Nie uruchamia się Centrum Zabezpieczeń, Defender i Security Essentials

[Darek1]

Witam,

 

W wyniku działania wirusa nie uruchamia się Centrum Zabezpieczń, Defender i Security Essentials.

Ręczne uruchamianie usług przez serviese nie działa. W przypadku Centrum Zabezpiczeń działa

przez kilkanaście sekund po czym się wyłącza. Brak punktu przywracania systemu (funkcja wyłączona).

Malwarebytes' Anti-Malware nic nie wykrywa, wirus został chyba usunięty wcześniej.

ComboFix nie zaszkodził ale też nie pomógł, podobnie jak Spyware Doctor i odbudowa rejestru

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]

Problem jest podobny do omawianego:

https://www.fixitpc.pl/topic/4934-nie-mozna-uruchomic-uslugi-centrum-zabezpieczen-systemu-windows/

Znalazłem pewną analogię w logu:

 

[2013-01-26 18:40:55 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Xyptmcya.job

 

ale biblioteki dll już nie znalazłem.

 

Pozdrawiam i liczę na pomoc.

Extras.Txt

OTL.Txt

[picasso]

W wyniku działania wirusa nie uruchamia się Centrum Zabezpieczń, Defender i Security Essentials.

Ręczne uruchamianie usług przez serviese nie działa.

 

Do kompletu jeszcze: wyłączone Przywracanie systemu. Dopóki działa infekcja, będzie zapobiegać uruchamianiu tych usług.

 

 

Malwarebytes' Anti-Malware nic nie wykrywa, wirus został chyba usunięty wcześniej.

 

Nie, MBAM po prostu nie widzi infekcji.

 

 

Znalazłem pewną analogię w logu:

 

[2013-01-26 18:40:55 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Xyptmcya.job

 

ale biblioteki dll już nie znalazłem.p

 

Biblioteka też jest, to jest para plików infekcji:

 

[2013-01-26 18:40:55 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Xyptmcya.job
[2012-10-18 08:41:25 | 000,094,208 | RHS- | C] () -- C:\Windows\SysWow64\drmv2clt5.dll

 

Od razu będę też usuwać szczątki Firefoxa, nie wygląda na zainstalowany.

 

1. Przez Panel sterowania odinstaluj zbędny downloader Akamai NetSession Interface.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\tasks\Xyptmcya.job
C:\Windows\SysWow64\drmv2clt5.dll
C:\Users\USER\AppData\Roaming\Babylon
C:\Users\USER\AppData\Roaming\Mozilla
C:\Program Files (x86)\PC Tools
C:\Program Files (x86)\Common Files\PC Tools
C:\ProgramData\PC Tools
C:\Windows\SysNative\drivers\PCTSD64.sys
 
:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4279185831-3593303070-1783640509-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4279185831-3593303070-1783640509-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-4279185831-3593303070-1783640509-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Był tu używany AdwCleaner i wymagana korekta domyślnych wyszukiwarek Internet Explorer, a poza tym wykończenie kluczy Firefox. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BB5D567B-7939-48C8-8E03-10D1AE3A7CB9}"
 
[HKEY_USERS\S-1-5-21-4279185831-3593303070-1783640509-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BB5D567B-7939-48C8-8E03-10D1AE3A7CB9}"
 
[HKEY_USERS\S-1-5-21-4279185831-3593303070-1783640509-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BB5D567B-7939-48C8-8E03-10D1AE3A7CB9}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Włącz funkcje zdeaktywowane przez malware (teraz będzie to możliwe):

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender nie będzie tu włączany celowo = przy antywirusach jest zbędny, zresztą MSSE i tak zapobiega jego uruchomieniu.
  
• Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"
  

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Darek1]

Witam,

 

Wygląda na to, że wszystko ruszyło jak powinno. Wielkie dzięki.

OTL.Txt

[picasso]

Kończymy:

 

1. Uruchom Autoruns i w karcie Scheduled Tasks usuń szczątkowe zadanie infekcji o nazwie Xyptmcya.

 

2. W OTL uruchom Sprzątanie, co ma za zadanie skasować OTL i jego kwarantannę.

 

3. Odintaluj niebezpieczną wersję Java™ 6 Update 38 i zastąp najnowszą: KLIK.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.