Problem z instalacją aktualizacji analizy zabezpieczeń

[Ewa37]

Witam,

mam problem z wirusem, którego programy/skanery nie mogą usunąć. Wydaje mi się, że jest to związane z Windows Update, które nie wyszukuje tylko aktualizacji analizy zabezpieczeń. Inne aktualizacje takie jak aktualizacja funkcji 21H1 zainstalowała się dzisiaj bez problemu. Próbowałam pobrać aktualizację analizy zabezpieczeń ręcznie ale plik nie uruchamia się. Ponadto występują problemy z następującymi usługami - samoistnie zatrzymuje się ich działanie (w różnych odstępach czasowych), mimo wielokrotnego uruchamiania. Dzisiaj zatrzymuje się działanie tylko instalatora windows, pozostałe dwie usługi na razie od dłuższego czasu działają ale zauważyłam, że dzieje się tak po przeskanowaniu Microsoft Safety Scanner, który znalazł coś takiego https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=VirTool%3aWin32%2fDefenderTamperingRestore&product=13

- instalator windows

- usługa inteligentnego transferu w tle

- usługa windows update

Przeskanowałam system następującymi programami: AdwCleaner, Malwarebytes (te nic nie znalazły) i Microsoft Safety Scanner.

Poniżej przesyłam wymagane logi z prośbą o pomoc.

 

 

Addition.txt FRST.txt Shortcut.txt

[picasso]

W raportach brak oznak infekcji. Temat przenoszę do działu Windows.

 

 

3 godziny temu, Ewa37 napisał:

Wydaje mi się, że jest to związane z Windows Update, które nie wyszukuje tylko aktualizacji analizy zabezpieczeń. Inne aktualizacje takie jak aktualizacja funkcji 21H1 zainstalowała się dzisiaj bez problemu. Próbowałam pobrać aktualizację analizy zabezpieczeń ręcznie ale plik nie uruchamia się. Ponadto występują problemy z następującymi usługami - samoistnie zatrzymuje się ich działanie (w różnych odstępach czasowych), mimo wielokrotnego uruchamiania. Dzisiaj zatrzymuje się działanie tylko instalatora windows, pozostałe dwie usługi na razie od dłuższego czasu działają (...)

- instalator windows

- usługa inteligentnego transferu w tle

- usługa windows update

 

Usługa inteligentnego transferu w tle (BITS) oraz Instalator modułów systemu Windows (TrustedInstaller) domyślnie mają ustawiony Start na Ręczny i są w stanie Zatrzymanym. Te usługi się samodzielnie aktywują, gdy jest to wymagane, a po zakończeniu procesów ponownie zatrzymują.

 

W Dzienniku zdarzeń są następujące błędy:

 

Dziennik System:
=============
Error: (06/29/2021 03:38:39 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: 
Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący.

Error: (06/29/2021 03:38:39 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT)
Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147500053.

Error: (06/29/2021 01:26:54 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

Error: (06/29/2021 01:03:06 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

Error: (06/29/2021 01:01:26 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

 

Tylko, że silnik Windows Defender już jest zaktualizowany do tej wersji:

 

Windows Defender:
================
Wersja analizy zabezpieczeń: 1.343.25.0

 

Toteż na razie nasuwa się, by po prostu usunąć cache definicji i "wspomóc" wykrycie aktualizacji. Przy okazji sprawdzę też identyfikator bezpieczeństwa usługi BITS.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

cmd: cd "C:\Program Files\Windows Defender"
cmd: MpCmdRun.exe -removedefinitions -dynamicsignatures
cmd: MpCmdRun.exe -SignatureUpdate
cmd: sc sdshow bits

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

[Ewa37]

Dziękuję bardzo za pomoc. Byłam przekonana, że to wirus. Proszę jeszcze o wyjaśnienie, czy chodzi o usunięcie wszystkiego z folderu SoftwareDistribution

23 minuty temu, picasso napisał:

usunąć cache definicji

Poniżej Fixlog

 

Fixlog.txt

[picasso]

Nie, w ogóle nie chodziło ani o ręczne usuwanie, ani o SoftwareDistribution (na razie). Podany Fix do FRST miał wykonać automatyczne usuwanie cache definicji i aktualizację silnika Windows Defender. Tylko, że komendy zwróciły błąd:

 

'MpCmdRun.exe' is not recognized as an internal or external command,
operable program or batch file.

 

Ponawiamy próbę z pełnymi ścieżkami dostępu. Załaduj do FRST następujący Fix i pokaż wynikowy fixlog.txt:

 

cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -removedefinitions -dynamicsignatures
cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

 

 

[Ewa37]

Bardzo proszę, nowy Fixlog.

