Komunikat "Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows""

[clameur]

Witam, dzisiaj ściagnąłem plik, ktory się okazał czym szkodliwym. Otóż mam ten sam problem co użytkownicy damian 1521 oraz jurek. Komunikat przy trayu "1 ważna wiadomość", gdy wchodze w centrum akcji po przyciśnięciu przycisku Włącz teraz - przy usludze centrum zabezpieczen systemu windows(wazne) pojawia się komunikat wymieniony w tytule, ponadto zauwazylem chcąc przywrócic system do poprzedniego stanu że przywracanie systemu mam tez wylaczone. W trayu ciagle ikonka flagi z czerwonym znaczkiem Skanowałem system Malwarebytes' Anti Malware, oraz ccleaner czyscilem rejestr, niestety nic nie pomoglo, mimo iz oba te programy wiele wykryly.

Bardzo prosze o pomoc, gdyż rozwiazania w podobnych problemach z tym komunikatem u mnie nia dzialaja...

 

Posiadam system Windows 7 Profesional x64 Service Pack 1

 

Logi w załączniku - robiłem według poradników, mam nadzieje ze wszystko dobrze wstawilem, wrazie czego prosze nie usuwać tematu a szybko uzupelnie o brakujace dane.

Z gory bardzo dziekuje za jakakolwiek pomoc.

OTL.Txt

Extras.Txt

[picasso]

Otóż mam ten sam problem co użytkownicy damian 1521 oraz jurek. (...) rozwiazania w podobnych problemach z tym komunikatem u mnie nia dzialaja...

 

I próbowałeś zapewne używać jednego ze skryptów przeznaczonych do ich przypadków, gdyż widzę wyraźnie, że skrypt był puszczany. Na przyszłość: tego nie wolno robić, każdy skrypt jest konstruowany na bieżąco do widoku danego systemu, ergo jest unikatowy. Na zasadzie kompletnego przypadku jeden czy dwa wpisy mogą się zgodzić, ale tym sposobem to się gra w totolotka a nie usuwanie malware. Przy tej infekcji trafienie nie jest możliwe, infekcja generuje parę plików o losowych nazwach, u każdego występują inne pliki, u Ciebie:

 

[2011-06-14 19:08:38 | 000,136,704 | RHS- | C] () -- C:\Windows\SysWow64\d3dim7003.dll
[2011-06-14 19:08:38 | 000,000,314 | -HS- | C] () -- C:\Windows\tasks\Unlsy.job

 

Skanowałem system Malwarebytes' Anti Malware, oraz ccleaner czyscilem rejestr, niestety nic nie pomoglo, mimo iz oba te programy wiele wykryly.

 

Interesują mnie wyniki skanera MBAM, ile i skąd usuwał. Dołącz te dane.

 

 

zauwazylem chcąc przywrócic system do poprzedniego stanu że przywracanie systemu mam tez wylaczone

 

To na samym końcu włączysz, a nie teraz gdy infekcja ma być usuwana.

 

 

---

Będą tu usuwane pliki infekcji + rekonfiguracja Centrum, sprzątanie po śmieciach paskowych i czynnościach GG10 oraz usunięcie plików tymczasowych. Natomiast nie będę włączać Windows Defender (infekcja też go wyłącza), gdyż pracuje tu Kaspersky Anti-Virus 2011 i Windows Defender jest zbędny.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\d3dim7003.dll
C:\Windows\tasks\Unlsy.job
C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml
C:\Users\Clameur\AppData\Roaming\mozilla\Firefox\Profiles\oplx8e79.default\extensions\ffxtlbr@Facemoods.com
C:\Users\Clameur\AppData\Roaming\mozilla\Firefox\Profiles\oplx8e79.default\extensions\DTToolbar@toolbarnet.com
C:\Users\Clameur\AppData\Roaming\Mozilla\Firefox\Profiles\oplx8e79.default\searchplugins\askcom.xml
C:\Users\Clameur\AppData\Roaming\Mozilla\Firefox\Profiles\oplx8e79.default\searchplugins\daemon-search.xml
C:\Users\Clameur\AppData\Local\Temp*.html
sc config wscsvc start= delayed-auto /C
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-614235650-3472308271-149237455-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddrnw"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\1.bin
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKU\S-1-5-21-614235650-3472308271-149237455-1000..\Run: [skrybot]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował, a po restarcie otrzymasz z tego działania log.

 

2. Przejdź do apletu deinstalacji programów i odmontuj adware / śmieci: DAEMON Tools Toolbar + Facemoods Toolbar.

 

3. Wygeneruj nowe logi z: OTL opcji Skanuj + AD-Remover w trybie skanu. Dorzuć log powstały z usuwania w punkcie 1.

 

 

 

 

.

[clameur]

Wszystko zrobilem wedlug instrukcji. Wrzucam logi , pierwszy to ten z mbam na samym poczatku, nastapne wedlug instrukcji.

 

W trakcie ponownego robienia loga z OTL wyskoczył dziwny błąd o treści: "W stacji nie ma dysku. Włóż dysk do stacji\Device\Harddisk2\DR2, kliknąłem "Ponów próbę" i ruszyło dalej.

 

Już z gory dziekuje za pomoc, widzę profesionalne podejscie do sprawy

mbam-log-2011-06-14 (19-51-30).txt

06152011_015249.txt

OTL.Txt

Ad-Report-SCAN1.txt

[picasso]

1. Poprawka usuwająca odpadki po paskach narzędziowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\Fun Web Products]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\MyWebSearch]
 
:Files
C:\Program Files (x86)\facemoods.com

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome także jest śmieć facemoods:

 

**** Google Chrome Version [12.0.742.91] ****
 
Extension\ihflimipbcaljfnojhhknppphnnciiif (C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoods.crx) (?)

