Zdeaktywowane Windows Defender i Microsoft Security Essentials

[parys]

Witam,

 

tak - problem z wlasnej glupoty ale musialem skorzystac z programu INDD pochodzacego

z niepewnego zrodla - podejrzewam iz od tego czasu moj system zostal zainfekowany, dlaczego?

 

ano poniewaz nie chce mi sie za zadne skarby uruchomic Windows Defender

ani Microsoft Security Essentials;

 

zadnych innych niepewnych zachowan mojego PCta nie zaobserwowalem

ani nie przychodzi zaden spam i potrzebuje sie upewnic ze cos zchrzanilem

oraz sprobowac przy Waszej uprzejmosci i pomocy sie TEGO pozbyc;

 

zalaczam logi;

 

Pozdrawiam!!

Extras.Txt

OTL.Txt

[picasso]

Próbowałeś uruchamiać jakiś skrypt do OTL, nie wolno brać skryptów z innych tematów, bo są unikatowe i dopasowane tylko i wyłącznie do systemu z którego pochodzą logi. Istotnie, mamy tu infekcję, która deaktywuje Centrum zabezpieczeń, Windows Defender i Microsoft Security Essentials. Infekcja posługuje się losowymi plikami, tak więc żaden skrypt z innego tematu i tak Ci nie pomoże.

 

[2011-06-08 18:01:13 | 000,114,176 | RHS- | C] () -- C:\Windows\SysWow64\KBDHELA3N.dll
[2011-06-08 18:01:13 | 000,000,312 | -HS- | C] () -- C:\Windows\tasks\Nnoebdp.job

W mojej procedurze usuwania nie uwzględnię włączania Windows Defender. To przestarzały komponent antymalware, który nie jest potrzebny w zestawieniu z Microsoft Security Essentials, dla wydajności powinien pozostać wyłączony. Podobnie jest zresztą ze Spybot Search & Destroy, który powinien zostać całkowicie odinstalowany z tego systemu. Powody: przestarzały program za słaby na dzisiejsze zagrożenia, zbędny przy nowoczesnym antywirusie (adresującym "spyware" z automatu), a tu jeszcze słabo dopasowany do platformy Windows 64-bit (jest programem 32-bit i nie widzi natywnej części systemu). I bedę zerować plik HOSTS wprowadzony przez Spybot Search & Destroy, bo to nic dobrego:

 

O1 HOSTS File: ([2011-06-15 18:44:34 | 000,435,620 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	123fporn.info
O1 - Hosts: 14990 more lines...

Skutki takiego koszmarnie wiekiego pliku to m.in. obciążenie svchost.exe na którym chodzi Klient DNS (dnscache). I dzieje się tu już niedobrze w systemie, bo notuję takie błędy w Twoim Dzienniku zdarzeń:

 

Error - 2011-02-13 03:51:03 | Computer Name = Vaio | Source = Service Control Manager | ID = 7011
Description = Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\KBDHELA3N.dll
C:\Windows\tasks\Nnoebdp.job
sc config MsMpSvc start= auto /C
sc config wscsvc start= delayed-auto /C
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Odinstaluj całkowicie Spybot Search & Destroy.

 

3. Wygeneruj do oceny nowy log z OTL opcją Skanuj, ale tak duży log nie jest mi już jednak potrzebny, toteż w konfiguracji zaznacz Pomiń pliki Microsoftu. Dołącz też log z wynikami usuwania uzyskany w punkcie 1.

 

 

 

.

[parys]

Witam Pania / Pana

 

na wstepie prosze przyjac ode mnie wyrazy sympatii i uznania za wiedze i profesjonalizm (BEZDYSKUSYJNIE)

z dwoch powodow: wysokiej jakosci pomocy i szybkosci reakcji - MICROSOFT moze do Was przyjechac

na szkolenie pt.: "Jak to sie robi w ...."; NAPRAWDE!

 

 

a) tak - probowalem uruchomic inny log odpowiadajacy symptomami na moje problemy, zeby Was niepotrzebnie nie

zadreczac - ale teraz widze, iz nie nalezalo tego robic...;(

b.) uruchomilem skrypt zgodnie z wytycznymi po czym restart;

c) nastepnie dokladne odinstalowanie Syboot'a;

d) wygenerowane logi zgodnie z instrukcja zalaczam;

e) ani Defender ani Security Essentials nie daje sie jednak wlaczyc obydwa z identycznego powodu, cytuje:

"Nie mozna uruchomic okreslonej uslugi, poniewaz jest ona wylaczona lub poniewaz nie sa wlaczone skojarzone z nia urzadzenia. (Kod bledu 0x80070422)"

cierpliwie czekajac na odpowiedz...

