Windows Defender Offline

[zbycho]

Wstawiam tu ponieważ będę potrzebował Fixlis-tu.

Przeglądając Podgląd zdarzeń natknąłem się na następujący wpis;

" Konfiguracja produktu Program antywirusowy Windows Defender została zmieniona. Jest to zdarzenie nieoczekiwane i należy przejrzeć ustawienia, gdyż mogło zostać spowodowane przez złośliwe oprogramowanie.
     Stara wartość: Default\ = 0x0
     Nowa wartość: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1"

I tak między 5.02 a 7.02 naprzemienna zmiana wartości.

Postanowiłem zajrzeć do rejestru. Do HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning i zmienić wartość z 0x1 na 0x0 (Przedtem zrobiłem kopię).

Nie udało mi się. Wyskoczył komunikat że " Nie można edytować, błąd przy zapisie nowej wartości". 

Przyznałem sobie uprawnienia i zmieniłem wartość na 0x0. Rejestr to zaakceptował.

Wyszedłem z rejestru i na wszelki wypadek postanowiłem wrócić do poprzednich ustawień. Uruchomiłem opcję Scal w zapisanej kopii i dostałem komunikat mówiący o braku uprawnień.

Zrestartowałem system i wszedłem do Rejestru a tam " samoczynnie" wartość ustawiła się na 0x1. Coś to spowodowało.

Skoro sugestia że może coś szkodliwego, to do dzieła.

Przeskanowałem system skanerami Kasperskiego, Eseta i AWDClenear. 

Bez rezultatu. Zero infekcji.

Postanowiłem dodatkowo przeskanować przez Windows Defender Offline. I tu niespodzianka. Windows Defender po dojechaniu za każdym razem do 92% kończy skanowanie i system przechodzi do startu. Oczywiście żadnych wyników skanowania ani informacji że jakieś było oprócz info w Podglądzie ze nastąpił  Error Code 0x8000000a i skanowanie sie nie powiodło.

Przeleciałem system programem FFS i zero wskazówek.

No to do wiersza poleceń. Dism-y a z nimi SFC. Integralność OK.

Wiem tylko że Windows Defender działa normalnie ponieważ świadczą o tym wpisy w Podglądzie.

Szukamy dalej. Skanowanie FRST. 

I tu wygląda że nie jest tak różowo. Trochę tu zmienić trzeba. Kiedyś się tym programem "bawiłem" . Teraz tylko zaglądam, przejrzę czyjś log, sprawdzę co jeszcze dostrzegę ale nie jestem na bieżąco, program jest non-stop rozwijany, więc nie pokuszę się do napisania pliku naprawczego.

Wstawiam te logi i czekam na łaskawa duszę, ponieważ dalej bez tego ani rusz.

Pozdrawiam i z góry dziękuję.

 

FRST.txt Addition.txt Shortcut.txt

[jessica]

Skoro masz log z FSS - to daj go.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {13846D8C-D1A8-4C2C-8F4B-B7E244E7FD84} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {312FD148-03FD-4459-B482-F5DE24519111} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {31F1D766-8698-42DD-BC86-80A16AB75BF1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {3612B7EB-8D65-4830-8F27-D43FDBEE27FA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {41D5E321-7478-48D8-9F89-BF7D7FDE8561} - System32\Tasks\EOSv3 Scheduler onTime => D:\Pobrane\esetonlinescanner_plk.exe [8170808 2020-02-06] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {6F188263-F317-4B6B-BA6D-90C9876AE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {78C29936-2BD4-4790-AADC-E9236B34B147} - System32\Tasks\{34C0A5B7-23AD-4682-9B58-4BF7F6A8715E} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files\HyperCam 2\HcUnInst.exe"
Task: {8BF4E606-50AF-49A9-B03D-960D17BB00D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {9176AE51-0262-445D-B288-5BF1F36AEBA3} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {A54ADF5B-CED5-4CED-ACED-7DA2A7FBD52F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {B20F291F-E95C-4914-9D37-ED152C953BAF} - System32\Tasks\EOSv3 Scheduler onLogOn => D:\Pobrane\esetonlinescanner_plk.exe [8170808 2020-02-06] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {B9CB9972-36EF-4BF5-9653-31D1056AAB68} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {D87D9E57-75B3-4CC7-A2B7-D9818E1288E1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {DEF89A65-FEBA-405A-8BBD-8906711B603D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {E21B3F8A-3EC8-4849-9AE5-179FFB242706} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {C19D42A3-6EC6-4422-9967-7EB1157B1369} - System32\Tasks\ASC8_SkipUac_zbycho => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> Brak pliku
FF Plugin-x32: @videolan.org/vlc,version=3.0.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Brak pliku]
FF Plugin-x32: @videolan.org/vlc,version=3.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Brak pliku]
FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku
FirewallRules: [TCP Query User{3B1557E0-06C0-497F-B913-D5465EB3C0B5}D:\pobrane\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) D:\pobrane\googlechromeportable\app\chrome-bin\chrome.exe Brak pliku
FirewallRules: [UDP Query User{A40851D4-2A36-461C-BAC1-D77B44B3D6DC}D:\pobrane\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) D:\pobrane\googlechromeportable\app\chrome-bin\chrome.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[zbycho]

Dziękuje za poświęcony czas. Jednocześnie pozwolę sobie wstawić ponownie najnowsze logi plus  Fixlog.