W pasku adresów Google Chrome wklep chrome://extensions i ENTER. W menedżerze rozszerzeń wymontuj facemoods.

 

3. Przedstaw log z usuwania OTL z punktu 1 (nie potrzebuję już ze Skanuj) + nowy AD-Remover.

 

 

 

.

[clameur]

W menedżerze rozszerzeńw przegladarce chrome wyswietlił się napis "Ech... żadne rozszerzenia nie zostały zainstalowane :-(" wiec nie udalo mi sie wymontować tego facemoods.

 

Zauważyłem że oprócz wymienionych w pierwszym poscie problemów nie moge robiz kopii zapasowych, wszystko mam powylaczane tam w tym centrum akcji (

 

Logi z wykonania skryptu i z AD-Remover w zalaczniku.

06152011_085420.txt

Ad-Report-SCAN2.txt

[picasso]

Jeszcze trzy kluczyki nie zostały skasowane. Przepraszam, już byłam zmęczona pisząc post, za późno poprawiłam pomyłkę w jednym, a dwa pozostałe dałam jako HKLM a nie HKCU.

 

1. Ładuj mini poprawkę do OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\MyWebSearch]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]

Klik w Wykonaj skrypt.

 

2. Po ukończeniu zadania użyj funkcję Sprzątanie w OTL, która usunie kwarantannę z infekcją oraz program OTL z dysku. Funkcja wymaga restartu.

 

3. Odinstaluj AD-Remover, upewnij się że zniknął z dysku folder C:\Program Files (x86)\Ad-Remover.

 

 

W menedżerze rozszerzeńw przegladarce chrome wyswietlił się napis "Ech... żadne rozszerzenia nie zostały zainstalowane :-(" wiec nie udalo mi sie wymontować tego facemoods.

 

Widocznie to jest odpadek. Skasuj ręcznie folder rozszerzenia. W pasku adresów eksploratora wklej %localappdata%\Google\Chrome\Application i ENTER. Zostanie otworzony katalog, w którym będzie folder o nazwie wersji przeglądarki, wchodzisz weń, a następnie w obecny tam podfolder Extensions. I kasujesz przez SHIFT+DEL ihflimipbcaljfnojhhknppphnnciiif.

 

 

Zauważyłem że oprócz wymienionych w pierwszym poscie problemów nie moge robiz kopii zapasowych, wszystko mam powylaczane tam w tym centrum akcji

 

Wszystko naprawimy. Po prostu należy włączyć nieaktywne funkcje. Przedstaw na obrazku co widzisz w Centrum Akcji. Podaj co i gdzie nie działa, jakie błędy widzisz.

Wspominałeś o nieczynnym Przywracaniu systemu, to teraz możesz je już włączyć: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznaczasz dysk z Windows i klik w Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików":

 

 

 

.

[clameur]

Kojne instrukcje wykonałem Dziala przywracanie systemu tylko poprzednie punkty mi zniknely, ale dodlaem teraz punkt przywracania i mozna Została tylko ta nieszczesna usluga Centrum zabezpieczen systemu windows, ikonka w trayu ciagle czerwona (Flaga z czerwonym znaczkiem), klikając na "włącz teraz" pojawia se ten komunikat widoczny na obrazku w zalaczniku

[picasso]

Została tylko ta nieszczesna usluga Centrum zabezpieczen systemu windows, ikonka w trayu ciagle czerwona (Flaga z czerwonym znaczkiem), klikając na "włącz teraz" pojawia se ten komunikat widoczny na obrazku w zalaczniku

 

Ale przecież usługę już rekonfigurowałam skryptem OTL i było to pomyślne:

 

[sC] ChangeServiceConfig SUKCES

 

Nie rozumiem co się dzieje w kilku tematach, w których komenda się wykonuje (po usunięciu plików malware), a usługa nadal rzekomo wyłączona. Ręcznie więc ją włącz (to odpowiednik mojej komendy): Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Centrum zabezpieczeń i Typ uruchomienia ustaw na Automatycznie (opóźnione uruchomienie) a usługę zastartuj przyciskiem.

 

 

Dziala przywracanie systemu tylko poprzednie punkty mi zniknely, ale dodlaem teraz punkt przywracania i mozna

 

Oczywiście, że poprzednich punktów nigdy nie będzie, jeśli Przywracanie jest wyłączone. Wyłączenie Przywracania jest równoznaczne z usunięciem wszystkich punktów. Ta procedura jest zresztą tu stosowana po ukończeniu dezynfekcji w celu wyczyszczenia potencjalnie nagranych kopii malware w punktach: KLIK. Oczywiście tu nie aplikuje się ten proces, bo już miałeś zdeaktywowane Przywracanie, czyli malware nie było tam kopiowane.

 

 

 

.

[clameur]

Teraz wszystko już działa Kolega mi polecił fixitpc.pl i nie żałuje że tu napisałem Dziekuje najmocniej za pomoc Trzeba bardziej uważać co się uruchamia na kompie

Pozdrawiam

[picasso]

Jeszcze aktualizacje do wykonania:

 

64bit- An unknown product Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish

Czyli Internet Explorer, 32-bitowa wersja Java i Adobe Reader: INSTRUKCJE.

 

 

.