 

 

ps.

prosze przekazac moje skromne pozdrowienia dla calego zespolu!!

 

 

Pozdrawiam

Slawomir

OTL.Txt

[picasso]

Witam Pania / Pana

 

Płeć żeńska.

 

 

e) ani Defender ani Security Essentials nie daje sie jednak wlaczyc obydwa z identycznego powodu, cytuje:

"Nie mozna uruchomic okreslonej uslugi, poniewaz jest ona wylaczona lub poniewaz nie sa wlaczone skojarzone z nia urzadzenia. (Kod bledu 0x80070422)"

cierpliwie czekajac na odpowiedz..

 

W skrypcie uwzględniałam włączanie:

 

sc config MsMpSvc start= auto /C
sc config wscsvc start= delayed-auto /C

Mimo że prosiłam:

 

 

Dołącz też log z wynikami usuwania uzyskany w punkcie 1.

 

Nie dodałeś tego raportu. To i nie wiadomo czy to się wykonało / jaki był bąd. Ale widzę, że komendy nie dały rady, bo aktualny OTL pokazuje nadal stan "Disabled":

 

SRV:64bit: - [2010-11-11 14:36:38 | 000,012,784 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)

 

1. Ręcznie włącz usługi. Teraz będzie to możliwe, bo pliki infekcji zostały usunięte. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w następujące usługi i konfigurujesz:

 

• Centrum zabezpieczeń: Typ startowy przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem
  
• Microsoft Antimalware Service: Typ startowy ustaw na Automatyczny + usługę zastartuj przyciskiem
  

Przy okazji sprawdź także czy Ochrona systemu też nie została wyłączona przez malware: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i klik w Konfiguruj > powinno być zaznaczone "Przywróć ustawienia systemu oraz poprzednie wersje plików":

 

 

2. Mała korekta po resecie pliku HOSTS, OTL ustawił oba protokoły jako czynne:

 

O1 HOSTS File: ([2011-07-11 15:16:22 | 000,000,098 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost

Domyślnie w Windows 7 plik HOSTS ma skomentowane obie linie (aka nieczynne). Zastartuj Notatnik w trybie Uruchom jako Administrator (to bardzo ważne, by móc modyfikować plik), otwórz w nim plik C:\Windows\system32\drivers\etc\Hosts i dodaj przy obu liniach na początku znaczki komentarzy #:

 

#	127.0.0.1       localhost
#	::1             localhost

 

3. Uruchom funkcję Sprzątanie w OTL, co zlikwiduje kwarantannę z trojanami oraz program OTL z dysku. Funkcja wymaga restartu.

 

4. Jeśli Ochrona systemu nie została wyłączona przez malware, wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

5. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile nie będzie pusty).

 

 

 

 

 

.

[parys]

Witam Pania,

 

1) raz jeszcze PIEKNE dzieki!!!!!!

 

2) wszystkie kroki z powyzszej instrukcji wykonane

 

3) przeskanowane Malwarebytes' Anti-Malware i raport jest rzeczywiscie pusty (UfffffF;))

 

4) dla pewnosci zalaczam raz jeszcze raporty z OTLa po tym jak przeszedl skrypt OTLa, Essentials wstalo i nawet

widze, ze system chodzi sprawniej

 

5) gdyby bylo cos jeszcze niepokojacego w zalaczonych raportach poprosze o informacje

gdyby zas wszystko bylo OK prosze o zamkniecie tematu (z tego co czytalem forum

to tak sie robi.....?)

 

 

 

Pozdrawiam,

Slawomir

[picasso]

Logi OTL nie były mi już potrzebne (usuwam zbędne załączniki), dlatego zadałam Sprzątanie. Zostały aktualizacje do wykonania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)

- Do aktualizacji klient pocztowy, 32-bitowa wersja Java i wtyczki Adobe: INSTRUKCJE.

- (Opcjonalnie) Proponuję też wymianę potwora GG10 znacznie żwawszym programem z obsługą Gadu i lepiej zgranym z 64-bitami (natywna wersja): WTW. Opis jest zlokalizowany w temacie Darmowe komunikatory.

- (Opcjonalnie) kodeki też możesz zaktualizować.

 

Do raportu, gdy wszystko wykonasz. I temat zamykamy.

 

 

 

.

[parys]

Witam,

 

 

ale numer! z przyjemnoscia staje do raportu! WSZYSTKIE aktualizacje wykonane!!

 

 

milego dnia!

 

 

Pozdrawiam

Slawomir