Nefunkční Defender, předtím problém s nabídkou

[rzeman9]

Zdravím,

měl jsem na notebooku problém s kontextovou nabídkou Nový - místo otevření se notebook zaseknul. Zároveň jsem zjistil nefunkční Windows Defender - hlásil, že jej spravuje organizace (žádná není, notebook je soukromý).

Malwarebytes našel 18 problémů, nějaký BitCoinMiner, Spigot, ASK, opakovaně jsem je nechal odstranit, Malwarebytes se tvářil úspěšně, ale při dalším skenu tam některý byly pořád... Na několikátý pokus se je zřejmě podařilo odstranit a kombinace s instalací aktualizací opravila problém s kontextovou nabídkou. Defender už nehlásí spravování organizací, ale stále nefunguje.

Takže teď mě zajímá, jestli už mám čisto, případně jak dám do pořádku Defender... Logy v přiloženém souboru

logy.zip

(35.23 KiB) Staženo 65 x

.

[JaRon]

ahoj,
citat:
Tvorba fixlistu pro FRST
•Spustte poznamkovy blok (Start-spustit-notepad)
•Zkopirujte skript >>

Kód: Vybrat vše

Start
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-341015028-1419696881-1207632142-1001\...\Policies\Explorer: [] 
S2 HPSupportSolutionsFrameworkService; "C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe" [X]



EmptyTemp:
Reboot:
End

•Ulozte vytvoreny TXT jako fixlist.txt
•Presunte vytvoreny fixlist vedle FRST

Spustte znovu FRST.exe
•Kliknete na Fix
•Probehne oprava a vytvori log Fixlog.txt

Restart PC a dejte mi sem fixlog.txt

[rzeman9]

Kód: Vybrat vše

Fix result of Farbar Recovery Scan Tool (x64) Version: 18-01-2020
Ran by Radek (20-01-2020 11:23:49) Run:1
Running from C:\Users\Radek\Downloads
Loaded Profiles: Radek (Available Profiles: Radek)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-341015028-1419696881-1207632142-1001\...\Policies\Explorer: []
S2 HPSupportSolutionsFrameworkService; "C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe" [X]



EmptyTemp:
Reboot:
End
*****************

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => could not remove, key could be protected
"HKU\S-1-5-21-341015028-1419696881-1207632142-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\" => removed successfully
HKLM\System\CurrentControlSet\Services\HPSupportSolutionsFrameworkService => removed successfully
HPSupportSolutionsFrameworkService => service removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 10248192 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 25363023 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 437392005 B
Edge => 5481652 B
Chrome => 721865288 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4790 B
NetworkService => 4790 B
Radek => 5816644 B

RecycleBin => 520192 B
EmptyTemp: => 1.1 GB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 20-01-2020 11:29:09)


Result of scheduled keys to remove after reboot:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => could not remove, key could be protected

==== End of Fixlog 11:29:10 ====

Defender stále nejde a tohle mi našel MBAM...

Kód: Vybrat vše

Adresář: 3
PUP.Optional.Spigot, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 2, 454827, , , , 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 2, 454825, , , , 

Soubor: 12
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000007.ldb, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000009.ldb, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000010.log, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000011.ldb, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.Spigot, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 157, 454814, 1.0.17982, , ame, 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 2, 454827, 1.0.17982, , ame, 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 2, 454825, 1.0.17982, , ame, 

[JaRon]

OK, restartuj PC a vycisti PC s ADWCleanerom - najdene do karanteny - log sem

[rzeman9]

Kód: Vybrat vše

# -------------------------------
# Malwarebytes AdwCleaner 8.0.1.0
# -------------------------------
# Build:    12-17-2019
# Database: 2019-12-17.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-20-2020
# Duration: 00:00:00
# OS:       Windows 10 Home
# Cleaned:  0
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Not Deleted   iZito.com

