Windows Defender przestał działać

Wiki84 · 5 Marca 2012

dzień dobry,

mam nastepujący problem z komputerem. Nie wiem kiedy się to stało bo zauważyłam to wczoraj z tygodniowego urlopu. Przez ten czas komp nie był uruchamiany. Chodzi mi o usługę Windows Defender. Mój system to Vista sp2 64bit. W czasie mojej nieobecności wyszły aktualizacje

w "Windows Update", które m.in. dotyczyły WD. Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem

"Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu".

Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie. Skanowanie standardowymi programami typu Ad-aware, malwarebytes nic nie znalazło. Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga:

:

O1 - Hosts: ::1 localhost

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

OTL.Txt

Extras.Txt

Landuss · 5 Marca 2012

W logu usługi od ZeroAccess:

SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta)

SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M)

Na początek zacznij od użycia ComboFix i zaprezentuj log. Po tym działaniu wykonaj też nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) i załącz do posta.

Wiki84 · 5 Marca 2012

Miałam problemy z ComboFix. Niby skanuje jak trzeba ale potem ten log jest urwany. Po prostu krótki.Nie wiem czy tak powinien wyglądac. Drugi raz uruchomiłam ComboFix w trybie awaryjnym ale log był taki sam. No nic, umieszczam go tak jak wyglada oraz OTL i Farbar.

OTL.Txt

ComboFix.txt

FSS.txt

picasso · 6 Marca 2012

Tu nie jest pewne, czy ZeroAccess jest rzeczywiście czynny, mimo dziwnego zachowania ComboFix sugerującego odwrotność. Te dwie usługi ZeroAccess mają status Disabled (Wyłączony) + Stopped (Zatrzymany), poza tym brak innych oznak w raporcie sugerujących działania tej infekcji, choć widać od niej ten plik:

[2012/02/28 20:06:09 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd

Wykonaj skan potwierdzający (nie)istnienie składników. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

Klik w Skanuj (nie Wykonaj skrypt!). Przedstaw log wynikowy.

Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem

"Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu".

Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie.

To jest usterka innego poziomu, efekt insynuuje zepsute pliki Windows Defender, z których jest pobierana nazwa. Przeprowadź weryfikację plików systemowych za pomocą komendy sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga

Eeeee ... ale proszę popatrz na log z OTL:

O1 HOSTS File: ([2012/02/28 21:26:55 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\Hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

Log z OTL przedstawia wszystko co HijackThis i jeszcze więcej i jeszcze dokładniej. My mamy naprawdę dobry powód, że nie prosimy o HijackThis, a już zwłaszcza na systemie 64-bit, którym dysponujesz. To narzędzie jest 32-bitowe i kompletnie niezgodne z Twoim systemem, nie pokazuje prawdy w obszarze natywnie 64-bit i wprowadza w błąd (w posiadanym logu popatrz na wpisy "file missing" = to są błędy poboru danych przez narzędzie a nie rzeczywiste "file missing"). Wyrzuć z dysku i definitywnie o nim zapomnij. A ostatnie wieści: program zakończył oficjalnie żywot jako aplikacja TrendMicro, usunięty ze strony producenta i przetransportowany na SourceForge. Nareszcie.

Co do wpisów: nie, te wpisy nie powodują omawianych tu błędów. Natomiast trzeba je usunąć (mowa o wszystkim z wyjątkiem dwóch pierwszych linijek, które są prawidłowe, odpowiednio zgodne z protokołem IPv4 i protokołem IPv6). Ponadto sam plik HOSTS ma złe atrybuty (RHS = tylko do odczytu - ukryty - systemowy). Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

Jest jeszcze dziwna rzecz w wartości BootExecute i odpadki, ale tym się zajmiemy potem.

.

Wiki84 · 6 Marca 2012

Nowe logi:

OTL.Txt

sfc.txt

picasso · 6 Marca 2012

ZeroAccess w formie czynnej tu nie ma, to są jedynie odpadki i szybko to poprawimy. Chyba ktoś nieudolnie usuwał tę infekcję, a na dysku jest katalog narzędzia FRST. Natomiast skan SFC namierzył całkiem co innego, ale nie uszkodzenia Windows Defender. I czy resetowałaś plik HOSTS?

