bialutki12 Opublikowano 3 Października 2016 Zgłoś Udostępnij Opublikowano 3 Października 2016 Witam jak w temacie po infekcji komputera nie mogę włączyć usługi windows defender. Wszystkie wirusy pomogła mi usunąć Filutka z forum pclab.pl która też mnie tutaj skierowała. Link do tematu. Po próbie odpalenia windows defender w menu strat wyskakuje komunikat: Ta aplikacja jest wyłączona przez zasady grupy. Aby zezwolić na uruchomienie tej aplikacji,skontaktuj się z administratorem zabezpieczeń w sprawie włączenia programu za pomocą zasad grupy. Proszę o pomoc. Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 3 Października 2016 Zgłoś Udostępnij Opublikowano 3 Października 2016 Dostarcz wymagane raporty systemowe: KLIK, KLIK. Dodatkowo dostarcz raport dot. usług w systemie: KLIK. Odnośnik do komentarza
bialutki12 Opublikowano 3 Października 2016 Autor Zgłoś Udostępnij Opublikowano 3 Października 2016 proszę logi: program gmer po ok 2godz skanowania zrestartował komputer z powodu wystąpienia jakiegoś problemu.. Addition.txt FRST.txt Shortcut.txt FSS.txt gmer.txt Odnośnik do komentarza
bialutki12 Opublikowano 5 Października 2016 Autor Zgłoś Udostępnij Opublikowano 5 Października 2016 Logi zrobione.Prosze o analizę i pomoc Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Cytat Po próbie odpalenia windows defender w menu strat wyskakuje komunikat: Ta aplikacja jest wyłączona przez zasady grupy. Aby zezwolić na uruchomienie tej aplikacji,skontaktuj się z administratorem zabezpieczeń w sprawie włączenia programu za pomocą zasad grupy. Problemem jest polityka DisableAntiSpyware Windows Defender w rejestrze, która była już znana w logu na poprzednim forum tylko nic z tym nie zrobiono: Windows Defender Disabled Policy: ========================== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:1 Na dodatek, rekonfigurowano tylko usługę WinDefend, a przecież w logu sterowniki WdBoot + WdFilter też wymagają interwencji (ustawienie na Manual zamiast Boot): S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [347328 2016-07-16] (Microsoft Corporation) S2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [103720 2016-07-16] (Microsoft Corporation) S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44056 2016-07-16] (Microsoft Corporation) S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [290144 2016-07-16] (Microsoft Corporation) S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [123232 2016-07-16] (Microsoft Corporation) Na poprzednim forum nie rozwiązano też tych problemów: Cytat jeszcze jedna sprawa związana z przeglądarką EDGE a mianowicie ma ustawioną strone startową w postaci mpc a to też chyba jakiś syf + filutka78 napisał: Problem w tym, że Twoje słowa przeczą logom: Edge: ====== Edge HomeButtonPage: HKU\S-1-5-21-3216529490-2936173829-3677909737-1002 -> hxxp://google.pl/ Zostałeś wprowadzony w błąd. FRST w ogóle nie skanuje strony startowej i wyszukiwarek Edge, bo wartości ProtectedHomepages i ProtectedSearchScopes są zakodowane: KLIK. Jedyne co w skanie FRST jest możliwe do pokazania, to tylko przycisk strony domowej na pasku przeglądarki (czyli powyżej zlokalizowane ustawienie), a to nie jest strona startowa. W związku z tym, że skanery nie umieją tych wartości przedstawić, zwykle robię ogólny reset ustawień Edge i to tu zadam. Dodatkowo, Firefox nadal jest zainfekowany - szkodliwe rozszerzenie HEZqAsPJ76 (były próby usuwania, ale jak widać nieskuteczne). I można też z dysku wywalić cały folder Google Chrome, nie istnieje jako przeglądarka zainstalowana. Cytat widzę,że jeszcze jest problem z symbaloo w przeglądarce ie (...) symbaloo dalej się odpala w nowej karcie... To element Toshiba, skutki integracji dostosowanej przez Toshiba wersji Symbaloo (system synchronizacji zakładek). W logu FRST: HKU\S-1-5-21-3216529490-2936173829-3677909737-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c Można usunąć ten adres, tym bardziej że Symbaloo Toshiby zostało najwyraźniej odinstalowane, tylko jak wskazuję to nie jest pochodna infekcji. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj odpadki po AVG: AVG Web TuneUp, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. Jeśli będzie problem z ich deinstalacją, zastosuj Program Install and Uninstall Troubleshooter. