Nie działa Centrum zabezpieczeń Vista

[dominik76]

Od wczoraj nagle przestało mi działać centrum zabezpieczeń. Wyskoczył taki komunikat: Nie można uruchomić usługi centrum zabezpieczeń.

Próbowałem za pomocą services.msc i włączałem ręcznie ale to pomagało tylko na chwilę .

Obawiam się że złapałem rootkita. W jaki sposó mogę go usunąć i za pomocą jakiego programu skanującego?

Posiadam Windows Vista Home Premium z service pack 2. ( 32-bitowy) a mój NIS 2013 nie potrafi go wykryć.

Proszę o pomoc

OTL.Txt

Extras.Txt

[picasso]

W systemie działa infekcja, ale nie rootkit, prosta sprawa bazująca na parze plików:

 

[2013-01-30 21:12:35 | 000,118,784 | RHS- | C] () -- C:\Windows\System32\srclientt.dll
[2013-01-30 21:12:35 | 000,000,340 | ---- | C] () -- C:\Windows\tasks\HUIICXVO.job

 

Infekcja ta deaktywuje: Centrum zabezpieczeń, Windows Defender, Przywracanie systemu oraz MSSE (o ile zainstalowany).

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\System32\srclientt.dll
C:\Windows\tasks\HUIICXVO.job
@C:\Windows:8498396C6D8EC143
C:\Program Files\Ask.com
C:\ProgramData\APN
 
:OTL
IE - HKU\S-1-5-21-266271423-965352428-2610167932-1003\..\URLSearchHook: {D8278076-BC68-4484-9233-6E7F1628B56C} - No CLSID value found
O3 - HKU\S-1-5-21-266271423-965352428-2610167932-1003\..\Toolbar\WebBrowser: (no name) - {196C3A46-4758-433D-A600-802C804AF39C} - No CLSID value found.
O3 - HKU\S-1-5-21-266271423-965352428-2610167932-1003\..\Toolbar\WebBrowser: (no name) - {41545534-0076-A76A-76A7-7A786E7484D7} - No CLSID value found.
O9 - Extra 'Tools' menuitem : Enable/Disable PDF Download for this site - {96538116-AB8C-4879-9F21-BD2BFE22A414} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : PDF Download - Options - {AD9E6088-E00B-42f9-9F0C-8480525D234E} - Reg Error: Key error. File not found
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab" (Reg Error: Key error.)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | On_Demand | Running] -- C:\Windows\system32\EF7E.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\DANUSI~1\AppData\Local\Temp\__Samsung_Update\ADDMEM.SYS -- (ADDMEM)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Włącz zdeaktywowane przez infekcję funkcje:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender pomijam, bo działa Symantec. Poza tym, Windows Defender stary.
  
• Panel sterowania > System i konserwacja > System > Ochrona systemu > sprawdź czy dysk z Windows jest objęty Ochroną.
  

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Widzę, że było z GMERem już podejście. Nie przygotopwałeś w ogóle prawidłowego środowiska do startu programu, nie został usunięty sterownik SPTD od emulacji napędów wirtualnych:

 

DRV - [2011-01-15 20:09:39 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Dodatkowo, dodaj mi jeszcze raport z Autoruns, bo OTL nie skanuje nowej struktury Harmonogramu systemu Vista / Windows 7.

 

 

 

.

[dominik76]

A na czym polega ( punkt 3) prawidłowe przygotowanie środowiska do staru programu i wjaki sposób mam usunąć sterownik SPTD od emulacji napędów wirtualnych?

[picasso]

dominik76, czy w ogóle przeczytałeś ogłoszenia tego działu oraz opis GMER? Tam wszystko jest wyjaśnione. Instrukcja usuwania emulatorów: KLIK.

 

 

 

.

[dominik76]

Tak ale dopiero teraz. Przepraszam. Jestem w trakcie skanowania Gmerem i jak chciałem zobaczyć film na Youtube to dźwięk jest ale "zgrzytający" , więc otwarłem filmik z dysku i jest tak samo. Czy to jest spowodowane włączeniem Gmera czy wcześniejszym naprawianiem centrum zabezpieczeń?. Dodam że udało się i centrum zabezpieczeń działa. Dziękuję

[picasso]

Podczas skanu GMER należy zostawić system w maksymalnej bezczynności, nie uruchamiać programów. Pewnie te "zgrzyty" właśnie z powodu skanu.

[dominik76]

Dzięki

[dominik76]

Zakończyłem,a to nowy log z OTL oraz raport z Gmera:

Niestety Autorunsa nie ruszyłem bo z moim angielskim jest kiepsko.

OTL.Txt

gmer.txt

[picasso]

Uruchamiasz Autoruns i czekasz aż ukończy skan (status "Ready" na dole okna). Następnie z menu File > Save > przestawiasz w menu na format *.TXT i zapisujesz plik.

 

 

 

.

[dominik76]

Udało się.

AutoRuns.txt

[picasso]

Wszystko zrobione i możemy kończyć:

 

1. Log z Autoruns pokazuje, że pozostał pusty wpis po infekcji w Harmonogramie:

 

"Task Scheduler"	""	""	""
+ "\HUIICXVO"	""	""	"File not found: C:\Windows\system32\srclientt.dll"

 

Uruchom Autoruns i wejdź do karty Scheduled Tasks. Usuń zadanie o nazwie HUIICXVO. Przy okazji możesz skasować martwe zadania RealPlayer.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL + kwarantannę. Usunięty sterownik SPTD możesz przywrócić, o ile potrzebny.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. W Dzienniku zdarzeń powtarza się błąd WMI numer 10. Instrukcje naprawcze: KLIK. W skrócie: wklej do Notatnika skrypt, zapisz pod nazwą FIX.VBS, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.

 

5. Usuń stare wersje Adobe Reader + Java, zaktualizuj Operę oraz Office 2003 (instalacja pakietu SP3): KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Opera 12.02.1578" = Opera 12.02

 

 

PS. Widzę tu Nowe Gadu-Gadu. Zainteresuj się alternatywnymi programami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Wszystko opisane tu: KLIK.

 

.

[dominik76]

Jeśli chodzi o OTL ( punkt2) to mam uruchomić program i włączyć sprzatanię? ze standartowymi ustawieniami czy coś pozmieniać?

Jeśli chodzi o punkt 4 to dotarłem do tego punktu ( patrz załącznik) i tam mam wklepać to polecenie? z nowej linijki?

[picasso]

Jeśli chodzi o OTL ( punkt2) to mam uruchomić program i włączyć sprzatanię? ze standartowymi ustawieniami czy coś pozmieniać?

 

No tak, uruchom > klik w Sprzątanie. A opcje nie mają żadnego znaczenia. To nie jest Skan! To usuwanie OTL z dysku.

 

 

Jeśli chodzi o punkt 4 to dotarłem do tego punktu ( patrz załącznik) i tam mam wklepać to polecenie? z nowej linijki?

 

W tej samej linii (znak zachęty) wpisujesz C:\FIX.VBS i ENTER.

 

 

 

.

[dominik76]

DZIĘKI WIELKIE ZA POMOC