Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows

[blackalder13]

Witam,

nie mogę uruchomić Centrum zabezpieczeń w systemie Win7 64-bit. Przy próbie włączenia pojawia się komunikat jak w temacie. Niestety nie jestem w stanie określić z czym mogło się wiązać pojawienie się problemu i skąd ewentualna infekcja przyszła.

Dziękuję za pomoc.

OTL.Txt

[picasso]

To nie jest cały log z OTL, brakuje Extras = opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania".

 

Z tego co widzę, tu jest (a właściwie została jakby czymś wstępnie przeczyszczona w obszarze rejestru) infekcja, która przejmuje skojarzenie EXE:

 

[2011-06-23 00:33:01 | 000,009,296 | -HS- | C] () -- C:\Users\Admin\AppData\Local\0o3mdrie4j4lc2y064l8ou3s1xhrl03a58
[2011-06-23 00:33:01 | 000,009,296 | -HS- | C] () -- C:\ProgramData\0o3mdrie4j4lc2y064l8ou3s1xhrl03a58
[2011-06-23 00:32:56 | 000,339,968 | ---- | C] () -- C:\Users\Admin\AppData\Local\ybt.exe

 

Ta infekcja może całkowicie skasować z rejestru usługę Centrum zabezpieczeń oraz Windows Defender, co wyjaśniałoby tytułowy błąd. Będę weryfikować obecność kluczy tych usług.

 

 

1. Wstępne usunięcie odpadków infekcji i innych szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Admin\AppData\Local\0o3mdrie4j4lc2y064l8ou3s1xhrl03a58
C:\ProgramData\0o3mdrie4j4lc2y064l8ou3s1xhrl03a58
C:\Users\Admin\AppData\Local\ybt.exe
C:\Users\Admin\AppData\Local\OpenCandy
C:\Users\Admin\AppData\Roaming\OpenCandy
 
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-851357751-4088557915-363095536-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-851357751-4088557915-363095536-1000..\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup File not found
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk =  File not found
 
:Commands
[emptytemp]

 

Rozpocznij usuwania przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie powinien się otworzyć log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL, ale na warunku dostosowanym. Uruchom OTL, ustaw wszystkie opcje jak opowiada konfiguracja na forum (przypominam o Extras), zaś w oknie Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw także log z wynikami usuwania uzyskany w punkcie 1.

 

 

 

.

[blackalder13]

Postąpiłem zgodnie z instrukcjami. Zamieszczam logi.

11232011_160931.txt

OTL.Txt

Extras.Txt

[picasso]

Skan OTL w ogóle nie wykrywa zawartości kluczy usług Centrum zabezpieczeń i Windows Defender, co wskazuje, że infekcja je usunęła.

 

1. Rekonstrukcja usług. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system i sprawdź czy działa Centrum zabezpieczeń.

 

 

2. Dodatkowe uwagi:

 

Error - 2011-11-23 11:10:57 | Computer Name = PC_Admin | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\ULCDRHlp.sys zostało
zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
w celu uzyskania zgodnej wersji sterownika.

 

W Dzienniku zdarzeń jest taki oto błąd, a widać że sterownik / całe to oprogramowanie potwornie sfatygowane i niezgodne z nowym systemem:

 

DRV - [2004-12-23 17:27:56 | 000,027,392 | ---- | M] (Ulead Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\ULCDRHlp.sys -- (ULCDRHlp)
SRV - [2004-12-13 04:34:32 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)

 

Oprogramowania Ulead nie widzę na liście zainstalowanych (to nie świadczy jeszcze o braku deinstalatora), toteż pytam: czy ta aplikacja została już rzekomo odinstalowana?

Poza tym, odinstaluj zbędny "Akamai NetSession Interface Service" i cudaka "Przyśpiesz komputer".

 

.

[blackalder13]

Centrum zabezpieczeń już działa. Dziękuję bardzo za pomoc!

Jeśli chodzi o Ulead to prawda, odinstalowałem go.

[picasso]

Jeśli chodzi o Ulead to prawda, odinstalowałem go.

 

To należy usunąć pozostawione po nim elementy, które próbują się uruchamiać.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
ULCDRHlp
UleadBurningHelper
 
:Files
C:\Windows\SysWOW64\drivers\ULCDRHlp.sys
C:\Program Files (x86)\Common Files\Ulead Systems

 

Klik w Wykonaj skrypt.

 

2. Przedstaw tylko log z usuwania OTL, więcej niepotrzebne do weryfikacji.

 

 

 

.

[blackalder13]

Oto log z usuwania. Dziękuję.

11242011_154653.txt

[picasso]

Zadanie wykonane pomyślnie. Możemy kończyć:

 

1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z jego kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj aktualizacje następujących aplikacji:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 29
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Szczegóły aktualizacyjne: INSTRUKCJE. Zwróć uwagę, że są tu dwie wersje Flash, dla IE i Firefox, należy je aktualizować z osobna z poziomu danej przeglądarki.

 

 

 

 

.

[blackalder13]

Witam ponownie,

po paru dniach od pomyślnego rozwiązania mojego problemu zauważyłem, że nie działa mi napęd CD/DVD (zarówno odtwarzanie jak i nagrywanie). Podejrzewam, że może to być "skutek uboczny" likwidacji poprzedniego problemu. Zauważyłem to gdy zainstalowałem ponownie Daemon Tools, który też nie działa. Zamieszczam aktualne logi.

Extras.Txt

OTL.Txt

[picasso]

Jedyne co mi się nasuwa jako powiązane z poprzednimi czynnościami, to usuwanie szczątków Ulead. Może Ulead nałożył filtr sprzętowy na urządzenia, wtedy oczywiście po usunięciu sterownika Ulead wystąpi problem z pracą filtrowanych przez niego urządzeń.

 

Wstępnie skorzystaj z tego diagnostyka Fix-it Microsoftu: KLIK.

 

PS. Wg logów widać, że albo nie zastosowałeś w pełni ostatnich zaleceń, albo aktualizacja nie uzgodniła na liście wersji. Na liście Adobe Flash nadal widoczny w wersji 10 a nie 11, dla obu przeglądarek.

 

 

 

.

[blackalder13]

Fix-it rozwiązał problem. Dziękuję.

Jeśli chodzi o Adobe Flash, to używam Google Chrome, więc Flash jest wewnętrzny. Firefoxa już od dawna nie używam i jest zdeinstalowany. IE jest zainstalowany ale również nie używany.

[picasso]

Jeśli chodzi o Adobe Flash, to używam Google Chrome, więc Flash jest wewnętrzny.

 

To możesz odinstalować obie pozycje Flash z listy. Natomiast po Firefox nadal zostały klucze w rejestrze i dokończ to, Start > w polu szukania wpisz regedit > skasuj:

 

HKEY_LOCAL_MACHINE\Software\MozillaPlugins

HKEY_LOCAL_MACHINE\Software\Wow6432Node\MozillaPlugins

HKEY_CURRENT_USER\Software\MozillaPlugins

 

A jeśli obok będą klucze o nazwach "mozilla.org" / "mozilla", też usuń.

 

.