Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows

[syriush]

Witam,

dziś zauważyłem informację o tym, że centrum zabezpieczeń systemu windows nie działa i po przeczytaniu kilku postów na forum postanowiłem zwrócić się o pomoc, załączam logi z otl'a i mbam.

System skanowałem mbam, i esetm - nic nie znalazły, dodam, że po uruchomieniu usługi w konsoli usług po chwili sama się wyłącza. Korzystam z AVG i Ashampoo WinOptimizer 7 i co jakiś czas skanuje mbam'em.

Infekcja nie ma żadnych innych objawów oprócz wyłączana centrum zabezpieczeń.

Pozdrawiam i czekam na odpowiedź.

Extras.Txt

OTL.Txt

mbam-log-2011-07-31 (19-59-39).txt

[picasso]

Mamy infekcję, te dwa pliki odpowiadają za nokaut funkcji systemu:

 

[2011-07-31 16:45:10 | 000,063,488 | RHS- | C] () -- C:\Windows\SysWow64\kbdnecatb.dll
[2011-07-31 16:45:10 | 000,000,310 | -HS- | C] () -- C:\Windows\tasks\Yjwlpkztat.job

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-07-31 16:45:10 | 000,063,488 | RHS- | C] () -- C:\Windows\SysWow64\kbdnecatb.dll
[2011-07-31 16:45:10 | 000,000,310 | -HS- | C] () -- C:\Windows\tasks\Yjwlpkztat.job
O4 - HKLM..\Run: [Anti Trojan Elite]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, po restarcie powinien się zgłosić log z wynikami usuwania.

 

2. Włącz zdeaktywowane przez infekcję funkcje:

 

• Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w Centrum i Typ startowy przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem
  
• Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".
  
• Windows Defender: infekcja także go wyłącza, ale tu nie podaję instrukcji przywracania, gdyż przy obecności AVG czynny Defender to niekorzystny układ.
  

3. Wytwórz nowy log z OTL opcją Skanuj (Extras już nie potrzebuję) + dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[syriush]

Nie chciało wrzucić mi tego pliku z wynikami kasowania więc wrzucam go bezpośrednio :

 

All processes killed

========== OTL ==========

C:\Windows\SysWOW64\kbdnecatb.dll moved successfully.

C:\Windows\Tasks\Yjwlpkztat.job moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Anti Trojan Elite deleted successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 56466 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: Maja

->Flash cache emptied: 862 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Maja

->Temp folder emptied: 19697617 bytes

->Temporary Internet Files folder emptied: 1175875 bytes

->Java cache emptied: 3954660 bytes

->FireFox cache emptied: 107794829 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 200704 bytes

%systemroot%\System32 .tmp files removed: 1598848 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 104 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 668 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 128,00 mb

 

 

OTL by OldTimer - Version 3.2.26.1 log created on 08012011_153218

 

Files\Folders moved on Reboot...

C:\Users\Maja\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File\Folder C:\Users\Maja\AppData\Local\Temp\skanowanie0003.pdf not found!

C:\Users\Maja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q58AG0C0\hit_update[1].htm moved successfully.

 

Registry entries deleted on Reboot...

 

 

Dodam, że teraz usługa działa poprawnie, dziękuję.

OTL.Txt

[picasso]

Nie chciało wrzucić mi tego pliku z wynikami kasowania więc wrzucam go bezpośrednio

 

W Załącznikach dopuszczam tylko rozszerzenie *.TXT a nie *.LOG. Po zmianie nazwy plik dołączyłby się. Ale log krótki i może być równie dobrze w poście dołączony.

 

Zadanie pomyślnie wykonane. Przed wykonaniem punktu 1 proszę zapakuj do ZIP kwarantannę D:\_OTL (OTL startował z dysku D więc tam powinna być), shostuj gdzieś i w sposób niepubliczny wyślij mi na PW link do tego. Ja podrzucę to do bazy MBAM. Gdy to zrobisz:

 

1. W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę programu i sam program jako taki.

 

2. Drobne aktualizacje do wykonania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java™ 6 Update 26 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

Do aktualizacji 32-bitowa i 64-bitowa Java oraz wtyczki Adobe (są dwie: IE + Firefox): INSTRUKCJE.

 

3. Infekcja wprawdzie wyłącza Przywracanie systemu, ale powyższy punkt 2 z pewnością utworzy nowe, toteż możesz sobie wyczyścić te punkty: INSTRUKCJE.

 

 

 

 

.

Edytowane 23 Października 2011 przez picasso
3.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso