Диагностика системы

Добрых суток. Так как я постоянно слежу за своей системой, недавно заметил, что в службах появились странные службы, так же добавилось пару задач в планировщик и полностью заблокировался Защитник Windows. Все службы для него запущены, а настройки заблокированы и включить его нельзя. Решил проверить систему утилитой AVZ и заметил несколько странных строчек в самом низу, там где маскировки процессов, что меня и насторожило. Прошу проверить систему, потому что я явных проблем не нашел, за исключением странного TCP порта 443, который по идее https и игровой, но у меня кроме вашего сайта и двух программ ничего не запущено.

Уважаемый(ая) [B]Hekk0[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.


- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Скрипт AVZ выполнил, логи из Farbar.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
GroupPolicyScripts: Restriction <======= ATTENTION
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер возможно будет [b]перезагружен[/b].[/LIST]

Несколько дней прошло. Будут какие-то действия дальше?

Ответ в сообщении над Вашим

Fixlog.txt от FRST.

Что с проблемой?

Всё так же. Защитник выключен, система постоянно присылает уведомление о защите от шпионских программ и пр., обновления нельзя установить для Windows Defender. Сама служба находится в автоматическом режиме и не запускается, если сделать это вручную, получу ошибку. В общем прикреплю скриншот: [ATTACH=CONFIG]606069[/ATTACH]
Всё что я нашел по ошибке 0x80070005 в интернете, мало связано с Защитником Windows и как-то сомнительно. Видел два варианта с восстановлением соответствующего ключа реестра и программой SubInACL.exe, но сначала хочу послушать вас. Сразу хочу отметить, что сижу с правами администратора и некоторое время назад Защитник нормально работал.

У Вас имеются системные проблемы:

System errors:
=============
[QUOTE]Error: (12/07/2015 02:15:18 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Служба "Служба Защитника Windows" завершена из-за ошибки
%%2147942405

Error: (12/07/2015 02:15:18 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Служба "NcaSvc" является зависимой от службы "iphlpsvc", которую не удалось запустить из-за ошибки
%%1058[/QUOTE]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]sfc /scannow[/CODE]

[ATTACH=CONFIG]606258[/ATTACH]
Это наверное уже мало относится к теме Virusinfo, но буду признателен, если поможете или хотя бы подскажите куда смотреть в логе. Там 22к+ строчек и я понятия не имею где искать ошибку.
К сожалению лог загрузить нельзя, он весит больше, чем установленный здесь лимит, поэтому оставлю ссылку, если позволите: [URL="https://drive.google.com/file/d/0ByFnjpvE_-jRX0RFd2pINmJrb0U/view?usp=sharing"]Google Drive[/URL]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]dism /online /cleanup-image /scanhealth[/CODE]
Подробнее о команде можете ознакомиться в статье "[URL="https://msdn.microsoft.com/ru-ru/library/hh824869.aspx"]Восстановление образа Windows[/URL]".

P.S. приложите лог dism.log по завершению выше указанной команды.

[ATTACH=CONFIG]606344[/ATTACH]

Покажите результат выполнения следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run As Administrator):
[CODE]dism /online /cleanup-image /restorehealth[/CODE]

В случае ошибки 0x800f081f, ознакомьтесь со статьей "[URL="https://social.technet.microsoft.com/Forums/ru-RU/c8fc79d0-7d33-4799-958a-45db59da3399/-0x800f081f?forum=win10itprogeneralRU"]При попытки восстановить образ, получаю ошибку: 0x800f081f[/URL]"

Восстановил образ, проверил через sfc /scannow, система сказала что нашла и устранила проблемы. Перезагрузился, но с защитником всё та же история. Служба не запускается с той же ошибкой доступа.
[ATTACH=CONFIG]606460[/ATTACH]

Соберите новые логи FRST.

Вы наверное уже сами устали от этой темы. :(
К сожалению во вложениях у меня уже лимит, поэтому с Google Drive ссылка: [URL="https://drive.google.com/open?id=0ByFnjpvE_-jRTHo1RlczQnhuTFU"]FRST.txt[/URL] и [URL="https://drive.google.com/open?id=0ByFnjpvE_-jRN1pUcHhiZWphX0k"]Addition.txt[/URL]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
AlternateDataStreams: C:\Program Files\7-Zip:Win32App_1
AlternateDataStreams: C:\Program Files\Adobe:Win32App_1
AlternateDataStreams: C:\Program Files\MPC-HC:Win32App_1
AlternateDataStreams: C:\Program Files\TeamSpeak 3 Client:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Battlelog Web Plugins:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\ControlCenter:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\FurMark:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Heroes of the Storm:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Origin:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\QGNA:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\WinSCP:Win32App_1
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

По ошибке с защитником ознакомьтесь со статьей [URL="https://support.microsoft.com/en-us/kb/2257597"]https://support.microsoft.com/en-us/kb/2257597[/URL]

Fixlog.txt от FRST.

Уточните, если статья на сайте Microsoft, помогла справиться с проблемой?

