[решено] не запускается защитник windows - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] не запускается защитник windows (http://forum.oszone.net/showthread.php?t=272542)

не запускается защитник windows

win7 x64
после штатной прогонки sfc (которая сказала о восстановлении сис.файлов) и лечения вирусов с помощью cureit - защитник windows упорно не хочется запускаться (что будучи до лечения вирусов, что после).
жду инструкций, ребята. логи прилагаю
спасибо

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1/ В логе сканирования Hijackthis отметьте:

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)

нажмите "Fix checked".

2/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Users\Юзер\appdata\roaming\closer.exe','');

 QuarantineFile('C:\Windows\TEMP\0.del','');

 QuarantineFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');

 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');

 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');

 DeleteFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');

 DeleteFile('C:\^Users^Юзер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');

 DeleteFile('C:\Users\Юзер\appdata\roaming\closer.exe','32');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del17761244');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del17761244');

 DeleteFileMask('C:\Program Files\Zaxar', '*', true);

 DeleteDirectory('C:\Program Files\Zaxar');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

 ExecuteRepair(10);

RebootWindows(true);

end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3/ Сделайте новые логи AVZ и RSIT

4/ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

Цитата:

Цитата aka_smile

защитник windows упорно не хочется запускаться »

служба WinDefend работает?

1. сделал
2. сделал
3. прикрепил
4. прикрепил
5. прикрепил

Цитата:

Цитата Katharsis

служба WinDefend работает? »

она не может запуститься. при ручном запуске ошибка на скриншоте

1. C:\Program Files (x86)\DealPly и C:\Program Files (x86)\BetterSurf - удалите через программы и компоненты, если они там есть

2. удалите вебальту: в поиске АВЗ, где вы ее искали, кликните ПКМ по списку - выбрать все. Нажмите "удалить"

3. из найденного MBAM удалите:

Цитата:

Обнаруженные ключи в реестре: 13
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PDF Reader (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 4
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0Q1O1J1S -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files (x86)\DealPly\DealPly.crx -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 13
C:\Program Files (x86)\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ch (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ie (PUP.Optional.BetterSurf) -> Действие не было предпринято.

Обнаруженные файлы: 46
C:\Users\Юзер\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.

C:\Program Files (x86)\PDFReader\Uninstall\Uninstall.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08\TuneUpUtilities2013-2200268_ru-RU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ch\Chrome.crx (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\BetterSurf.xpi (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\build.cmd (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome.manifest (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\install.rdf (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\firefox.js (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\inject.js (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\overlay.xul (PUP.Optional.BetterSurf) -> Действие не было предпринято.

перезагрузите компьютер

4. запустите AVZ - файл - стандартные скрипты. Выполните ст. скрипт 2. выложите лог virusinfo.syscheck.zip из папки LOG

все сделал. прикладываю лог

защитник по-прежнему не запускается и та же ошибка

убедитесь, что у вас установлена конфигурация служб по умолчанию

через политики не могли запретить запуск WinDefend?

Цитата:

Цитата Katharsis

убедитесь, что у вас установлена конфигурация служб по умолчанию »

дважды пробовал сбросить - не помогло.

Цитата:

Цитата Katharsis

через политики не могли запретить запуск WinDefend? »

дело в том, что gpedit здесь отсутствует..

Цитата:

Цитата aka_smile

дело в том, что gpedit здесь отсутствует »

да, в домашней нет

Создайте новую учетную запись, проверьте как будет под ней

Цитата:

Цитата Katharsis

Создайте новую учетную запись, проверьте как будет под ней »

все точно также.
кстати в первый пост не добавил информацию, что перед лечением вирусов накатил обновлением виндовс. это я к тому что как вариант можно уже этот способ не рассматривать..

воткнул в свою домашнюю редакцию отдельно групповые политики и по этой инструкции хотел принудительно включить там дефендер, но его там попросту нет!
как так - не могу понять...

Цитата:

Цитата aka_smile

накатил обновлением виндовс »

и после него проблема возникла?

у вас mse стоит, windefend может быть и отключен.

сделайте еще такой лог

нашел продолжение вопроса..
в реестре значение - 1. пытаюсь сменить на 0 - ругается, видимо с правами что-то..как решить это?

Цитата:

Цитата Katharsis

и после него проблема возникла? »

нет, была еще и до обновления, просто подключил уже один из официальных методов решения...но он просто не помог.
mse=защитник windows?
тогда windows defender это что? тут я начинаю путаться

разобрался с правами в реестре, сменил значение параметра DisableAntiSpyware с 1 на 0 - служба Защитник windows спокойно запустилась, но!
Иду в реестр - а там опять старый параметр "1". Полный ппц. и вот тут круг замкнулся

вот это да....придумал проблему и пытался ее решить, а оказывается
Вопрос: Предназначена ли программа Microsoft Security Essentials для замены Защитника Windows?
Ответ: Нет, однако если вы используете Microsoft Security Essentials, запускать Защитник Windows не требуется. Программа Microsoft Security Essentials разработана для отключения Защитника Windows, чтобы самостоятельно управлять защитой ПК в режиме реального времени, включая защиту от вирусов, пакетов программ rootkit, программ-троянов и программ-шпионов.
Защитник Windows и Microsoft Security Essentials в Windows 7, Windows Vista и Windows XP
эх.... :)

Цитата:

Цитата aka_smile

mse=защитник windows? »

не =, а он видимо ее и отключает, т к сам выполняет его функции

Цитата:

Цитата Katharsis

сделайте еще такой лог »

Katharsis, тем не менее я вам очень благодарен!

по логу GSI можно точно посмотреть что его отключает, хотя если не хотите, то не надо.

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

http://forum.oszone.net/post-1838507-9.html

Цитата:

Цитата Katharsis

по логу GSI можно точно посмотреть что его отключает, хотя если не хотите, то не надо. »

конечно любопытно... только вот не понял что за GSI

Цитата:

Цитата Katharsis

для профилактики повторных заражений »

и я не совсем понял...мне желательно сейчас это делать или на будущее..

Цитата:

Цитата aka_smile

только вот не понял что за GSI »

я давал вам ссылку.

Цитата:

Цитата aka_smile

и я не совсем понял...мне желательно сейчас это делать или на будущее.. »

сейчас, чтобы в будущем не было проблем

Цитата:

Цитата Katharsis

скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда »

нет необходимости, посмотрел содержимое ,мне всё там понятно :)

Цитата:

Цитата Katharsis

сейчас, чтобы в будущем не было проблем »

я так полагаю, это надо делать лог ДО и ПОСЛЕ. Уже схарило...как говорится

хотя какой то отчёт я сделал, может вы там увидите что-то интересное

загрузите на анализатор, ссылку выложите

Цитата:

Цитата Katharsis

загрузите на анализатор, ссылку выложите »

вот

Ничего, связанного с windefend в журналы не попало. Были бы ошибки - были бы записи, он в ручном режиме запуска и отключен (из за mse), так что все нормально

есть сомнительный файл - C:\Windows\System32\libs.exe, проверьте его здесь. Если будет детект - лучше избавиться.

Цитата:

Цитата Katharsis

C:\Windows\System32\libs.exe, проверьте его »

Показатель выявления: 0 / 47
спасибо за внимание!