Skocz do zawartości
robertkahl

McAfee - Wyłączone skanowanie w czasie rzeczywistym

Rekomendowane odpowiedzi

Widać tu tylko źle wyczyszczone adware - najcięższym elementem uruchamianym z zestawu jest sterownik {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64, który może mieć bardzo negatywny wpływ na system. Natomiast komponenty McAfee zwracają w Dzienniku zdarzeń błędy typu "is not trusted", jedna z usług brak pliku (tę będę usuwać). Dodatko licencja Windows wygląda na scrackowaną (to się nasuwa, gdyż do kompletu w pliku HOSTS są charakterystyczne blokady serwerów MS, które robią cracki).

 

Application errors:

==================

Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905

 

Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905

 

Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905

 

Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT)

Description: McShield failed to start because it is not trusted.

Error Code:a7f40905

 

Error: (01/27/2015 11:06:37 PM) (Source: Winlogon) (EventID: 4103) (User: )

Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000.

 

System errors:

=============

Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu:

%%1053

 

Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service.

 

Error: (01/27/2015 10:52:36 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu:

%%2

 

Na razie usuń adware, choć mam szczere wątpliwości, czy to ma związek z McAfee. Wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64; C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys [48784 2015-01-27] (StdLib)
S1 {820a714f-c526-4777-8e87-e9d6612e0938}Gw64; system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}Gw64.sys [X]
S2 0165441422395760mcinstcleanup; C:\Users\KAHLR\AppData\Local\Temp\016544~1.EXE [854720 2014-11-19] (McAfee, Inc.)
S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.3.336.0\McCSPServiceHost.exe" [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
Task: {80F9AE36-6054-4DBE-97DA-6C5674208116} - System32\Tasks\{7F420921-0A3A-4C35-A7C4-681F2A7B61AD} => pcalua.exe -a C:\Users\ROBERT\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=sien
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-1773470009-2733455634-175904507-1001\...\MountPoints2: {6b98147a-94ce-11e4-8aa1-00241dd78311} - J:\LGAutoRun.exe
AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found
AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => "c:\progra~3\intere~1\intere~1.dll" File Not Found
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms}
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\Temp
C:\ProgramData\IePluginServices
C:\ProgramData\Norton
C:\ProgramData\Symantec
C:\ProgramData\WindowsMangerProtect
C:\Users\ROBERT\*.exe
C:\Users\ROBERT\AppData\Local\globalUpdate
C:\Users\ROBERT\AppData\Roaming\systweak
C:\Windows\system32\roboot64.exe
C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\ROBERT\AppData\Local
CMD: dir /a C:\Users\ROBERT\AppData\LocalLow
CMD: dir /a C:\Users\ROBERT\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Logi pochodzą z konta ROBERT, ale w systemie jest większa ilość kont:

 

========================= Accounts: ==========================

 

KAHLR (S-1-5-21-1773470009-2733455634-175904507-1003 - Administrator - Enabled) => C:\Users\KAHLR

Malinka (S-1-5-21-1773470009-2733455634-175904507-1004 - Limited - Enabled) => C:\Users\Malinka

ROBERT (S-1-5-21-1773470009-2733455634-175904507-1001 - Administrator - Enabled) => C:\Users\ROBERT

 

Wymagane logi FRST z każdego konta z osobna. Tzn. po kolei zaloguj się na każde konto poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy zestaw FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut). Na koncie limitowanym Malinka uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (to zmieni kontekst konta).

 

Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jak sądzę żadnych zmian w operatywności McAfee? Jeśli chodzi o zadania związane z adware, to zostały pomyślnie wykonane, na pozostałych kontach nie widać żadnych jawnych szkodników. Drobne poprawki na koncie ROBERT:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\AppEnable
C:\Program Files (x86)\Common Files\Symantec Shared
C:\ProgramData\374311380
C:\ProgramData\NortonInstaller

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń na razie) i dostarcz log z folderu C:\AdwCleaner.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W kwestii doczyszczania po adware:

 

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj Szukaj + Usuń. Po czyszczeniu:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt.

 

 

McAfee dalej nie działa.

vs.

 

Próbowałem instalować jeszcze raz ale to nie dało rezultatu.

Jaki konkretnie błąd zwracają osłony McAfee? Spróbuj jeszcze raz przeinstalować program, ale wg tych kroków:

- Odinstaluj wszystkie komponenty (McAfee LiveSafe, McAfee SafeKey(uninstall only), McAfee SiteAdvisor) tradycyjnie przez Panel sterowania.

- Następnie zastosuj McAfee Consumer Product Removal Tool.

- Zainstaluj program ponownie.

 

Jeśli to nie przyniesie rezultatów, proponuję skontaktować się bezpośrednio z supportem McAfee.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Jeśli chodzi o czyszczenie systemu, skończyliśmy. Skasuj FRST z J:\. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Jeśli chodzi o McAfee, jak mówiłam, skontaktuj się bezpośrednio z supportem technicznym. Program legalny i na licencji, mają obowiązek zająć się sprawą.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dzień dobry.

Wykonałem.

Jestem umówiony na poniedziałek z McAfee na kontrolę zdalną mojego komputera.

Cytuje: Technik bedzie mial dostep do Panskiego komputera i bedzie mogl sprawdzic co dokladnie sie dzieje, a Pan bedzie mogl obserwowac wszystko podczas tej procedury.

Na razie dzięki, jak będzie wynik kontroli to go zamieszczę.

Proszę jeszcze nie zamykać tematu.

Pozdrowienia.

DelFix.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skasuj z dysku plik C:\Delfix.txt. Tematu zgodnie z życzeniem nie zamykam i czekam na wyniki diagnozy technika McAfee.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dzień dobry.

Wczoraj technik z McAfee próbował zdalnie znaleźć rozwiązanie niemożliwości włączenia skanowania w czasie rzeczywistym ale po wielu próbach poddał się. Powiedział że to jakiś większy problem i trzeba czekać na aktualizacje wersji programy która zainstaluje się za kilka dni. Podobno technicy już próbują rozwiązać problem. Zaproponowano mi przedłużenie subskrypcji o 30 dni, więc czekam i zobaczę co wymyślą.

Jak będę znał wynik to napiszę.

Pozdrowienia

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dzień dobry.

Po powtórnej sesji zdalnej technik naprawił jakiś plik Win. I program McAtee działa poprawnie.

Pozdrawiam.

Temat do zamknięcia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...