Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7 Home Premium 64 bit - Zablokowany defender i antywirus, reklamy

meffju16 07 Mar 2016 09:06 5682 11
  • #1 07 Mar 2016 09:06
    meffju16
    Poziom 4  

    Cześć. Wczoraj przez przypadek zainstalował się na komputerze program Tencent.QQ. Był to program który uruchamiał kilka innych programów które w procesach zaczynały się od QQ...exe. Dodatkowo program był w języku chińskim więc nie mam pojęcia co to dokładnie było, na szczęście udało się go odinstalować domyślnym deinstalatorem znalezionym w folderze z aplikacją. Niestety nie udało się w całości pozbyć śmieci które po sobie pozostawił ponieważ nie jestem w stanie włączyć windows defendera - jest zablokowany przez zasady grupy, a mój antywirus 360 Total Security nie wykonuje żadnego skanowania, po uruchomieniu skanu po 30 sekundach skanowanie zostaje anulowane. Dodatkowo w przeglądarce pojawiają się nowe karty z reklamami i co jakiś czas pojawia się menu Malwarebytes Anti-Malware z informacją, że zablokowana kolejną niebezpieczną stronę. Poza tym zauważyłem, że strony wczytują się wolniej, czasami nie wczytują się wcale.

    Postąpiłem wg instrukcji: przeskanowałem kolejno Dr.Web CureIt!, Malwarebytes Anti-Malware (dwukrotnie), AdwCleaner - wszystkie znalezione zainfekowane pliki i wpisy usunąłem. Niestety cały czas Malwarebytes co jakiś czas informuje o zablokowaniu szkodliwej strony i reklamy nadal czasami otwierają się na nowych kartach.

    Wrzucam świeże logi z FRST wykonane przed chwilą, po wszystkich wykonanych i wymienionych czynnościach. Bardzo proszę o pomoc. Pozdrawiam

    0 11
  • Pomocny post
    #2 07 Mar 2016 09:38
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {3CD0CD70-303D-45C1-A19A-974B8E210AD4} - System32\Tasks\Jaanx => C:\PROGRA~1\GROOVE~1\Upiiuw.bat
    Shortcut: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
    Shortcut: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
    HKU\S-1-5-21-1119874504-2528443484-2436268093-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-1119874504-2528443484-2436268093-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-1119874504-2528443484-2436268093-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    StartMenuInternet: IEXPLORE.EXE - iexplore.exe
    StartMenuInternet: Google Chrome.6BMKTMAZV5E2JB3EN3JALTFLYU - C:\Users\Mateusz\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.istartpageing.com/?type=sc&ts=...&uid=ST750LM022XHN-M750MBB_S2USJ9DC502097
    U2 QHActiveDefense; Brak ImagePath
    S1 SRepairDrv; \??\C:\Windows\GJFix\SRepairDrv [X]
    2016-03-06 22:31 - 2016-03-06 22:59 - 00000000 ____D C:\Users\Mateusz\Doctor Web
    2016-03-06 20:43 - 2016-03-06 23:09 - 00000000 ____D C:\Users\Mateusz\AppData\Roaming\RadrSogs
    2016-03-06 20:43 - 2016-03-06 23:09 - 00000000 ____D C:\Users\Mateusz\AppData\LocalLow\Company
    2016-03-06 20:43 - 2016-03-06 20:43 - 00003342 _____ C:\Windows\System32\Tasks\Jaanx
    2016-03-06 20:43 - 2016-03-06 20:43 - 00000000 ____D C:\Windows\system32\zoo
    2016-03-06 20:43 - 2016-03-06 20:43 - 00000000 ____D C:\Users\Mateusz\AppData\Local\Tempfolder
    2016-03-06 20:42 - 2016-03-06 20:42 - 00000000 _____ C:\Windows\SysWOW64\Number of results
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    1
  • #3 07 Mar 2016 10:24
    meffju16
    Poziom 4  

    Dzięki wielkie, postąpiłem wg instrukcji, wygląda na to że szkodliwe strony już się nie pokazują, strony ładują się już znacznie szybciej, wcześniej w tym samym czasie już na pewno coś bym widział więc to uważam za rozwiązane.
    Niestety w dalszym ciągu nie mogę włączyć defendera. Po próbie włączenia mam komunikat, że "Ten program jest blokowany przez zasady grupy. Aby uzyskać więcej informacji, skontaktuj się z administratorem systemu. (Kod błędu: 0x800704ec)". Sprawdzałem też antywirusa, nadal nie chce się uruchomić skanowanie. Myślałem może, że jakaś usługa windowsa odpowiadająca za ochronę jest zablokowana ale przypuszczam, że wtedy nie mógłbym skanować np Malwarem lub adw cleanerem.
    Szukałem w internecie jak można to sprawdzić, kilka instrukcji podaje aby uruchomić gpedit.msc jednak na moim komputerze nie wyszukuje tego polecenia, dodatkowo postępując wg tego: "Aby uruchomić konsolę zarządzania zasadami grupy, kliknij kolejno przycisk Start, polecenie Panel sterowania, polecenie Narzędzia administracyjne i polecenie Group Policy Management (Zarządzanie zasadami grupy)"
    również nie mam tego u siebie na komputerze. Czy wiecie co może blokować mi antywirusa i windows defneder?

