Отключается Windows Defender [HEUR:Trojan.Win32.Generic]

**Reed95** · 16.09.2018, 15:47

Выскочило сегодня сообщение о том, что моя система под угрозой. Оказалось, мой Windows Defender был отключен. Включить его не получилось по причине "Это приложение выключено групповой политикой". Начав гуглить, запустить я его смог, изменив параметр в реестре у файла DisableAntiSpyware поменяв его значение с 1 на 0.
Запустил Defender, весь горит красным и пишет, что службы отключены. Включаю их нажатием одной клавиши и начинаю обновление и сразу же выскакивает ошибка 0x80070422 (Не удается запустить службу обновления, так как она была выключена администратором безопасности или возникла проблема с данными реестра).
Проверял все права, везде доступ есть, брандмауэр включен. Никаких изменений в системе и установку новых программ(кроме обновления iTunes) я не делал.
Судя по дате последнего обследования компьютера - сделал восстановление системы на более ранний срок - не помогло.
Главная проблема заключается в том, что параметр DisableAntiSpyware после перезагрузки вновь меняет значение на 1. Включить возможные службы и защиту реального времени у меня не получается, окошки закрыты.
Делал проверку на Malwarebytes, нашел 9 файлов. Удалил их. После делал проверку глубокую на AZV - 0 результатов. И результат вашего скрипта я прикрепляю файлом.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.09.2018, 15:49

Уважаемый(ая) Reed95, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 16.09.2018, 17:38

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Reed95** · 16.09.2018, 18:35