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3216529490-2936173829-3677909737-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c SearchScopes: HKU\S-1-5-21-3216529490-2936173829-3677909737-1002 -> {3CF8091D-654B-4B63-A102-C5F67D0BABF4} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdBoot /v Start /t REG_DWORD /d 0x0 /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 0x0 /f CMD: netsh advfirewall reset Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\paweł\AppData\Local\app C:\Users\paweł\AppData\Local\Google\Chrome C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Po restarcie Menu Start > Ustawienia > Aktualizacja i zabezpieczenia > Windows Defender > ustaw wszystkie opcje na Włączone. Następnie uruchom Windows Defender w normalny sposób, by sprawdzić czy nie ma żadnych zażaleń / błędów. 5. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder z uszkodzoną nazwą użytkownika: C:\Users\paweᄈ. Oczywiście nie ruszaj poprawnego folderu C:\Users\paweł. 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz gdzieś jeszcze problemy. Odnośnik do komentarza
bialutki12 Opublikowano 7 Października 2016 Autor Zgłoś Udostępnij Opublikowano 7 Października 2016 A więc tak wszystko co napisalaś w instrukcji zrobiłem lecz nie mogłem usunąć programu avg tuneup..pobrałem program do usuwania ale na jego liście nie było avg do usunięcia,po wybraniu opcji inny program trzeba było wpisać klucz produktu tego programu..nie bardzo wiem o co chodzi wiec avg dalej jest na dysku.Windows defender włącza się ale opcji ochrony w czasie rzeczywistym nie da się włączyć..Reszta działa jak należy.Dziekuje za pomoc i za zainteresowanie Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Cytat nie mogłem usunąć programu avg tuneup..pobrałem program do usuwania ale na jego liście nie było avg do usunięcia Uruchom Zoek. W oknie wklej: AVG Web TuneUp;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt. By wszedł w załączniki, musisz w Opcjach folderów wyłączyć Ukrywanie znanych typów plików i ręcznie zmienić nazwę z *.log na *.txt. Cytat Windows defender włącza się ale opcji ochrony w czasie rzeczywistym nie da się włączyć. Co konkretnie się pokazuje? Czy opcja jest zszarzona, czy może przy próbie włączenia pokazuje się jakiś błąd? Odnośnik do komentarza
bialutki12 Opublikowano 7 Października 2016 Autor Zgłoś Udostępnij Opublikowano 7 Października 2016 Jeżeli chodzi o windows defender to przycisk włącz jest koloru czerwonego,można go kliknąć ale po chwili myślenia komputer pokazuje komunikat: nie można włączyć ochrony w czasie rzeczywistym.operacja została zwrócona ponieważ przekroczono limit czasu.kod błędu 0x800705b4. Problem z windows defender rozwiązany.Po odinstalowaniu ccleaner defender działa jak należy zoek-results.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Jakoś wątpię, by deinstalacja CCleaner miała coś do rzeczy. Elementy CCleaner w ogóle nie zazębiają się z instalacją Windows Defender... Czy na pewno deinstalacja CCleaner to była jedyna akcja, czy na pewno to nie kolejny restart systemu spowodował odpalenie uprzednio nieaktywnych składników Windows Defender? Odnośnik do komentarza
bialutki12 Opublikowano 7 Października 2016 Autor Zgłoś Udostępnij Opublikowano 7 Października 2016 Wygooglowwałem temat i na jednym forum pisało żeby odinstalować ccleaner..Dzisiaj komputer restartowałem kilka razy i za każdym razem sprawdzałem działanie windows defender i nic nie pomagało.Dopiero po deinstalacji ccleanera problem znikl. Link do tematu pozdrawiam Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Podtrzymuję swoją opinię, przyczyna wygląda na inną, może deinstalacja CCleaner spowodowała inną pośrednią zmianę lub nastąpił zbieg okoliczności. To się przecież kupy nie trzyma. A ten temat który linkujesz mówi o całkiem innym kontekście użycia CCleaner (czyszczenie rejestru z innego antywirusa) a nie CCleaner jako takim. Tzn. był zewnętrzny program antywirusowy Norton, usunięto go w niestandardowy sposób co nie spowodowało ponownej aktywacji Windows Defender. Przy zewnętrznym antywirusie Windows Defender jest automatycznie deaktywowany w systemach Windows 8 i 10, ale poprawna deinstalacja takiego antywirusa powinna ponownie włączyć Windows Defender, co się właśnie w temacie nie stało. CCleaner i Total Uninstall są wymieniane w kontekście (niedokładnego) czyszczenia z innych antywirusów... Wszystko zrobione. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery frst + Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
bialutki12 Opublikowano 8 Października 2016 Autor Zgłoś Udostępnij Opublikowano 8 Października 2016 Nie będę kłócił się z mistrzynią bo się nie znam:)Wszystko zrobione według Twoich wskazówek.Komputer dostał drugie życie,wszystko działa jak należy.Dziekuje za pomoc,poświęcony czas,wzrok oraz cierpliwość pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi