Skocz do zawartości

Nie da się zainstalować antywirusa, Windows Defender nie działa


Rekomendowane odpowiedzi

Witam, mam problem z infekcją, która blokuje możliwość zainstalowania oprogramowania antywirusowego. Skanowałem komputer programami Dr.Web CureIt!, Malwarebytes Anti-Malware (ten otwiera się pod zmienioną nazwą), oraz CureIt bootowalne z pendriva przy uruchomieniu systemu. Wykrywały one po kilka podejrzanych plików ale po usunięciu ich i ponownych skanach, które już nic nie wykrywają sytuacja z instalacją antywirusów nie uległa zmianie.

 

Załączam skany z FRST i OTL

GMER przy uruchomieniu wyświetla błąd C:\\windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces

 

 

Z góry dziękuję za pomoc

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z OTL nie są obowiązkowe i usuwam. Stosowałeś jaki skrypt usuwający do OTL - co to było i skąd?

 

W systemie grasuje popularna tu ostatnio infekcja w postaci fałszywej usługi "cieniowania woluminu". Akcje do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

R2 VSSS; C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [106359424 2015-06-23] (Microsoft Corporation) [File not signed] 
S2 avgfws; "C:\Program Files (x86)\AVG\AVG2015\avgfws.exe" [X]
S0 cm_km_w; system32\DRIVERS\cm_km_w.sys [X]
S1 hzszkayk; \??\C:\WINDOWS\system32\drivers\hzszkayk.sys [X]
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
S2 kldisk; \SystemRoot\system32\DRIVERS\kldisk.sys [X]
S1 Klwtp; \SystemRoot\system32\DRIVERS\klwtp.sys [X]
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
S3 usb3Hub; \SystemRoot\System32\drivers\usb3Hub.sys [X]
S3 XHCIPort; \SystemRoot\System32\drivers\XHCIPort.sys [X]
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-1195767892-898069442-3820156252-1002\...\Run: [AceWebException] => C:\Users\Grzegorz\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] ()
ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File
ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File
ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File
ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File
HKU\S-1-5-21-1195767892-898069442-3820156252-1002\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={B4B56E63-B3D8-4505-8723-348C611CD0B8}&mid=8f655335c45347cd9dc5314fa05b5230-6bed12d77deea99345a0cedb1c9141571f9fc80a&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215pi&pr=fr&d=2015-03-24 19:11:32&v=4.1.0.411&pid=wtu&sg=&sap=hp
SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> DefaultScope {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL =
SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL =
SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
FirewallRules: [TCP Query User{702FC1AA-C29F-4662-AEE9-76087FEF9DE7}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [uDP Query User{2DD5C466-6F65-40BC-8DEE-4B3D34132039}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe
C:\Program Files\*.exe
C:\Program Files (x86)\AVG
C:\Program Files (x86)\Kaspersky Lab
C:\Program Files\Common Files\AV
C:\ProgramData\AVG2015
C:\ProgramData\MFAData
C:\Users\Grzegorz\AppData\Local\MFAData
C:\Users\Grzegorz\AppData\Roaming\.ACEStream
C:\Users\Grzegorz\AppData\Roaming\ACEStream
C:\Users\Grzegorz\AppData\Roaming\AceWebExtension
C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
C:\_acestream_cache_
DisableService: Internet Manager. RunOuc
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Co do skryptu usuwającego z OTL to znalazłem identyczny problem, ten sam system, na innym forum, a że nie miałem już do tego siły to wkleiłem go i wykonałem, ale z tego co widziałem w wyniku to nie znalazł żadnego z plików które miał usunąć więc raczej nie wpłynął na cokolwiek. Potem się zorientowałem, że nie powinienem tego robić i na własną rękę już nic kombinował nie będę.

Fix zrobiony. Podczas ponownego skanowania FRST wyskoczył błąd i zamknął się przed końcem, ale wykonałem skan ponownie i już było ok.
Fixlog i ponowny skan w załącznikach

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Infekcja została pomyślnie usunięta. Kolejne kroki:

 

1. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję):

 

==================== Restore Points =========================

 

ATTENTION: System Restore is disabled

 

Wejdź do interfejsu konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla systemowego dysku C.

 

2. Dodaj też log z Farbar Service Scanner.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...