Прикрепляю

**Vvvyg** · 16.09.2018, 19:05

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
(sqfofaeobgihjetkodlcuueovibhcwbdlsvr.co) C:\Windows\SysWOW64\yandexservice.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-493723585-2982382468-3437985748-1001\...\Run: [AdobeBridge] => [X]
U3 aswbdisk; no ImagePath
Virustotal: C:\Windows\SysWOW64\yandexservice.exe
Virustotal: C:\Windows\SysWOW64\winnt.bor
2018-08-27 18:06 - 2018-09-16 11:36 - 002613248 _____ (sqfofaeobgihjetkodlcuueovibhcwbdlsvr.co) C:\Windows\SysWOW64\yandexservice.exe
2018-08-27 18:06 - 2018-08-27 18:06 - 002428928 _____ C:\Windows\SysWOW64\winnt.bor
2018-09-02 12:01 - 2018-09-02 12:01 - 000000000 __RSH C:\Windows\SysWOW64\MSG76656B3.bor
2018-09-02 11:25 - 2018-09-02 12:56 - 000000290 __RSH C:\Windows\SysWOW64\MSM76656B3.bor
2018-08-29 15:35 - 2018-09-05 21:50 - 000000274 __RSH C:\Windows\SysWOW64\MS6D6F636B.bor
2018-09-16 18:30 - 2018-07-10 20:06 - 000001480 __RSH C:\Windows\SysWOW64\MSM736D737.bor
2018-09-16 13:57 - 2018-06-24 18:37 - 000000364 __RSH C:\Windows\SysWOW64\MSB73686B6.bor
2018-09-16 13:48 - 2018-06-24 21:20 - 000000211 __RSH C:\Windows\SysWOW64\MSB736D737.bor
2018-09-16 13:38 - 2018-06-24 19:10 - 000000328 __RSH C:\Windows\SysWOW64\MSB646F736.bor
2018-09-16 12:27 - 2018-06-24 14:57 - 000001524 __RSH C:\Windows\SysWOW64\MSM736F626.bor
2018-09-16 12:07 - 2018-06-30 22:11 - 000000489 __RSH C:\Windows\SysWOW64\MSH736F626.bor
2018-09-16 11:49 - 2018-07-10 19:41 - 000001059 __RSH C:\Windows\SysWOW64\MSG736D737.bor
2018-09-16 11:40 - 2018-07-26 20:21 - 000000301 __RSH C:\Windows\SysWOW64\MSH736D737.bor
2018-09-16 11:37 - 2018-06-19 16:13 - 000000000 __RSH C:\Windows\SysWOW64\Ustan.txt
2018-09-16 11:35 - 2018-06-19 22:55 - 000000000 ____D C:\Windows\System32\Tasks\Avast Software
2018-09-08 11:51 - 2018-06-23 19:45 - 000000758 __RSH C:\Windows\SysWOW64\MSM646E736.bor
2018-09-08 11:40 - 2018-06-23 15:56 - 000000351 __RSH C:\Windows\SysWOW64\MSH646E736.bor
2018-09-07 19:48 - 2018-06-22 19:27 - 000000532 __RSH C:\Windows\SysWOW64\MSG646F736.bor
2018-09-07 19:23 - 2018-07-10 18:01 - 000000638 __RSH C:\Windows\SysWOW64\MSG7665726.bor
2018-09-07 18:56 - 2018-06-22 18:50 - 000002105 __RSH C:\Windows\SysWOW64\MSG73686B6.bor
2018-09-07 18:36 - 2018-06-23 14:30 - 000000590 __RSH C:\Windows\SysWOW64\MSH6D69726.bor
2018-09-07 18:06 - 2018-06-22 18:34 - 000001826 __RSH C:\Windows\SysWOW64\MSM6261726.bor
2018-09-06 17:46 - 2018-06-24 19:53 - 000000172 __RSH C:\Windows\SysWOW64\MSB736F626.bor
2018-09-06 17:33 - 2018-06-21 18:35 - 000001040 __RSH C:\Windows\SysWOW64\MS736F6261.bor
2018-09-06 07:15 - 2018-06-21 18:18 - 000001598 __RSH C:\Windows\SysWOW64\MS646F736B.bor
2018-09-05 21:01 - 2018-06-20 22:26 - 000001234 __RSH C:\Windows\SysWOW64\MS6261726D.bor
2018-09-05 20:11 - 2018-06-20 23:11 - 000002051 __RSH C:\Windows\SysWOW64\MS73686B61.bor
2018-09-05 19:14 - 2018-06-21 18:28 - 000000639 __RSH C:\Windows\SysWOW64\MS76657261.bor
2018-09-05 17:59 - 2018-06-21 18:42 - 000000926 __RSH C:\Windows\SysWOW64\MS736D7373.bor
2018-09-04 07:15 - 2018-06-24 13:45 - 000000642 __RSH C:\Windows\SysWOW64\MSH73686B6.bor
2018-09-02 18:09 - 2018-07-02 21:22 - 000000274 __RSH C:\Windows\SysWOW64\MS73707269.bor
2018-09-02 14:03 - 2018-06-23 14:12 - 000000936 __RSH C:\Windows\SysWOW64\MSM6D69726.bor
2018-09-02 11:12 - 2018-06-27 17:48 - 000001373 __RSH C:\Windows\SysWOW64\MSM646F736.bor
2018-09-02 11:01 - 2018-06-22 20:48 - 000002803 __RSH C:\Windows\SysWOW64\MSM73686B6.bor
2018-09-01 18:18 - 2018-06-24 19:43 - 000000048 __RSH C:\Windows\SysWOW64\MSB7665726.bor
2018-09-01 09:31 - 2018-06-23 15:34 - 000000772 __RSH C:\Windows\SysWOW64\MSG736F626.bor
2018-08-31 18:41 - 2018-06-22 17:43 - 000000851 __RSH C:\Windows\SysWOW64\MSG6261726.bor
2018-08-31 16:47 - 2018-06-21 18:48 - 000000552 __RSH C:\Windows\SysWOW64\MS646E7369.bor
2018-08-31 12:15 - 2018-06-21 07:01 - 000000518 __RSH C:\Windows\SysWOW64\MS6D697261.bor
2018-08-26 23:23 - 2018-07-16 18:16 - 000000445 __RSH C:\Windows\SysWOW64\MSH7665726.bor
2018-08-26 23:15 - 2018-07-18 18:52 - 000000091 __RSH C:\Windows\SysWOW64\MSH6D6F636.bor
2018-08-26 21:29 - 2018-07-14 18:13 - 000000254 __RSH C:\Windows\SysWOW64\MSM6361726.bor
2018-08-25 15:59 - 2018-06-23 14:48 - 000001130 __RSH C:\Windows\SysWOW64\MSH646F736.bor
2018-08-25 15:10 - 2018-07-29 10:31 - 000000146 __RSH C:\Windows\SysWOW64\MSH7370726.bor
2018-08-25 14:29 - 2018-07-08 20:44 - 000000566 __RSH C:\Windows\SysWOW64\MSM7665726.bor
2018-08-22 18:34 - 2018-06-30 22:05 - 000000625 __RSH C:\Windows\SysWOW64\MSG7370726.bor
2018-08-21 19:06 - 2018-07-01 22:09 - 000000110 __RSH C:\Windows\SysWOW64\MSB7370726.bor
2018-08-20 20:57 - 2018-06-30 20:39 - 000000278 __RSH C:\Windows\SysWOW64\MSG6D69726.bor
2018-08-20 20:38 - 2018-06-23 16:17 - 000000752 __RSH C:\Windows\SysWOW64\MSG646E736.bor
2018-08-20 17:46 - 2018-06-24 14:39 - 000000656 __RSH C:\Windows\SysWOW64\MSM7370726.bor
2018-08-19 16:28 - 2018-07-30 19:44 - 000000144 __RSH C:\Windows\SysWOW64\MSB6361726.bor
2018-08-10 15:02 - 2006-04-04 19:09 - 000729088 _____ (Electronic Arts Inc.) C:\Users\Aleksey\AppData\Local\Temp\AutoRun.exe
2018-08-10 15:02 - 2006-01-20 20:55 - 000585728 _____ (Electronic Arts Inc.) C:\Users\Aleksey\AppData\Local\Temp\AutoRunGUI.dll
2018-03-17 13:47 - 2015-06-29 22:07 - 000825544 _____ (NVIDIA Corporation) C:\Users\Aleksey\AppData\Local\Temp\nvStInst.exe
2018-08-23 18:55 - 2012-01-16 00:49 - 000303616 _____ () C:\Users\Aleksey\AppData\Local\Temp\SDL_1.dll
2018-08-23 18:55 - 2012-01-16 00:49 - 000303616 _____ () C:\Users\Aleksey\AppData\Local\Temp\SDL_2.dll
2018-08-23 18:55 - 2007-12-30 11:09 - 000321536 _____ () C:\Users\Aleksey\AppData\Local\Temp\SDL_3.dll
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте новый лог такой версией Autologger.

