Nie można uruchomić usługi centrum zabezpieczeń windows

[Zagi]

Witam

 

Mam problem polegajacy na niemozliwosci uruchomienia centrum zabezpieczen systemu windows

Prawdopodobnie zostal z internetu zciagniety jakis trojan.

Przeskanowalem kompa skanerem antywirusowym eset on-line i znalazl on kilka wirusow i trojanow, usunal je ale problem nie zniknal.

Kiedy próbuje włączyc usługę w panelu sterowania wyskakuje komunikat: ''nie można uruchomić usługi centrum zabezpieczeń windows''

Probowalem programu combofix ale rowniez nie pomaga. Dodam jeszcze, że nie mogę uruchomić programu antywirusowego microsoft seciurity essentials.

 

Prosze o pomoc w zalaczniku zamieszczam logi z OTL dla platformy 32bit windows 7 professional

Extras.Txt

OTL.Txt

[picasso]

Nie podałeś obowiązkowego tu loga z GMER i nawet nie przygotowałeś podłoża do jego uruchomienia (KLIK), działa sterownik emulacji napędów wirtualnych:

 

DRV - [2009-11-05 19:00:30 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Przeskanowalem kompa skanerem antywirusowym eset on-line i znalazl on kilka wirusow i trojanow, usunal je ale problem nie zniknal.

 

Nie podałeś raportu z tego skanera, by było wiadome co w ogóle usunięto.

 

 

Probowalem programu combofix ale rowniez nie pomaga.

 

Zapomniałeś log podać Nie wolno ukrywać wyników działań tego programu, bo skoro nie potrafisz sam usunąć infekcji, to znaczy że nie umiesz zanalizować raportu ComboFix (i np. ocenić czy nie skasował czegoś niesłusznie). Oczywiście chodzi mi tylko o podanie raportu, który powstał wtedy, przy pierwszym uruchamianiu. Nie uruchamiaj ponownie narzędzia.

Nie tylko tego próbowałeś, była tu kombinacja z jakimś skryptem OTL. Chyba nie brałeś z cudzego posta? Każdy skrypt jest unikatowy tylko dla tego szczególnego przypadku i systemu użytkownika. Pokaż co tam robiłeś z OTL, w katalogu C:\_OTL powinien być log powstały z przetwarzania skryptu.

 

Po co pytam o to wszystko: otóż w logu jedyne co się kojarzy z infekcją to ukryty świeży plik fixmapi9.dll i układ zdekompletowany (brak zadania *.job które z tą infekcją chodzi), nie widać także listowania usług Microsoft Security Essentials.

 

[2011-03-22 14:44:55 | 000,108,544 | RHS- | C] () -- C:\Windows\System32\fixmapi9.dll

 

Na teraz zadaję tę akcję:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-03-22 14:44:55 | 000,108,544 | RHS- | M] () -- C:\Windows\System32\fixmapi9.dll
[2009-12-07 16:48:16 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}
[2009-12-07 08:39:29 | 000,002,405 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\questservice129.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Na koniec otrzymasz z tego log.

 

2. Uruchom Firefox i w menedżerze dodatków odmontuj myBabylon English Toolbar. W pasku adresów wklep about:config i wyszukaj wartość keyword.URL, którą z prawokliku zresetuj do poziomu domyślnego.

 

3. Przejdź do apletu deinstalacji oprogramowania i odinstaluj free-downloads.net Toolbar.

 

4. Po wykonaniu wszystkich w/w zadań wytwórz nowy log z OTL, ale na innym ustawieniu wyliczającym wszystkie serwisy: Usługi i Sterowniki przestaw na Wszystko i wygeneruj log opcją Skanuj. Dołącz i log powstały z usuwania w punkcie 1.

 

 

 

.

[Zagi]

Nie podałeś obowiązkowego tu loga z GMER i nawet nie przygotowałeś podłoża do jego uruchomienia (KLIK), działa sterownik emulacji napędów wirtualnych:

 

DRV - [2009-11-05 19:00:30 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Już odinstalowałem oprogramowanie emulujące napęd i wykonałem loga programem GMER.

log1.txt

 

Nie podałeś raportu z tego skanera, by było wiadome co w ogóle usunięto.

 

Podaje raport ze skanera.

log.txt

 

Zapomniałeś log podać Nie wolno ukrywać wyników działań tego programu, bo skoro nie potrafisz sam usunąć infekcji, to znaczy że nie umiesz zanalizować raportu ComboFix (i np. ocenić czy nie skasował czegoś niesłusznie). Oczywiście chodzi mi tylko o podanie raportu, który powstał wtedy, przy pierwszym uruchamianiu. Nie uruchamiaj ponownie narzędzia.

 

Podaje loga z combofix

ComboFix.txt

 

Nie tylko tego próbowałeś, była tu kombinacja z jakimś skryptem OTL. Chyba nie brałeś z cudzego posta? Każdy skrypt jest unikatowy tylko dla tego szczególnego przypadku i systemu użytkownika. Pokaż co tam robiłeś z OTL, w katalogu C:\_OTL powinien być log powstały z przetwarzania skryptu.

 

Tak próbowałem coś sam zdziałać skryptem OTL. Bo na forum już czytałem o podobnym problemie, mam nadzieje, że nic nie popsułem. Załączam z tego loga

log_delete1.txt

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: (...) Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Na koniec otrzymasz z tego log.