В случае если нет, покажите результат выполнения команды в командной строке (cmd.exe)
[CODE]sc query windefend[/CODE]

К сожалению статья не помогла. Даже несколько версий из сети попробовал, всё безрезультатно: Ошибка прав доступа 0x80070005.
Вот результат команды:
[ATTACH=CONFIG]607204[/ATTACH]
Так не хочется систему откатывать в исходное состояние, но всё идёт к этому. :(

Уточните если в службах (services.msc) была включена служба Служба Защитника Windows (windefend), для этого покажите результат следующей команды в командной строке(cmd.exe):

[CODE]reg query HKLM\SYSTEM\CurrentControlSet\services\WinDefend | findstr "Start"[/CODE]


P.S. Cлужба Служба Защитника Windows обычно переход в состояние отключенной, в случае если установлен сторонний антивирусный продукт.

Также проверьте включена ли зависимая служба Удаленный вызов процедур (RPS).

[QUOTE=SQ;1343049]Уточните если в службах (services.msc) была включена служба Служба Защитника Windows (windefend)[/QUOTE]
В том то и дело, что не получается включить Службу Защитника Windows, код ошибки писал неоднократно выше. Я не понимаю с чего вдруг Защитник вообще выключился и перестал вызываться, аномалия какая-то. Да и в поддержку не напишешь, продукт не лицензионный. Именно после этого я и проверил систему, а после и создал эту тему.
[QUOTE=SQ;1343049]Cлужба Служба Защитника Windows обычно переход в состояние отключенной, в случае если установлен сторонний антивирусный продукт.[/QUOTE]
Никогда ничем не пользовался, кроме Защитника Windows, бывшего Microsoft Security Essentials.
[QUOTE=SQ;1343049]Также проверьте включена ли зависимая служба Удаленный вызов процедур (RPS).[/QUOTE]
Данная служба включена.

А вообще, в ответ на команду выше, система выдает: Start REG_DWORD 0x2

Выполните следующую команду в Powershell в привилегированном режиме (Run as Administrator)

[CODE]Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\WinDefend -Name Start -Value 0x00000003[/CODE]

[B]или[/B] внесите следующие изменения в реестре:

[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"Start"=dword:00000003[/CODE]

После этого перегрузите компьютер.

При попытке выполнить команду в Powersell с правами администратора получаю:
[CODE]Set-ItemProperty : Попытка выполнить несанкционированную операцию.
строка:1 знак:1
+ Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\WinDef ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (Start:String) [Set-ItemProperty], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.SetItemPropertyCommand[/CODE]
При изменении параметра реестра вручную и через .reg файл:
[CODE]Не удаётся изменить "Start". Ошибка при записи нового значения параметра.[/CODE]

Выполните следующую команду в Powershell в привилегированном режиме (Run as Administrator)
[CODE]Get-Acl -path HKLM:\SYSTEM\CurrentControlSet\Services\WinDefend | Format-list[/CODE]

Выполнил, но вам, наверное, ответ от Powershell нужен:
[CODE]Path : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Owner : BUILTIN\Администраторы
Group : G:S-1-5-21-397955417-626881126-188441444-513
Access : BUILTIN\Пользователи Allow FullControl
BUILTIN\Пользователи Allow ReadKey
BUILTIN\Администраторы Allow FullControl
NT AUTHORITY\СИСТЕМА Allow FullControl
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Allow FullControl
ЦЕНТР ПАКЕТОВ ПРИЛОЖЕНИЙ\ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ Allow ReadKey
Audit :
Sddl : O:BAG:S-1-5-21-397955417-626881126-188441444-513D:AI(A;CI;KA;;;BU)(A;CIID;KR;;;BU)(A;CIID;KA;;;BA)(A;CIID;KA;;
;SY)(A;CIIOID;KA;;;CO)(A;CIID;KR;;;AC)[/CODE]

- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. самостоятельно ничего не удаляйте.

- Также попробуйте выполнить изменения в реестре в безопасном режиме.

В безопасном режиме удалось изменить параметр Start в реестре с 2 на 3, но это ничего не изменило. Служба защитника всё так же не запускается с той же ошибкой.
[URL="https://drive.google.com/open?id=0ByFnjpvE_-jRSHJyeHdvYnlDcTQ"]TDSSKiller.3.1.0.9_20.12.2015_22.25.38_log.txt[/URL] (лимит во вложениях)

покажите результат выполнения команды в командной строке (cmd.exe)

[CODE]reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender"
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection"[/CODE]

Уточните, если так запускается Windows Defender:
[CODE]%ProgramFiles%\Windows Defender\MSASCui.exe[/CODE]

Покажите пожалуйста скрин в панели управления ->Безопасность и обслуживание.
[QUOTE]Панель управления\Все элементы панели управления\Безопасность и обслуживание[/QUOTE]
интересую все параметры указанные во вкладке "Безопасность".

