Диагностика системы

Добрых суток. Так как я постоянно слежу за своей системой, недавно заметил, что в службах появились странные службы, так же добавилось пару задач в планировщик и полностью заблокировался Защитник Windows. Все службы для него запущены, а настройки заблокированы и включить его нельзя. Решил проверить систему утилитой AVZ и заметил несколько странных строчек в самом низу, там где маскировки процессов, что меня и насторожило. Прошу проверить систему, потому что я явных проблем не нашел, за исключением странного TCP порта 443, который по идее https и игровой, но у меня кроме вашего сайта и двух программ ничего не запущено.

Уважаемый(ая) [B]Hekk0[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.


- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Скрипт AVZ выполнил, логи из Farbar.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
GroupPolicyScripts: Restriction <======= ATTENTION
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер возможно будет [b]перезагружен[/b].[/LIST]

Несколько дней прошло. Будут какие-то действия дальше?

Ответ в сообщении над Вашим

Fixlog.txt от FRST.

Что с проблемой?

Всё так же. Защитник выключен, система постоянно присылает уведомление о защите от шпионских программ и пр., обновления нельзя установить для Windows Defender. Сама служба находится в автоматическом режиме и не запускается, если сделать это вручную, получу ошибку. В общем прикреплю скриншот: [ATTACH=CONFIG]606069[/ATTACH]
Всё что я нашел по ошибке 0x80070005 в интернете, мало связано с Защитником Windows и как-то сомнительно. Видел два варианта с восстановлением соответствующего ключа реестра и программой SubInACL.exe, но сначала хочу послушать вас. Сразу хочу отметить, что сижу с правами администратора и некоторое время назад Защитник нормально работал.

У Вас имеются системные проблемы:

System errors:
=============
[QUOTE]Error: (12/07/2015 02:15:18 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "Служба Защитника Windows" завершена из-за ошибки
%%2147942405

Error: (12/07/2015 02:15:18 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Служба "NcaSvc" является зависимой от службы "iphlpsvc", которую не удалось запустить из-за ошибки
%%1058[/QUOTE]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]sfc /scannow[/CODE]

[ATTACH=CONFIG]606258[/ATTACH]
Это наверное уже мало относится к теме Virusinfo, но буду признателен, если поможете или хотя бы подскажите куда смотреть в логе. Там 22к+ строчек и я понятия не имею где искать ошибку.
К сожалению лог загрузить нельзя, он весит больше, чем установленный здесь лимит, поэтому оставлю ссылку, если позволите: [URL="https://drive.google.com/file/d/0ByFnjpvE_-jRX0RFd2pINmJrb0U/view?usp=sharing"]Google Drive[/URL]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]dism /online /cleanup-image /scanhealth[/CODE]
Подробнее о команде можете ознакомиться в статье "[URL="https://msdn.microsoft.com/ru-ru/library/hh824869.aspx"]Восстановление образа Windows[/URL]".

P.S. приложите лог dism.log по завершению выше указанной команды.

[ATTACH=CONFIG]606344[/ATTACH]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]dism /online /cleanup-image /restorehealth[/CODE]

В случае ошибки 0x800f081f, ознакомьтесь со статьей "[URL="https://social.technet.microsoft.com/Forums/ru-RU/c8fc79d0-7d33-4799-958a-45db59da3399/-0x800f081f?forum=win10itprogeneralRU"]При попытки восстановить образ, получаю ошибку: 0x800f081f[/URL]"

Восстановил образ, проверил через sfc /scannow, система сказала что нашла и устранила проблемы. Перезагрузился, но с защитником всё та же история. Служба не запускается с той же ошибкой доступа.
[ATTACH=CONFIG]606460[/ATTACH]

Соберите новые логи FRST.

Вы наверное уже сами устали от этой темы. :(
К сожалению во вложениях у меня уже лимит, поэтому с Google Drive ссылка: [URL="https://drive.google.com/open?id=0ByFnjpvE_-jRTHo1RlczQnhuTFU"]FRST.txt[/URL] и [URL="https://drive.google.com/open?id=0ByFnjpvE_-jRN1pUcHhiZWphX0k"]Addition.txt[/URL]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
AlternateDataStreams: C:\Program Files\7-Zip:Win32App_1
AlternateDataStreams: C:\Program Files\Adobe:Win32App_1
AlternateDataStreams: C:\Program Files\MPC-HC:Win32App_1
AlternateDataStreams: C:\Program Files\TeamSpeak 3 Client:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Battlelog Web Plugins:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\ControlCenter:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\FurMark:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Heroes of the Storm:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Origin:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\QGNA:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\WinSCP:Win32App_1
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

По ошибке с защитником ознакомьтесь со статьей [URL="https://support.microsoft.com/en-us/kb/2257597"]https://support.microsoft.com/en-us/kb/2257597[/URL]

Fixlog.txt от FRST.