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2230 octets] - [19/01/2020 19:03:06]
AdwCleaner[C00].txt - [1502 octets] - [19/01/2020 19:04:01]
AdwCleaner[S01].txt - [2352 octets] - [19/01/2020 19:06:51]
AdwCleaner[C01].txt - [1624 octets] - [19/01/2020 19:07:15]
AdwCleaner[S02].txt - [2474 octets] - [19/01/2020 20:02:13]
AdwCleaner[C02].txt - [2744 octets] - [19/01/2020 20:03:57]
AdwCleaner[S03].txt - [1764 octets] - [19/01/2020 22:12:56]
AdwCleaner[C03].txt - [1963 octets] - [19/01/2020 22:13:22]
AdwCleaner[S04].txt - [1822 octets] - [20/01/2020 11:44:37]
AdwCleaner[C04].txt - [1990 octets] - [20/01/2020 11:44:51]
AdwCleaner[S05].txt - [1944 octets] - [20/01/2020 12:31:41]
AdwCleaner[S06].txt - [2005 octets] - [20/01/2020 12:35:25]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C06].txt ##########

[JaRon]

tam tie nalezy z MBAM si nechal zmazat pretoze v logu >> Žádná uživatelská akce

[rzeman9]

Jo, ale po chvíli se tam objevují zas.

Malwarebytes
http://www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 20.01.20
Čas skenování: 13:29
Logovací soubor: 79338e04-3b80-11ea-b238-68f728d01eba.json

-Informace o softwaru-
Verze: 4.0.4.49
Verze komponentů: 1.0.793
Aktualizovat verzi balíku komponent: 1.0.17986
Licence: Bezplatná

-Systémová informace-
OS: Windows 10 (Build 18362.592)
CPU: x64
Systém souborů: NTFS
Uživatel: RADEK-NTB\Radek

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 280356
Zjištěné hrozby: 3
Hrozby umístěné do karantény: 3
Uplynulý čas: 3 min, 38 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Hodnota v registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 3
PUP.Optional.Spigot, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nahrazen, 157, 454814, 1.0.17986, , ame,
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nahrazen, 2, 454827, 1.0.17986, , ame,
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nahrazen, 2, 454825, 1.0.17986, , ame,

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)

WMI: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[JaRon]

pouzi vycistenie prehliadacov - JRT+zoek >> https://forum.viry.cz/viewtopic.php?f=1 ... 4#p1528598

[rzeman9]

Logy v souboru. Defender stále nic a MBAM stále nachází...

Kód: Vybrat vše

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 20.01.20
Čas skenování: 15:02
Logovací soubor: 7575a704-3b8d-11ea-a866-68f728d01eba.json

-Informace o softwaru-
Verze: 4.0.4.49
Verze komponentů: 1.0.793
Aktualizovat verzi balíku komponent: 1.0.17992
Licence: Bezplatná

-Systémová informace-
OS: Windows 10 (Build 18362.592)
CPU: x64
Systém souborů: NTFS
Uživatel: RADEK-NTB\Radek

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 280321
Zjištěné hrozby: 14
Hrozby umístěné do karantény: 0
Uplynulý čas: 3 min, 32 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Hodnota v registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 3
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.Spigot, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 157, 454814, , , , 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Žádná uživatelská akce, 2, 454827, , , , 

Soubor: 11
Generic.Malware/Suspicious, C:\USERS\RADEK\DOWNLOADS\ZOEK.EXE, Žádná uživatelská akce, 0, 392686, 1.0.17992, , shuriken, 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000004.log, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Žádná uživatelská akce, 2, 454825, , , , 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 2, 454825, 1.0.17992, , ame, 
PUP.Optional.Spigot, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 157, 454814, 1.0.17992, , ame, 
PUP.Optional.ASK, C:\USERS\RADEK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Žádná uživatelská akce, 2, 454827, 1.0.17992, , ame, 

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)

WMI: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[JaRon]

vloz aktualny log FRST

[rzeman9]

Zde.

[JaRon]

Prescanuj/vycisti s Avptool

[rzeman9]

Nic nenašel.

[JaRon]

https://www.tenforums.com/tutorials/110 ... -10-a.html
Skus povolit defender pomocou reg suboru

[rzeman9]

Defender se tváří všelijak. Na výchozí stránce nastavení zabezpečení byla ještě před chvílí hláška o organizaci, teď vypadá, že je ochrana zapnutá a "není vyžadována žádná akce." Dokonce mi umožní spustit kontrolu, ale nezobrazuje žádný průběh, jen po chvilce vykoukne oznámení, že nebyly nalezeny žádné hrozby. A podle nastavení Poskytovatelé zabezpečení je Defender stále vypnutý....