Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows

[WooDDs]

Witam problem tyczy się Visty home basic 32bit, wczoraj zorientowałem się ze zapora systemu nie działa kiedy probóje co kolwiek zrobić wyskakuje komunikat "nie można uruchomić usługi centrum zabezpieczeń", przeskanowałem system anty wirem (ESET NOD32) , wyrzuciło mi trojana C:\Windows\system32\drivers\smb.sys, kiedy próbowałem to usunąć albo poddać leczeniu, antywirus odpowiadał komunikatem że nie można wykonać tej funkcji. Usunełem zbędny szajs i naprawiłem wpisy w rejestrze CCleanerem , to też nic nie dało.

Próbowałem ręcznie coś zmienić w "services.msc" lecz na liście nie mam nawet usługi "Centrum zabezpieczeń" (co mnie zdziwiło), nie mam juz pomysłów.

Przeskanowałem system OTL'em (na domyślnych , startowych ustawieniach) ,podczas skanowania wywaliło to samo co przy antywirze C:\Windows\system32\drivers\smb.sys i że program otl.exe nie może uzyskać dostępu do tego pliku. Jestem zielony w tych sprawach więc pewnie coś schrzaniłem z logami x).

Mam nadzieje że jest to do rozwiązania , bo nie chciał bym formatować dysku :|

OTL.Txt

Extras.Txt

[picasso]

Obowiązkowym logiem w dziale jest nie tylko OTL ale i GMER pod kątem infekcji rootkit. CCleaner i operacje w services.msc na nic. Jest tu rootkit ZeroAccess w wariancie infekującym sterowniki systemowe. A usługi nie działają, bo rootkit wszystko skasował z rejestru (całą Zaporę, Centrum i Windows Defender). Wymagany duży nakład pracy, by usunąć infekcję oraz naprawić szkody.

 

1. Uruchom Kaspersky TDSSKiller, pozostaw domyślne akcje przyznane przez narzędzie (nic nie zmieniaj). Zatwierdź leczenie i zresetuj system. Z tej operacji powstanie log na dysku C.

 

2. Wygeneruj nowe logi z OTL + GMER oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz log z TDSSKiller wygenerowany w punkcie 1.

 

 

 

.

[WooDDs]

Oto komplet logów , były by wcześniej ale ten GMER strasznie długo skanował.

FSS.txt

OTL.Txt

TDSSKiller.2.7.41.0_25.06.2012_15.40.47_log.txt

GMER.txt

[picasso]

TDSSKiller sobie poradził, wyleczył zainfekowany sterownik systemowy smb.sys oraz skasował łącze symboliczne $NtUninstallKB34651$ rootkit:

 

15:41:40.0796 3276	Detected object count: 2
15:41:40.0796 3276	Actual detected object count: 2
15:41:55.0549 3276	C:\Windows\system32\DRIVERS\smb.sys - copied to quarantine
15:41:57.0429 3276	C:\Windows\$NtUninstallKB34651$\1399641143\Desktop.ini - copied to quarantine
15:42:04.0690 3276	Backup copy found, using it..
15:42:04.0776 3276	C:\Windows\system32\DRIVERS\smb.sys - will be cured on reboot
15:42:12.0345 3276	C:\Windows\$NtUninstallKB34651$\1399641143\Desktop.ini - will be deleted on reboot
15:42:12.0348 3276	C:\Windows\$NtUninstallKB34651$\233200691 - will be deleted on reboot
15:42:12.0351 3276	Smb ( Virus.Win32.ZAccess.k ) - User select action: Cure 

 

Log z GMER zrobiłeś w złym środowisku (czynny sterownik SPTD emulacji napędów wirtualnych).

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (apbfhclf)
DRV - [2011-07-18 23:45:54 | 000,431,672 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Log z Farbar Service Scanner potwierdza całkowitą kasację wymienionych przeze mnie wcześniej usług. Ale rekonstrukcją zajmę się w dalszej fazie. Jest tu wymagane jeszcze czyszczenie.

 

 

---

1. Przez SHIFT+DEL skasuj katalog C:\Windows\$NtUninstallKB34651$ (już rozlinkowany i pusty po akcji TDSSKiller).

 

2. Wymagany reset katalogu sieciowego Winsock przekierowanego przez rootkita: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera.

 

3. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

4. Przez Panel sterowania odinstaluj adware: Conduit Engine, DAEMON Tools Toolbar, RadarSync2 Toolbar, V9 HomeTool. W menedżerze rozszerzeń Firefox powtórz deinstalację paska DAEMON. Popraw przez AdwCleaner z opcji Delete.

 

5. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log filtrowany SFC z punktu 3 oraz log utworzony przez AdwCleaner.

 

 

 

.

[WooDDs]

Oto logi, nie wiem czy wszystko dobrze wykonałem , jak już mówilem jestem w tym zielony

AdwCleanerS1.txt

OTL.Txt

sfc.txt

[picasso]

Do uzupełniania / korekty informacji, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam, usuwam duplikat załącznika.

