Problem z zaporą i NOD 32

[gos]

Witam,

 

na komputerze znajomego występuje problem z Nod 32 i zaporą systemową.

 

System Windows XP SP3

 

- Nod wywala komunikat, że  "Analiza protokołów aplikacji nie będzie wykonywana Wystąpił błąd podczas uruchamiania usług. Analiza protokołów aplikacji (POP3, HTTP) nie będzie wykonywana".

 

- Nie można uruchomić zapory systemowej.

 

Podczas uruchamiania wywala komunikat:

 

"Nie można wyświetlić ustawień Zapory systemu Windows, ponieważ skojarzona usługa nie jest uruchomiona. Czy chcesz uruchomić usługę Zapora systemu Windows/Udostępnianie połączenia internetowego?"

 

Po kliknięciu OK wywala komunikat:

 

"System Windows nie może uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego"

 

W services.msc widnieje usługa Zapora systemu Windows, jej uruchamianie jest ustawione na automatyczne, a mimo to nie jest odpalona. Przy próbie uruchomienia wyskakuje komunikat:

 

"Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze Komputer lokalny.

Błąd 1075: Usługa zależności nie istnieje lub została oznaczona do usunięcia"

 

Wklejam logi z OTL, innych nie dałem rady dziś wykonać (nie mój komputer, brak czasu właściciela). Postaram się dodać je jutro.

 

Bardzo proszę o pomoc.

 

OTL.Txt

Extras.Txt

[picasso]

Wklejam logi z OTL, innych nie dałem rady dziś wykonać (nie mój komputer, brak czasu właściciela). Postaram się dodać je jutro.

Analiza na zdekompletowanych danych jest niepełna. Czekam na brakujące raporty FRST i GMER. Dodatkowo, dorzuć jeszcze log z Farbar Service Scanner.

[gos]

Jakiś znajomy informatyk tego znajomego zlikwidował komunikat, który wywalał NOD, ale nadal nie można odpalić zapory.

 

Wklejam logi prócz tego z GMER, on się dopiero robi, musiałem odpalić 2 raz, bo coś się wypieprzyło za pierwszym. Wklejam nowy log z OTL, po usunięciu tego komunikatu.

 

Edit:

 

Nie jestem w stanie ukończyć skanowania GMERem. W pewnym momencie po prostu coś się wychrzania. Nie jestem w stanie stwierdzić co, bo skanuję na odległość przez TeamViewer, a wtedy zrywa połączenie. Prawdopodobnie komp się resetuje.

 

Wklejam wyniki prescanu:

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit quick scan 2014-12-19 17:23:49

Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP1203N rev.TL100-30 111,82GB

Running: x09l81or.exe; Driver: C:\DOCUME~1\x\USTAWI~1\Temp\ufxcyaob.sys

 

 

---- Devices - GMER 2.1 ----

 

AttachedDevice  \FileSystem\Ntfs \Ntfs     eamon.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp  epfwtdir.sys

 

---- EOF - GMER 2.1 ----

Addition.txt

Extras.Txt

FRST.txt

FSS.txt

OTL.Txt

Shortcut.txt

[picasso]

Temat przenoszę do działu Windows. Nie jest to problem infekcji tylko uszkodzenia w Windows. System ma zdewastowaną usługę Instrumentacji zarządzania Windows (Winmgmt), stąd nie można uruchomić Zapory, nie działa też Centrum zabezpieczeń:

 

winmgmt Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist.

 

Dodatkowo, szykuje się problem natury stricte sprzętowej, w Dzienniku zdarzeń błędy bad sektorów dysku:

 

System errors:

=============

Error: (12/19/2014 03:54:09 PM) (Source: 0) (EventID: 7) (User: )

Description: \Device\Harddisk0\D

 

Pod tym kątem załóż nowy temat w dziale Hardware dostarczając wymagane dane: KLIK. I tu coś się dzieje ze strukturą plików, bo są "powielenia" katalogów z numerycznymi dopiskami:

 

2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Program Files\ESET(3)

2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(3)

2014-12-18 17:54 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Windows Resource Kits(2)

2014-12-18 17:50 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Common Files\Java(2)

2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\ESET(2)

2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(2)

 

Nie wiadomo jaki jest stan dysku i czy opłaca się tu cokolwiek robić, na wszelki wypadek jednak podaję co należy zrobić z powyższym defektem Winmgmt oraz inne rzeczy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Internet Manager. RunOuc]
"Start"=dword:00000004
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\77048882.sys]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\77048882.sys]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCAMPR5]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UIUSys]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{08C06D61-F1F3-4799-86F8-BE1A89362C85}"=-
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system.

 

2. Odinstaluj zbędnik/śmiecia Qtrax Player oraz stare aplikacje: Adobe Flash Player 14 ActiveX, Adobe Shockwave Player 11.5, Foxit Reader, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z Java 7 obecnej w systemie, jest za stary i kończy wsparcie na Java 6). Nie jest także potrzebna cała aplikacja neostrada tp - tylko sterowniki urządzenia są istotne.