    1
  • Pomocny post
    #4 07 Mar 2016 10:50
    Acorus 20
    Spec od komputerów

    Naprawa Windows Defendera

    Otwórz Notatnik i wklej w nim:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
    "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
    "ErrorControl"=dword:00000001
    "Group"="COM Infrastructure"
    "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
    "Start"=dword:00000002
    "Type"=dword:00000020
    "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
    "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
    "ObjectName"="LocalSystem"
    "ServiceSidType"=dword:00000001
    "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
    00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
    65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
    00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
    74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
    00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
    69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
    00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
    6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
    00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
    00,00
    "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
    "ServiceDllUnloadOnStop"=dword:00000001
    "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
    00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
    20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
    00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

    Zresetuj system i sprawdź w services.msc czy usługa Windows Defender wróciła do normy.
    Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl

    2
  • #5 07 Mar 2016 11:48
    meffju16
    Poziom 4  

    Tak to wygląda w services.msc

    Nazwa | Opis
    Windows Defender | < Nie można odczytać opisu. Kod błędu: 1168 >

    Stan | Tryb uruchomienia | Logowanie jako
    < puste> | Ręczny | System Lokalny

    Po próbie ręcznego uruchomienia:
    Windows 7 Home Premium 64 bit - Zablokowany defender i antywirus, reklamy

    Próba włączenia defendera z centrum akcji daje błąd o zablokowaniu przez zasady grupy. Skanowanie Dr.Web CureIt nie wykryło żadnych zagrożeń.

    0
  • #6 07 Mar 2016 11:55
    Kolobos
    Spec od komputerów

    Uruchom okno cmd z prawami administratora i tam: sfc /scannow

    0
  • #7 07 Mar 2016 13:39
    meffju16
    Poziom 4  

    Panowie udało się. Uruchomiłem sfc /scannow i po skanie otrzymałem
    Windows 7 Home Premium 64 bit - Zablokowany defender i antywirus, reklamy

    Chciałem przeinstalować antywirusa którego miałem, ale o dziwo ani w ccleaner ani w revo uninstaller nie mogłem znaleźć narzędzia do deinstalacji, również w panelu sterowania nic nie znalazłem. Wszedłem na stronę producenta, ściągnąłem update i antywirus nagle zaczął pracować normalnie.

    Odnośnie Windows Defender zacząłem szukać w necie i znalazłem na jakimś zagranicznym forum, że we wpisie HKLM\Software\Policies\Microsoft\Windows Defender powinna znajdować się taka oto wartość DisableAntiSpyware. Po jej usunięciu Windows Defender można było uruchomić a następnie włączyć ochronę.
    Może komuś się to przyda. Dzięki za fix logi i za chęci pomocy! Pozdrawiam

    1
  • #8 07 Mar 2016 13:55
    Acorus 20
    Spec od komputerów

    Jak masz antywirusa to WindowsDefender powinien być wyłączony.

    3
  • #9 07 Mar 2016 14:10
    krzychupar
    Poziom 40  

    W logu Addition.txt Centrum zabezpieczeń jest napisane wyraźnie, że ma tylko Windows Defender.

    1
  • #10 07 Mar 2016 14:26
    Acorus 20
    Spec od komputerów

    A co to jest?
    HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe [1020536 2015-07-09] ()

    0
  • #11 07 Mar 2016 14:32
    Kolobos
    Spec od komputerów

    W przypadku problemow z Defenderem warto zamiescic logi z FSS, to tak na przyszlosc.

    0
  • #12 07 Mar 2016 14:36
    meffju16
    Poziom 4  

    No właśnie coś było nie tak z tym antywirusem bo teoretycznie był uruchomiony, a chcąc go odinstalować nie mogłem nigdzie go znaleźć. Zawsze do odinstalowania używam CCleaner albo RevoUninstaller, ewentualnie odinstalowuje z programów w panelu sterowania a tego nigdzie nie było. Dopiero jak zainstalowałem update to pojawił się znowu wszędzie, tak że teraz jest możliwa jego deinstalacja z CCleanera itp. Więc może dlatego logi wprowadzają w błąd.
    A co do defendera to po prostu irytowało mnie to, że nie chce się uruchomić a powinien. Nie lubię jak coś nie działa gdy powinno.
    Jeszcze raz dzięki za pomoc :)

    0