Fixlog.txt

[picasso]

Komendy pomyślnie wykonane, a wersja silnika podbita. Kolejny Fix do FRST:

 

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Reboot:

 

Nastąpi automatyczny restart systemu. Zrób nowy log z FRST, ale dostarcz tylko plik Addition.txt. Wypowiedz się też czy nastąpiła poprawa sytuacji, czy może Windows nadal pokazuje aktualizację analizy zabezpieczeń.

[Ewa37]

Niestety nic się nie zmieniło. Uruchomiłam ręcznie sprawdzanie aktualizacji lecz nadal nie wyszukuje aktualizacji analizy zabezpieczeń. Po tej ostatniej komendzie utworzył się Fixlog.

 

Addition.txt Fixlog.txt

[picasso]

W Dzienniku zdarzeń nie zostały po restarcie nagrane żadne błędy. Silnik Windows Defender został zaktualizowany przy udziale FRST, więc aktualizacja się już nie aplikuje i nie ma potrzeby jej instalacji. Jak rozumiem jednak Ty tę aktualizację nadal widzisz jako dostępną? Czy ona się pokazuje również podczas nowego wyszukiwania za pomocą opcji "Sprawdź aktualizacje"?

 

Jeśli odpowiedź na oba pytania jest pozytywna, spróbuj usunąć SoftwareDistribution, by zresetować Windows Update. Usługi Windows Update muszą być zatrzymane podczas wykonywania tej operacji.

[Ewa37]

Nie, żadnej dostępnej aktualizacji nie ma, chodzi mi o Windows Update, tam od 29.06.21 w historii aktualizacji nie ma nowych aktualizacji definicji zabezpieczeń. Te aktualizacje są wydawane codziennie. Jak pisałam w poprzednim poście

Godzinę temu, Ewa37 napisał:

Uruchomiłam ręcznie sprawdzanie aktualizacji lecz nadal nie wyszukuje aktualizacji analizy zabezpieczeń

Nie wiem, czy w tej sytuacji wyszuka inne aktualizacje ale o tym się przekonam, kiedy zostaną wydane.

 

Jaki typ uruchomienia powinna mieć usługa Windows Update, pytam o to, ponieważ w różnym okresie czasowym sama się zatrzymuje. W tej chwili ją uruchomiłam, jest ustawiona na automatyczne (wyzwolone uruchamianie). Czy tak powinno być?

[picasso]

11 minut temu, Ewa37 napisał:

Nie, żadnej dostępnej aktualizacji nie ma, chodzi mi o Windows Update, tam od 28.06.21 w historii aktualizacji nie ma nowych aktualizacji definicji zabezpieczeń. Te aktualizacje są wydawane codziennie.

 

Ah, to o to chodzi. Ja bym jednak odczekała kilka dni, by się upewnić. Jak mówiłam na samym początku w Dzienniku zdarzeń były błędy instalacji silnika, podczas gdy silnik i tak był zaktualizowany do wersji która rzekomo nie mogła się zainstalować. Wykonałam u Ciebie reset cache i silnika (nowsza wersja), więc być może przeszkoda została wyeliminowana i dalsze aktualizacje będą zgodnie z planem. Daj znać po kilku dniach co się dzieje.

 

[Ewa37]

Bardzo dziękuję za dotychczasową pomoc, rzeczywiście trzeba kilka dni odczekać. Jeszcze proszę o informację

27 minut temu, Ewa37 napisał:

Jaki typ uruchomienia powinna mieć usługa Windows Update, pytam o to, ponieważ w różnym okresie czasowym sama się zatrzymuje. W tej chwili ją uruchomiłam, jest ustawiona na automatyczne (wyzwolone uruchamianie). Czy tak powinno być?

 

[picasso]

Notabene, ja właśnie u siebie w systemie zobaczyłam, że 29 czerwca był był u mnie identyczny błąd jak u Ciebie, więc sądzę, że to jakiś problem po stronie Microsoftu:

 

Dziennik System:
=============
Error: (06/29/2021 04:33:45 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT AUTHORITY)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.343.25.0).

 

Usługa Windows Update jest domyślnie skonfigurowana na Ręcznie (wyzwalane uruchamianie).

[Ewa37]

Windows Update działa, od 1 lipca aktualizacje są pobierane i instalowane codziennie. Być może, że 29 czerwca był to błąd Microsoftu ale u mnie brakuje również aktualizacji z 30 czerwca, dlatego sądzę, że tylko dzięki twojej pomocy wszystko wróciło do normy.

U mnie usługa Windows Update jest ustawiona na Automatycznie (wyzwolone uruchomienie) ale jeśli dobrze działa nie będę nic zmieniać.

Pozdrawiam i bardzo serdecznie dziękuję za pomoc.