Jednocześnie pytanie dotyczące tych wpisów. Skasować czy zostawić, głównie chodzi o "job"

"Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku "

 

Jeśli w tej materii ( FRST ) już jest koniec to głowy dalej zawracać nie będę i zacznę poszukiwanie rozwiązania głównego problemu.

 

 

 

 

Fixlog.txt FRST.txt Addition.txt Shortcut.txt

[jessica]

ale nie dałeś logu z FSS

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
FF SearchPlugin: C:\Users\zbycho\AppData\Roaming\Mozilla\Firefox\Profiles\qv8rbxbq.default\searchplugins\irh4n5yn6j.xml [2019-07-26]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Warn)
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[zbycho]

Sorry z tym FSS.. Wstawiam. Mam wprawdzie jeden wpis ale sprawdzę w Rejestrze. Niestety problem z WDOff pozostał. Ale przynajmniej wiem ze nie jest nim zawirusowanie lub spaprana konfiguracja.

Natknąłem się na rozwiązanie polegające na kasacji pewnego klucza w Rejestrze dotyczącego zainstalowanego programu ESET. Niestety moim AV jest av systemowy. Cóż trzeba szukać dalej choć nie jestem odosobniony. Okazuje się że ten problem dotyczy wielu. Najciekawsze jest to że skan offline zawsze dochodzi do 91% - 92% i zostaje przerwany. Jest to nie zależne od kompilacji systemu.

 

CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <nie znaleziono>

 

Pozdrawiam.
 

FSS.txt FRST.txt Addition.txt Shortcut.txt

[jessica]

Z logu FSS wynika, że z Windows Defenderem jest wszystko OK.

 

Nie wiem więc o co Ci właściwie chodzi?

 

jessi

[zbycho]

O Windows Defender Offline.

Bez obrazy. Dziękuję ci za to co zrobiłaś. 

Ale w pierwszy post zatytułowałem dokładnie.  Non stop o tym 

Ponadto napisałem;

 

W dniu 8.02.2020 o 19:35, zbycho napisał:

Postanowiłem dodatkowo przeskanować przez Windows Defender Offline. I tu niespodzianka. Windows Defender po dojechaniu za każdym razem do 92% kończy skanowanie i system przechodzi do startu. Oczywiście żadnych wyników skanowania ani informacji że jakieś było oprócz info w Podglądzie ze nastąpił  Error Code 0x8000000a i skanowanie sie nie powiodło.

Dalej

 

W dniu 8.02.2020 o 19:35, zbycho napisał:

Przeleciałem system programem FFS i zero wskazówek.

No to do wiersza poleceń. Dism-y a z nimi SFC. Integralność OK.

Wiem tylko że Windows Defender działa normalnie ponieważ świadczą o tym wpisy w Podglądzie.

Szukamy dalej. Skanowanie FRST. 

I tu wygląda że nie jest tak różowo.

 

 

W dniu 8.02.2020 o 19:35, zbycho napisał:

 Konfiguracja produktu Program antywirusowy Windows Defender została zmieniona. Jest to zdarzenie nieoczekiwane i należy przejrzeć ustawienia, gdyż mogło zostać spowodowane przez złośliwe oprogramowanie.

 

 

W dniu 8.02.2020 o 19:35, zbycho napisał:

Przeskanowałem system skanerami Kasperskiego, Eseta i AWDClenear. 

Bez rezultatu. Zero infekcji.

To wszystko  w czym mi pomogłaś dotyczyło wyeliminowaniu możliwego malware mogącego mieć wpływ na działanie Windows Defender Offline.

Ten program to jedna z funkcji Windows Defender skanująca system przed jego bootowaniem .  

Ta funkcja u mnie nie działa a powinna. Jedną z przyczyn jest malware.

 Wygląda ze nie ma.  No to muszę szukać dalej co powoduje ze ta funkcja nie działa ponieważ to moje AV .

Niestety nie da się tego normalnie zreinstalować jak inny AV.

[jessica]

Aha, teraz zrozumiałam.

Niestety, nie potrafię tego naprawić.

 

jessi

[zbycho]

Jeszcze raz dziękuję. Pozostaje szukać. Pewnie najprościej by było zresetować system ale mam takie fix. System mam postawiony w 2014 roku. Windows 8.1. W 2015 r zaktualizowany do win 10. Praktycznie działa bez zbytnich kłopotów. Nigdy go nie reinstalowałem. Czasem jakieś Przywracanie systemu ale z reguły po wadliwych zewnętrznych aplikacjach. Raz tylko cofałem aktualizację i ją ukrywałem. Postanowiłem jak najdłużej na tej pierwszej instalacji jechać. Teraz mam po raz pierwszy problem związany z AV. Gdyby było zewnętrzne to jego zreinstalowanie rozwiązało by problem. Z systemowym niestety tak łatwo nie pójdzie a szkoda.

[zbycho]

Problem zaznaczony w temacie został rozwiązany. Długo grzebałem i okazało się że Windows Defender tak ma. Zapisuje swoje logi ale chowa je głęboko w trzewiach w C: \ Windows \ Microsoft Antimalware \ Support  w pliku MPLog- xxxxxxxxx-xxxxxxxx.log.

W przeciwieństwie do innych skanowań nie powiadamia normalnie, a szkoda.