Также покажите пожалуйста результат следующей команды в командной строке (cmd.exe) в привилегированном режиме:

[CODE]winmgmt /verifyrepository[/CODE]

Проверьте права на файл необходимый для запуска сервиса, для этого пожалуйста результат следующей команды в командной строке (cmd.exe) в привилегированном режиме:
[CODE]icacls "C:\Program Files\Windows Defender\MsMpEng.exe"[/CODE]

Вот результаты всех команд, которые вы запросили в cmd.exe:
[ATTACH=CONFIG]607875[/ATTACH]
Вкладка Безопасность и обслуживание в панели управления:
[ATTACH=CONFIG]607876[/ATTACH]
Кнопки «включить сейчас» не реагируют на нажатия, даже ошибок не выдают.

Попробуйте следующее в командной строке(cmd.exe):
[CODE]net stop winmgmt[/CODE]

Выбрать Y и нажать ENTER далее выполните
[CODE]cd %windir%\system32\wbem
ren Repository Repository.old
net start winmgmt[/CODE]
Попробуйте запустить Windows Defender и сообщите результат.

Командная строка отвечает что службы успешно останавливаются, потом создается Repository.old и успешно запускаются, однако на Защитник это никак не влияет, его служба как была выключена и не включалась из-за ошибки, так и не включается.

Скачайте [URL="https://www.microsoft.com/en-us/download/details.aspx?id=7684"]WMI Diagnosis Utility -- Version 2.2[/URL] и приложите лог следующей команды (только как ссылку на файл):

[CODE]cscript WMIDiag.vbs checkconsistency[/CODE]

Не совсем понял какой из трёх файлов вам нужен, но вот [URL="https://drive.google.com/open?id=0ByFnjpvE_-jRMmxjUW1pWW1nc3M"]ссылка на LOG[/URL] и [URL="https://drive.google.com/open?id=0ByFnjpvE_-jROHROQXFPMC15SUk"]ссылка на TXT[/URL].

Следующие ошибки логируются на Вашем ПК:
[QUOTE]33570 00:55:21 (1) !! ERROR: Overall DCOM security status: ................................................................................ ERROR!

33589 00:55:21 (1) !! ERROR: WMI CONNECTION errors occured for the following namespaces: .................................................. 2 ERROR(S)!
33590 00:55:21 (0) ** - Root/nap, 0x8004100E - (WBEM_E_INVALID_NAMESPACE) Namespace specified cannot be found.
33591 00:55:21 (0) ** - Root/aspnet, 0x8004100E - (WBEM_E_INVALID_NAMESPACE) Namespace specified cannot be found.
33592 00:55:21 (0) **
33593 00:55:21 (1) !! ERROR: WMI GET operation errors reported: ........................................................................... 8 ERROR(S)!
33594 00:55:21 (0) ** - Root/CIMV2, Win32_FloppyDrive, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33595 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33596 00:55:21 (0) ** - Root/CIMV2, Win32_FloppyController, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33597 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33598 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_PerfNet_ServerWorkQueues, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33599 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33600 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_PerfNet_ServerWorkQueues, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33601 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33602 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_Spooler_PrintQueue, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33603 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33604 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_Spooler_PrintQueue, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33605 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33606 00:55:21 (0) ** - Root/CIMV2, Win32_PerfFormattedData_TermService_TerminalServicesSession, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33607 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'
33608 00:55:21 (0) ** - Root/CIMV2, Win32_PerfRawData_TermService_TerminalServicesSession, 0x80041002 - (WBEM_E_NOT_FOUND) Object cannot be found.
33609 00:55:21 (0) ** MOF Registration: 'WMI information not available (This could be the case for an external application or a third party WMI provider)'


33615 00:55:21 (1) !! ERROR: WMI GET VALUE operation errors reported: ..................................................................... 1 ERROR(S)!
33616 00:55:21 (0) ** - Root/CIMV2, Instance: Win32_Service='WSCSVC', Property: Displayname='Центр обеспечения безопасности' (Expected default='Security Center').[/QUOTE]


Попробуйте в качестве решения пере-регистрировать библиотеки WMI DLL и пере-компилировать файлы WMI mof, используя следующую инструкцию:

1. Установите режим запуска Выключен и остановите службу Windows Management Instrumentation.

2. Запустите Command Prompt в привилегированном режиме Run as Administrator.

3. В Command Prompt наберите cd %windir%\system32\wbem и нажмите Enter.

4. Наберите for /f %s in ('dir /b *.dll') do regsvr32 /s %sи нажмите Enter для пере-регистраций библиотек DLL.

5. После завершению предыдущей команды, наберите for /f %s in ('dir /b *.mof') do mofcomp %s и нажмите Enter для пере-компилировать файлы WMI mof.

6. По завершению, наберите wmiprvse /regserver и нажмите Enter.

7. Запустите службу Windows Management Instrumentation и смените тип запуска на автоматический.

Перегрузите компьютер.

Выполнил инструкцию, ничего не изменилось, так же ошибка доступа у службы Защитника Windows.
Можем вам лично посмотреть или это как-то противоречит правилам? На крайний случай придётся откатывать систему в исходное состояние раз ничего не помогает.

Предоставьте пожалуйста лог сторонней утилиты [URL="http://www.sysnative.com/niemiro/apps/SFCFix.exe"]SFCFix.exe[/URL].

P.S. Вообще в крайнем случае требуется предоставление доступа к ПК и только в личной переписке (системные ошибки не относятся к данной категории).