**Reed95** · 16.09.2018, 20:36

Прикрепляю

**Vvvyg** · 16.09.2018, 21:06

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\syswow64\srvany.exe');
 TerminateProcessByName('c:\windows\syswow64\yandexservice.exe');
 StopService('YandexService');
 QuarantineFile('c:\windows\syswow64\srvany.exe', '');
 QuarantineFile('c:\windows\syswow64\yandexservice.exe', '');
 DeleteFile('c:\windows\syswow64\srvany.exe', '');
 DeleteFile('C:\Windows\SysWOW64\srvany.exe', '64');
 DeleteFile('c:\windows\syswow64\yandexservice.exe', '');
 DeleteFile('C:\Windows\SysWOW64\yandexservice.exe', '64');
 DeleteService('YandexService');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

**Reed95** · 17.09.2018, 17:42

Карантин отправил, лог прикрепил

**Vvvyg** · 17.09.2018, 19:54

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 TerminateProcessByName('C:\Windows\SysWOW64\dnsservice.exe');
 StopService('DNS-Service');
 QuarantineFile('C:\Windows\System32\dnshost.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\dnsservice.exe', '');
 DeleteFile('C:\Windows\System32\dnshost.exe', '');
 DeleteFile('C:\Windows\SysWOW64\dnsservice.exe', '');
 DeleteService('DNS-Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог тестовой версией Autologger (обновлено!).

