oraz przestał mi działać antywirus Microsoft Seciurity Essential. Jakiekolwiek próby włączenia go kończą się niepowodzeniem. Konkretnie, co i gdzie widzisz, jakie błędy? Wspominane komponenty są w stanie "uruchomiono": R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23816 2015-04-30] (Microsoft Corporation) S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [366544 2015-04-30] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [280376 2015-03-04] (Microsoft Corporation) S3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [124568 2015-03-04] (Microsoft Corporation) Zapora systemu Windows [funkcja włączona] Jedyne co tu widzę powiązanego, to poniższy błąd w Dzienniku zdarzeń. I widzę, że już ręcznie próbowałeś ładować sygnatury, na dysku jest plik mpam-feX64.exe. Jaki błąd podczas ich instalacji otrzymałeś? Dziennik System: ============= Error: (02/02/2016 08:06:26 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.8.0204.00 Ścieżka źródła: 4.8.0204.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Nic tu nie wskazuje na problem czynnej infekcji, choć widzę na dysku dwa podejrzane ukryte foldery "numeryczne". Wstępnie: 1. Drobny skrypt czyszczący do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AAE17F6-87EE-4088-8CBF-547677F5DC05} - \Windows -> Brak pliku <==== UWAGA U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\Users\Bartek\Desktop\pc-wizard_2012.2.11\pcwiz_x64.sys [X] GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Folder: C:\ProgramData\621377 Folder: C:\ProgramData\621477 C:\ProgramData\621377 C:\ProgramData\621477 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Bartek\AppData\Roaming\appdataFr2.bin C:\Users\Bartek\Desktop\Inne\*.lnk CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
AgRe5t Opublikowano 12 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Wielkie dzięki za odpowiedź. Ogólny problem to wymieniony powyżej, czyli brak możliwości aktualizacji definicji wirusów oraz włączenia zapory. Co ciekawe, po 2 dniach od umieszczenia tego posta wszystko wróciło do normy mimo, że NIC z tym nie robiłem czekając na odpowiedź. W obecnej chwili zarówno mam aktualną bazę wirusów oraz zapora działa. Nie mam pojęcia jak i co się stało. Zaznaczam, tylko ja korzystam z tego komputera i na 100% nic nie kombinowałem w tym kierunku. Mimo to zrobiłem wszystko co miałem zrobić i poniżej załączam nowe logi: Fixlog.txt FRST.txt Addition.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2016 Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Skoro problem samoistnie ustąpił, to nie mam tu nic więcej do roboty. Jak mówiłam, nie notuję ani czynnej infekcji, ani jawnych uszkodzeń. Fix FRST pomyślnie wykonany. Na koniec drobne działania: 1. Odinstaluj stare wersje Adobe Flash Player 12 ActiveX, Java 8 Update 51 (64-bit), RealPlayer. 2. Skoryguj drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Vinter Opublikowano 12 Lutego 2016 Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Chyba się pomyliłeś. Windows Defender powinien być wyłączony, jeśli masz zainstalowany MSE, bo powoduje to konflikty w systemie (tak piszą na stronie Microsoftu). Zapora systemowa włączona (ale zapora to nie Windows Defender). Odnośnik do komentarza
Rekomendowane odpowiedzi