 

Reset Winsock pomyślnie wykonany. SFC wykonało też korektę po TDSSKiller:

 

2012-06-25 18:40:28, Info    CSI    000001b4 [sR] Cannot repair member file [l:14{7}]"smb.sys" of Microsoft-Windows-NBSMB, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2012-06-25 18:40:28, Info    CSI    000001b5 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"smb.sys" by copying from backup

 

1. Poprawki i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0BC6E3FA-78EF-4886-842C-5A1258C4455A}"=-
"{6edc3889-b841-4127-a2bf-c5fc48f972c7}"=-
 
:Files
C:\Windows\System32\Trololol.exe
C:\Windows\System32\Untitled1.exe
C:\Windows\System32\Userdata.ini
C:\Program Files\v9Soft
C:\Users\Woo -PC\AppData\Roaming\chrtmp
C:\Users\Woo -PC\AppData\Roaming\_onset.dat
C:\Users\Woo -PC\AppData\Roaming\Mozilla\Firefox\Profiles\mft6aubs.default\searchplugins\daemon-search.xml
 
:Services
Cardex
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przedstaw ten log. Jeśli wszystko się wykona, przejdziemy do odtwarzania w rejestrze skasowanych usług.

 

 

 

.

[WooDDs]

oto log

OTL.txt

[picasso]

Zrobione. Przechodzimy do:

 

1. Odbudowa skasowanych usług (w instrukcjach pomiń sfc /scannow, które już zostało wykonane):

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

.

[WooDDs]

oto log

FSS.txt

[picasso]

Nie wszystko wykonałeś poprawnie, nie została odtworzona usługa Podstawowy aparat filtrowania (BFE):

 

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.

 

Wróć do instrukcji i odbuduj usługę: import pliku REG z danymi BFE + import uprawnień BFE via SetACL. Restart systemu i ponownie log z Farbar Service Scanner.

 

 

.

[WooDDs]

log :

FSS.txt

[picasso]

Naprawy zdają się być wykonane. Sprawdź czy wszystko działa, właśnie naprawione funkcje oraz Windows Update. Do wykonania:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall, przez SHIFT+DEL skasuj katalog C:\TDSSKiller_Quarantine.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (a nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie znalezione.

 

 

 

.

[WooDDs]

Jak narazie wszystko ładnie pięknie działa, włączyłem skanowanie w programie Malwarebytes Anti-Malware, jak coś wykryje dam znać. Wielkie dzięki za pomoc, i ogólnie szacun za to co tutaj robicie

 

tutaj log z mbam , wykrył coś , ale już chyba dobrze jest.

 

EDIT: Jeszcze mam takie pytanie , jezeli chodzi o procesy Domino.exe, ZSSnp211.exe , co to w ogóle jest, już się od jakiegoś czasu zastanawiam skąd one się wzięły i czy są potrzebne.

mbam-log-2012-06-25 (21-32-32).txt

[picasso]

tutaj log z mbam , wykrył coś , ale już chyba dobrze jest.

 

MBAM wykrył cracka NOD i usunął. Nie związane z naszą sprawą. W sumie dobrze się stało, bo wymiana ESET miała być przeze mnie punktowana. Jedziesz na starym NOD (aktualnie to już darmowe rozwiązania mają nowocześniejsze mechanizmy) i to jeszcze "zacukrzonym".

 

 

EDIT: Jeszcze mam takie pytanie , jezeli chodzi o procesy Domino.exe, ZSSnp211.exe , co to w ogóle jest, już się od jakiegoś czasu zastanawiam skąd one się wzięły i czy są potrzebne.

 

To są procesy od kamery. Masz zainstalowany pakiet kamerowy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{44D02D8B-FFB3-4245-8D26-68D10B4C4023}" = ZSMC USB PC Camera (ZS0211)

 

 

---

Jako zamknięcie sprawy:

 

1. Napraw drobny błąd WMI numer 10 bazując na artykule: KB950375. Wklej do Notatnika skrypt i zapisz pod nazwą fix.vbs, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\fix.vbs.

 

2. Aktualizacje oprogramowania: KLIK. Tu z Twojej listy zainstalowanych wyciąg wersji (sprawdź wtyczki Adobe i Silverlight):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{E6B6FA66-92E7-4859-B0C6-1E70FC9700FD}" = ESET NOD32 Antivirus
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.0.4 (Basic)
"TNod" = TNod User & Password Finder

 

- NOD i cracka odinstaluj. Popraw z poziomu Trybu awaryjnego narzędziem firmowym ESET Uninstaller. W zamian może darmowy Avast?

- GG10 jest tu zakreślone, bo być może zainteresują Cię alternatywy. Do czytania Darmowe komunikatory i opisy WTW / Kadu / Miranda / AQQ.

 

3. Prewencyjna wymiana haseł logowania w serwisach.

 

 

 

.

[WooDDs]

Ad.1 fix raczej zadziałał bo wszystko poszło gładko

Ad.2 zaktualizowałem wtyczki, noda zaraz odinstaluje, skorzystam z avast skoro polecasz.

Ad.3 nie za bardzo rozumiem, chodzi o zmiane haseł na poszczególnych stronach internetowych gdzie posiadam konto?

 

W każdym bądź razie jeszcze raz dzięki za fachową pomoc. Pewnie nie raz jeszcze skorzystam z waszej pomocy jak będe miał jakiś problem. Jeszcze raz dzięki wielkie.

[picasso]

Ad.3 nie za bardzo rozumiem, chodzi o zmiane haseł na poszczególnych stronach internetowych gdzie posiadam konto?

 

Tak, o to chodzi. Konta pocztowe, serwisy społecznościowe, bankowość ... i tak dalej.