**Reed95** · 22.09.2018, 01:12

Карантин отправил, лог прикрепил

**Vvvyg** · 22.09.2018, 08:11

Тяжёлый случай...
Загрузите Windows 10 в безопасном режиме и выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\syswow64\dnsservice.exe');
 TerminateProcessByName('c:\windows\syswow64\srvany.exe');
 TerminateProcessByName('c:\windows\syswow64\yandexservice.exe');
 StopService('DNS-Service');
 StopService('YandexService');
 QuarantineFile('C:\Windows\System32\dnshost.exe', '');
 QuarantineFile('c:\windows\syswow64\dnsservice.exe', '');
 QuarantineFile('c:\windows\syswow64\srvany.exe', '');
 QuarantineFile('c:\windows\syswow64\yandexservice.exe', '');
 DeleteFile('C:\Windows\System32\dnshost.exe', '64');
 DeleteFile('c:\windows\syswow64\dnsservice.exe', '');
 DeleteFile('c:\windows\syswow64\srvany.exe', '');
 DeleteFile('C:\Windows\SysWOW64\srvany.exe', '64');
 DeleteFile('c:\windows\syswow64\yandexservice.exe', '');
 DeleteFile('C:\Windows\SysWOW64\yandexservice.exe', '64');
 DeleteService('DNS-Service');
 DeleteService('YandexService');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После перезагрузки загрузите новый карантин.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Reed95** · 22.09.2018, 11:33

Во вложениях нет свободного места, автозагрузка тут. https://yadi.sk/d/TFADacAxqTSb_Q
Карантин прикрепил.
Безымянный.png Аналогичная проблема встречается не только в пункте с Защитником Windows

**Vvvyg** · 22.09.2018, 20:35

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.17 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\DNSSERVICE.EXE
addsgn 9AD074DB5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC7BC900F8DB922C16BED65BDFF84694F3461649FA7DDFE97255DAB02C2D77A42FA368511B 8 Win32/TrojanClicker.VB.OJQ [ESET-NOD32] 7

chklst
delvir
;-------------------------------------------------------------

zoo %SystemRoot%\SYSWOW64\DNSHOST.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\DNSIP\DNSIP.EXE
zoo %SystemRoot%\SYSWOW64\INSTSRV.EXE
delall %SystemRoot%\SYSWOW64\INSTSRV.EXE
delall %SystemRoot%\SYSWOW64\DNSHOST.EXE
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
regt 18
czoo
deltmp
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с ГVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Файл Events.7z из папки с UVS загрузите на Я.Д и дайте ссылку.

**Reed95** · 23.09.2018, 18:14

Присылаю
https://yadi.sk/d/Nbzw_gv5ahaIiw

**Vvvyg** · 23.09.2018, 19:28

Трояны сейчас дочистим окончательно, активных нет. Заражение, судя по датам создания файлов, получили 19.06.

Выполните скрипт в UVS:

Код:

;uVS v4.0.17 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
deldir %SystemDrive%\PROGRAM FILES (X86)\DNSIP
cexec tools\CreateRestorePoint.exe CleanSystem
apply

Что с системой делать, последствия ли это троянов - другая проблема. Проанализирую журналы событий, позже что-то смогу сказать.

**Reed95** · 23.09.2018, 20:35

Сделал чистку.
Неужели я так 3 месяца просидел с трояном внутри? Дефендер я конечно не трогал, и оповещений не было.
Выходит, все таки троян блокирует мне изменение параметра в реестре на дефендер и сверху накинул ограниченные права по политике?

**Vvvyg** · 23.09.2018, 21:00

Теперь трояна нет, блокировать некому.
Сделайте новый лог Farbar Recovery Scan Tool (см. сообщение #3).

**Reed95** · 23.09.2018, 22:59

Параметр DisableAntiSpyware в реестре больше не меняется после перезагрузки. Антивирус открывается, обновляется, однако защиту в реальном времени включить по-прежнему нельзя и висит надпись, о групповой политике.
И кстати, я на днях обновлял систему.

**Vvvyg** · 23.09.2018, 23:15

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
2018-09-21 16:53 - 2018-07-08 22:05 - 000000389 __RSH C:\Windows\SysWOW64\MSG6D6F636.bor
2018-09-16 13:14 - 2018-06-24 18:44 - 000000030 __RSH C:\Windows\SysWOW64\MSB6D69726.bor
Task: {83408202-B44F-40AF-98CF-417CE0545707} - \Avast Software\Overseer -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run: => "WindowsDefender"
HKLM\...\StartupApproved\Run32: => "AvRepair"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Сообщите результат.

**Reed95** · 26.09.2018, 20:25

Фикс лог прикрепляю.
Целостность системы в порядке.
Defender заработал. Надпись о групповой политике исчезла, защита в реальном времени появилась. Премного благодарен

А можно поподробнее, что за троян был?

Отключается Windows Defender [HEUR:Trojan.Win32.Generic] (заявка № 220264)

Опции темы