Zamieszczam loga

log_delete2.txt

 

3. Przejdź do apletu deinstalacji oprogramowania i odinstaluj free-downloads.net Toolbar.

Próbując odinstalowć free-downloads.net Toolbar pojawia mi się komunikat Could not open INSTALL.LOG file. Jest jakiś inny sposób na pozbycie się tego ??

 

 

4. Po wykonaniu wszystkich w/w zadań wytwórz nowy log z OTL, ale na innym ustawieniu wyliczającym wszystkie serwisy: Usługi i Sterowniki przestaw na Wszystko i wygeneruj log opcją Skanuj

Zamieszczam logi:

Extras.Txt

OTL.Txt

[picasso]

Log z GMER nie wykazuje nic podejrzanego. ComboFix usuwał foldery adware (to QuestService usuwane moim skryptem z Firefox to musi być z tego kompletu). Zaś w OTL zadania *.job nie było widać, bo już (prawidłowo) usunąłeś to za pomocą własnego skryptu:

 

All processes killed
========== OTL ==========
C:\Windows\Tasks\njwcynz.job moved successfully.

Zadanie *.job nie jest jednak jedynym składnikiem. Drugim elementem był ów moduł DLL, który zadałam do usuwania. Mój skrypt także wykonał się prawidłowo i plik DLL został usunięty.

 

Centrum zabezpieczeń nie działa, ponieważ jego nadrzędna usługa ma status "Disabled":

 

SRV - [2010-12-21 06:38:24 | 000,073,728 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\wscsvc.dll -- (wscsvc)

 

Nie widzę tu żadnych usług Microsoft Security Essentials, oto co powinno być w logu (z mojego Windows 7):

 

SRV - [2010-11-11 12:26:42 | 000,206,360 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe -- (NisSrv)
SRV - [2010-11-11 12:26:40 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
DRV - [2011-03-23 12:47:37 | 000,028,752 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{FA78CBED-CCB4-4C71-889E-8632D4154A2F}\MpKsl78af6b0a.sys -- (MpKsl78af6b0a)
 
O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)

Ty masz tylko wpis w Autostarcie (i program listowany w aplecie deinstalacji):

 

O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{77A776C4-D10F-416D-88F0-53F2D9DCD9B3}" = Microsoft Security Client
"Microsoft Security Client" = Microsoft Security Essentials

 

1. Zostało nam pozbycie się opornego paska narzędziowego oraz włączenie usługi Centrum zabezpieczeń. Przeglądarki mają być zamknięte podczas tego procesu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (catchme)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\free-downloads.net Toolbar]
 
:Files
C:\Program Files\free-downloads.net
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
C:\Users\Zagi\AppData\Roaming\Mozilla\Firefox\Profiles\i0ue54j3.default\searchplugins\web-search.xml
sc config wscsvc start= delayed-auto /C
sc start wscsvc /C

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Microsoft Security Essentials po prostu odinstaluj, pobierz najnowszą wersję i zainstaluj.

 

3. Przedstaw log powstały z usuwania + nowy OTL z opcji Skanuj.

 

 

 

.

[Zagi]

Wkleiłem podany przez Ciebie wyżej skrypt. I po naciśnięciu skanuj zaczęło się skanowanie po czym wyświetlił się komunikat cannot create file C:\Users\Zagi\Downloads\cmd.bat.

Po czym wkleiłem raz jeszcze ten skrypt i już poszło.

Przedstawiam loga:

log_delete3.txt

 

Nowy log OTL z opcji skanuj:

OTL.Txt

Extras.Txt

[picasso]

I po naciśnięciu skanuj zaczęło się skanowanie po czym wyświetlił się komunikat cannot create file C:\Users\Zagi\Downloads\cmd.bat.

 

Ten skrypt był przeznaczony do opcji "Wykonaj skrypt" a nie "Skanuj". Ale to chyba Twoje przejęzyczenie, gdyż po wynikach oceniam, że on został jednak za pierwszym razem przetworzony w większości (za wyjątkiem komend sterowania usługami), gdyż jego ponowienie ma masowe zwroty "not found" (obiekty już po prostu zostały skasowane). Dzięki skryptowi status usługi Centrum zabezpieczeń został przestawiony z sukcesem na "Automatyczny (z opóźnieniem)", więc czy notujesz nadal problem z uruchamianiem Centrum? W podanych logach nie widzę nadal wzmiankowanych przeze mnie wcześniej obiektów Microsoft Security Essentials. Miałeś go przeinstalować przed wytworzeniem logów, bym miała od razu potwierdzenie, że obiekt ma wszystkie składniki. Czy jest tu jakiś problem z instalacją?

 

 

.

[Zagi]

Tak to moje przejęzyczenie ;p Kliknąłem wykonaj skrypt . Microsoft Security Essentials zainstalowałem dopiero po wysłaniu logów. Wszystko pięknie działa i centrum zabezpieczeń i Microsoft Security Essentials . Nie wiem nawet jak Ci dziękować za rozwiązanie problemu i poświęcony czas. Bardzo mi pomogłaś )))

[picasso]

Pora na porządki po usuwaniu:

 

1. Przez SHIFT+DEL skasuj z dysku folder C:\_OTL.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co również zresetuje foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

C:\Users\Zagi\Downloads\ComboFix.exe /uninstall

 

3. Ważne aktualizacja systemu i programów:

 

An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

Uzupełnij Windows o SP1+IE9, pozostałe aplikacje zaktualizuj. Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE.

 

 

 

.

Edytowane 19 Października 2011 przez picasso
24.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso