Jaco Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Witam, Mam problem z usługą centrum zabezpieczeń systemu windows. Posiadam system Windows 7 32bit Pro. Jako antywirus używam Microsoft ES. Przeczytałem kilka wątków na tym forum związanych z tym problemem. W szczególności ten: http://www.fixitpc.p...ystemu-windows/ który wypróbowałem ale bez rezultatu. Usługi nadal nie można uruchomić. Zgodnie z tym tematem http://www.fixitpc.p...orty-systemowe/ przygotowałem pliki OTL i Extras i proszę o sprawdzenie. Gdy usługa przestała działać skanowałem komputer ComboFix i uruchamiałem z płyty Kaspersky Rescue Disk również bez efektów. Pozdrawiam Jaco OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 W szczególności ten (...) wypróbowałem ale bez rezultatu. To nie pasująca tu instrukcja, nie ten przypadek. U Ciebie usługa jest, tylko infekcja działająca w tle ją cały czas wyłącza. Import rejestru podany w tutorialu wprawdzie jako jedną z modyfikacji wprowadza Typ uruchomienia usługi na Automatyczny, ale to nie utrzymuje się zbyt długo, bo reaguje infekcja. Infekcja jest w postaci plików uruchomionych techniką Harmonogramu: [2012-10-05 13:06:42 | 000,094,208 | RHS- | C] () -- C:\Windows\System32\adsldps.dll[2012-10-05 13:06:42 | 000,000,310 | ---- | C] () -- C:\Windows\tasks\hmdqegd.job Infekcja ta wyłącza także: Windows Defender, Microsoft Security Essentials i Przywracanie systemu. U Ciebie Windows Defender wyłączony, ale MSSE zdaje się działać: SRV - [2012-09-12 17:25:24 | 000,287,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Program Files\Microsoft Security Client\NisSrv.exe -- (NisSrv)SRV - [2012-09-12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)SRV - [2009-07-14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) Gdy usługa przestała działać skanowałem komputer ComboFix i uruchamiałem z płyty Kaspersky Rescue Disk również bez efektów. Na przyszłość na temat uruchamiania ComboFix: KLIK. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\hmdqegd.job C:\Windows\System32\adsldps.dll :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juwwanecm.sys -- (huawei_wwanecm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jaco\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Włącz funkcje zdeaktywowane przez malware: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender omijam celowo, gdyż w systemie działa antywirus. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Po rekonfiguracji usługi zresetuj system. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Jaco Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 To nie pasująca tu instrukcja, nie ten przypadek. U Ciebie usługa jest, tylko infekcja działająca w tle ją cały czas wyłącza. Import rejestru podany w tutorialu wprawdzie jako jedną z modyfikacji wprowadza Typ uruchomienia usługi na Automatyczny, ale to nie utrzymuje się zbyt długo, bo reaguje infekcja Wpisując w Google frazę z tematu postu kliknąłem linka prowadzącego do tego rozwiązania. Infekcja ta wyłącza także: Windows Defender, Microsoft Security Essentials i Przywracanie systemu. U Ciebie Windows Defender wyłączony, ale MSSE zdaje się działać: Tak , Windows Defender nie działał , przywracanie jakoś udało mi się uruchomić ale nie mogłem przywrócić systemu do chwili jego ponownego uruchomienia. Microsoft Security Essentials dział w tle. W procesach nie było tego w ogóle widać. Gdy uruchamiałem go z pliku na chwilkę pokazał się obraz i znikał. Ikona z zasobnika gdy najechałem na nia myszkę również znikała. Na przyszłość na temat uruchamiania ComboFix: KLIK. Na pewno poczytam. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" To akurat było zaznaczone jak w opisie. Wklejam log OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Wpisując w Google frazę z tematu postu kliknąłem linka prowadzącego do tego rozwiązania. Ja tylko wyjaśniam, że to nie Twój przypadek. Jest mnóstwo wariacji problemu wyłączonej usługi Centrum, mój artykuł opisuje tylko jeden szczególny wariant. Tu był problem innej natury. Microsoft Security Essentials dział w tle. W procesach nie było tego w ogóle widać. Gdy uruchamiałem go z pliku na chwilkę pokazał się obraz i znikał. Ikona z zasobnika gdy najechałem na nia myszkę również znikała. To również były skutki infekcji. Tak , Windows