"Coś" wyłącza usługę Centrum zabezpieczeń systemu Windows

[bartek001]

Witam wszystkich.

Problem ma miejsce na Win 7 Pro 64 bit. Nie mogę uruchomić usługi centrum zabezpieczeń systemu Windows.Ręczne włączenie za pomocą services.msc nie pomogło. Po chwili usługa wyłącza się i tak w kółko
Dodatkowo często podczas szukania informacji w Google kliknięcie na dany link powoduje przeniesienie do niewłaściwej strony (reklamy gier, pornograficzne etc.)

 

Znalazłem podobny a nawet identyczny temat na forum lecz był on zamknięty. Jesli wszystko dobrze zrobiłem programem OTL to ponizej sa logi z mojego kompa. 

 

Dodatkowo NOD32 co jakiś czas wyświetla komunikat o zagrożeniu i nic nie mozna z tym zagrożeniem zrobić - 

 

Komunikat z NOD32:

 

Pamiec operacyjna – rudll32.exe(1556)(1592)

 

Zagrożenie win32 ponmocum.AA koń trojański

Z góry dzięki za pomoc

 

Pozdrawiam

 

 

OTL.Txt

Extras.Txt

[picasso]

Infekcją jest ta para plików:

 

[2013-06-29 23:34:48 | 000,233,472 | RHS- | C] () -- C:\windows\SysWow64\dcomcnfgw.dll

[2013-06-29 23:34:48 | 000,000,314 | ---- | C] () -- C:\windows\tasks\Yvsfkaqcl.job

 

Na razie nie ruszaj tego / nie usuwaj ręcznie, bo ta para plików powinna mieć jeszcze klucze rejestru w Harmonogramie Windows. Podaj mi log z FRST. W pliku Addition.txt będę mieć dokładne dane o tej infekcji.

 

 

.

[bartek001]

Jeśli wszystko ok zrobiłem to logi z FRST.

 

Takie dwa pliki mi sie wyodrębniły po skanowaniu.

Addition.txt

FRST.txt

[picasso]

Tak, infekcja ma zarejestrowane wejście w rejestrze. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

HKLM\...\Run: [] [x]
Task: {A4E7BADF-D3DF-4CD0-BDAA-211834823864} - System32\Tasks\Yvsfkaqcl => C:\windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation)
C:\windows\SysWow64\dcomcnfgw.dll
C:\windows\tasks\Yvsfkaqcl.job

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i klikij opcję Fix. Powstanie plik fixlog.txt.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{696D8A2A-FF13-49B3-AA90-739126E19E19}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{696D8A2A-FF13-49B3-AA90-739126E19E19}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{696D8A2A-FF13-49B3-AA90-739126E19E19}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

4. Włącz funkcje wyłączone przez malware:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender za to nie będzie tu włączany celowo = przy antywirusach jest zbędny i dla wydajności powinien być wyłączony.
• Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"

5. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + FRST (zaznacz opcję Addition, by powstały dwa pliki). Dołącz plik fixlog.txt.



.

[bartek001]

Wszystko wykonane jak pisałaś wiec powinno wyjść ok 

I takie pytanie czy ta infekcja to właśnie to co wykrywał NOD32 i nie potrafił sobie z tym poradzić ?

Fixlog.txt

FRST.txt

Addition.txt

OTL.Txt

[picasso]

I takie pytanie czy ta infekcja to właśnie to co wykrywał NOD32 i nie potrafił sobie z tym poradzić ?

Tak.

 

 

Wszystko zrobione. Przed wykonaniem poleceń poniżej podaj mi dane dodatkowe, gdyż widzę pewne różnice między skanem OTL i FRST i chcę to sprawdzić. Uruchom SystemLook x64, w oknie wklej co poniżej i klik w Look:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes /s

 

Po umieszczeniu tych danych zakończ sprawy:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Operę i Skype, odinstaluj starą Java oraz Adobe Reader i zastąp najnowszymi (o ile potrzebne): KLIK. Wg listy zainstalowanych posiadasz wersje:

 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.0) MUI (x32 Version: 10.1.0)

Java™ 6 Update 30 (x32 Version: 6.0.300)

Opera 12.15 (x32 Version: 12.15.1748)

Skype™ 5.10 (x32 Version: 5.10.116)

 

 

.

[bartek001]

Sorki ale musiałem wyjść na trening.

 

Nowe skany już zrobione poniżej

 

A ja zabieram się za kończenie spraw.

SystemLook najnowszy.txt

[picasso]

Ze skanu SystemLook wynika drobna sprawa, są odpadkowe klucze wyszukiwarek IE bez adresów URL. Dokasuj to sobie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

 

To tyle z mojej strony.

 

 

.

[bartek001]

picasso wielkie dzięki za pomoc w usunięciu infekcji. 

 

Temat uważam za zamknięty.