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta)
SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M)
NetSvcs:64bit: lvusbsta - C:\Windows\SysNative\w200bus.dll (Oak Technology Inc.)
NetSvcs:64bit: DLARTL_M - C:\Windows\SysNative\sbhooksvc.dll (Oak Technology Inc.)
O34 - HKLM BootExecute: (C:\Windows\12542059.exe \??\C:\Windows\12542059.dat)
[2012/03/03 21:33:46 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd
[2010/10/09 18:31:06 | 000,000,012 | ---- | C] () -- C:\Users\Wiki\AppData\Roaming\ldcpfk.dat
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox [2012/03/04 18:50:36 | 000,000,000 | ---D | M]
@Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF
@Alternate Data Stream - 368 bytes -> C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63
@Alternate Data Stream - 1382 bytes -> C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J
@Alternate Data Stream - 1377 bytes -> C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1
@Alternate Data Stream - 1352 bytes -> C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4
@Alternate Data Stream - 1168 bytes -> C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4591085A-945E-46F3-BF69-4B5AC3C76D90}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}]
 
:Commands
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

2. Wykonaj nowe logi: skan z OTL z opcji Skanuj + AdwCleaner z opcji Search + SystemLook:

Ponadto zrób dodatkowy skan pokazujący wygląd usługi oraz składowe folderów Windows Defender, plus wyszukiwanie na wystąpienia pliku msscb.dll (SFC nie umiał go naprawić). Uruchom SystemLook x64, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport.

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s

:dir

C:\Program Files\Windows Defender /s

C:\Program Files (x86)\Windows Defender /s

:filefind

msscb.dll

Przedstaw też ten log z usuwania z punktu 1.

.

Wiki84 · 6 Marca 2012

Tak, Plik HOSTS resetowałam tym fixem w poprzednich czynnosciach. Tylko nie wiem co teraz robić, chodzi o czynność z 1 punktu - OTL z wklejonym skryptem się zawiesił od kilkunastu minut czekam i nic. Nie wiem czy się sam odwiesi i dalej czekać czy go zamknąc jeśli to bezpieczne

w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem

Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL.

Edytowane 6 Marca 2012 przez Wiki84

picasso · 6 Marca 2012

w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem

Nie myl z funkcją skanowania. Te opcje nie mają żadnego znaczenia, jeśli wybiera się "Wykonaj skrypt".

Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL.

Ponów wykonanie skryptu, ale tym razem wklej treść pomijając końcówkę:

:Commands

[emptytemp]

.

Wiki84 · 6 Marca 2012

OTL ponownie się zawiesił w tym samym momencie przy Processing 034 - HKLM BootExecute. Po ręcznym uruchomieniu systemu też tylko opcja "ostatnia znane dobra konfiguracja" pozwala na uruchomienie systemu.

Po tym ręcznym uruchomieniu pojawił się na pulpicie komunikat ale nie ten o który chodzi. Tak wygląda:

picasso · 6 Marca 2012

To wytnij ze skryptu linię "O34 - HKLM BootExecute ..." i ponów.

Wiki84 · 6 Marca 2012

dziwne rzeczy się dzieją... po usunięciu tej linii OTL wykonał skan bez zawieszki. Pojawil się komunikat, by wykonać restart. I po restarcie to co przedtem - niebieski ekran na samym początku paska ładowania systemu i tylko uruchomienie z ostatniej dobrej konfiguracja działa. Tym nie mniej po uruchomieniu na pulpicie znowu pojawił się log w otwartym notatniku. Tym razem jest dluższy. Musze skopiować bo nie mam uprawnień do wysylania takiego loga, więc rozumiem że nie pochodzi z OTL:

Tytuł loga to "03062012_173432"

All processes killed

========== OTL ==========

Service lvusbsta stopped successfully!

Service lvusbsta deleted successfully!

File move failed. C:\Windows\SysNative\w200bus.dll scheduled to be moved on reboot.

Service DLARTL_M stopped successfully!

Service DLARTL_M deleted successfully!

File move failed. C:\Windows\SysNative\sbhooksvc.dll scheduled to be moved on reboot.

Unable to remove from NetSvcs value.

Error: No service named was found to stop!

Unable to delete service\driver key .

File indows\SysNative\w200bus.dll not found.

Unable to remove from NetSvcs value.

Error: No service named was found to stop!

Unable to delete service\driver key .

File indows\SysNative\sbhooksvc.dll not found.

File move failed. C:\Windows\SysNative\dds_trash_log.cmd scheduled to be moved on reboot.

C:\Users\Wiki\AppData\Roaming\ldcpfk.dat moved successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BA14329E-9550-4989-B3F2-9732E92D17CC} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}\ not found.

File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox not found.

ADS C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF deleted successfully.

ADS C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 deleted successfully.

ADS C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J deleted successfully.

ADS C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1 deleted successfully.

ADS C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4 deleted successfully.

ADS C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ deleted successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{4591085A-945E-46F3-BF69-4B5AC3C76D90}" /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: Wiki

->Temp folder emptied: 2074989 bytes

->Temporary Internet Files folder emptied: 154973091 bytes

->Java cache emptied: 4462686 bytes

->Google Chrome cache emptied: 49762486 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 57048 bytes

User: All Users

User: AppData

User: Application Data

User: Default