Defender nie działał I nadal nie działa (usługa ma status Wyłączony). Ale jak mówiłam celowo to ominęłam. Zresztą Microsoft Security Essentials i tak zapobiega uruchamianiu tego wbudowanego programu, deaktywuje Defendera w określony sposób, by mu nie przeszkadzał. Infekcja pomyślnie usunięta i możemy finalizować: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę w logu pliku ComboFix.exe i nie wiem skąd go uruchamiałeś. Pobierz go ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Jaco\Desktop\ComboFix.exe /uninstall 2. Następnie doczyść po pozostałych narzędziach. W OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniżej zakreślone foldery. C:\Kaspersky Rescue Disk 10.0 C:\Windows\erdnt PS. Uwagi poboczne na temat zainstalowanego oprogramowania: - Sunrise Seven: uwaga, pod żadnym pozorem nie stosuj w tej aplikacji funkcji czyszczenia FileRepository. To ma potężne skutki uboczne (niemożność instalacji nowo podpinanych urządzeń, problemy z Windows Update). Na forum tutaj masa tematów z uszkodzeniami po użyciu tej opcji. - Gadu-Gadu 10: program ciężki i dręczący zasoby. Obejrzyj alternatywne programy z obsługą sieci Gadu: KLIK. W grę wchodzą: WTW (polecany), Miranda, Kadu, AQQ. . Odnośnik do komentarza
Jaco Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 Tu był problem innej natury. Możesz uchylić tajemnicy co było główną przyczyną ? Infekcja pomyślnie usunięta i możemy finalizować: Już wczoraj po wykonaniu Twoich zaleceń widoczna była poprawa. - Sunrise Seven: uwaga, pod żadnym pozorem nie stosuj w tej aplikacji funkcji czyszczenia FileRepository. To ma potężne skutki uboczne (niemożność instalacji nowo podpinanych urządzeń, problemy z Windows Update). Na forum tutaj masa tematów z uszkodzeniami po użyciu tej opcji. Tym programem zmieniłem tylko obraz logowania systemu i nic więcej. Jeśli bardzo szkodzliwy nawet bez uruchamiania mogę usunąć. - Gadu-Gadu 10: Używany sporadycznie.Wyłączone wszelkie zbędne zadania w tym programie GG Tuner. Czyszczenie folderów przeprowadzone bez problemów. Czy coś jeszcze muszę wykonać? Odnośnik do komentarza
picasso Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 Możesz uchylić tajemnicy co było główną przyczyną ? Przecież już napisałam w moim pierwszym poście: U Ciebie usługa jest, tylko infekcja działająca w tle ją cały czas wyłącza. Import rejestru podany w tutorialu wprawdzie jako jedną z modyfikacji wprowadza Typ uruchomienia usługi na Automatyczny, ale to nie utrzymuje się zbyt długo, bo reaguje infekcja. Usługa nie była naruszona w rozumieniu jej nieobecności w rejestrze. Infekcja ją wyłączyła (Typ uruchomienia zrekonfigurowany) i zapobiegała ponownemu włączeniu. Tym programem zmieniłem tylko obraz logowania systemu i nic więcej. Jeśli bardzo szkodzliwy nawet bez uruchamiania mogę usunąć. Nie wszystkie opcje są wadliwe. Te drobnostki z modyfikacją wyglądu nie stanowią problemu. Problem leży w funkcji czyszczenia plików w FileRepository i tu z mocą podkreślam, by tego nie ruszać. Czy coś jeszcze muszę wykonać? To już koniec operacji. . Odnośnik do komentarza
Jaco Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 Infekcja ją wyłączyła Ale jaka? Skąd to się wzęło? To już koniec operacji. To mnie najbardziej ucieszyło. Wielki Ukłon w Twoją stronę. Bardzo dziękuję Ci za pomoc. Jaco Odnośnik do komentarza
picasso Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 Ale jaka? Skąd to się wzęło? Cytuję co napisałam, co było w Twoim systemie: Infekcja jest w postaci plików uruchomionych techniką Harmonogramu: [2012-10-05 13:06:42 | 000,094,208 | RHS- | C] () -- C:\Windows\System32\adsldps.dll[2012-10-05 13:06:42 | 000,000,310 | ---- | C] () -- C:\Windows\tasks\hmdqegd.job Tę infekcję nabyłeś przypuszczalnie przez zwizytowanie określonego URL, który załadował automatycznie malware. Bliższych szczegółów nie jestem w stanie ustalić. . Odnośnik do komentarza
Jaco Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 Tę infekcję nabyłeś przypuszczalnie przez zwizytowanie określonego URL, który załadował automatycznie malware. Bliższych szczegółów nie jestem w stanie ustalić. To już coś. Jeszcze raz chcę Ci z tego miejsca podziękować za bardzo dobrą pomoc. Jaco Temat uważam za wyczrpany i do zamknięicia. Odnośnik do komentarza
Rekomendowane odpowiedzi