Problem z uruchomieniem usługi Centrum zabezpieczeń, Windows Defender

[Dariusz]

Witam serdecznie. Problemu pewnie bym nie zauważył gdyby nie fakt że dwa dni temu miałem komplikacje przy uruchomieniu programu do notowań giełdowych. Pojawił sie komunikat że muszę opłacić licencje podczas gdy miałem opłaconą do połowy przyszłego roku. Napisałem do administratorów maila i otrzymałem odpowiedź że tak się dzieje gdy program nie jest dodany do wyjątków zapory windows. Sprawdziłem i program był dodany do wyjątków ale zaciekawiło mnie dlaczego centrum zabezpieczeń jest wyłączone. Po próbach uruchomienia w różny sposób postanowiłem zapytać wujka Google no i znalazłem się tutaj. Dodam jeszcze że w ciągu ostatniego miesiąca dwa razy złapałem ransomware w stylu policja załpać karę itd. Usuwałem ten problem za pomocą programu Malwarebytes Anti-Malware. Wczoraj przeskanowałem system i pojawiły się wirusy które również usunąłem. Próbowałem rekonstrukcji wadliwych usług według instrukcji tu zamieszczonej. Niestety dalej nie mogę uruchomić centrum zabezpieczeń ani windows defender a mój program do notowań dalej odmawia. Podejrzewam że są jakieś pozostałości wirusa i nie obejdzie się bez analizy logów. Mój system to Windows Vista Home Premium SP2 32 bitowy. Proszę o pomoc.

OTL.Txt

Extras.Txt

GMER.txt

mbam-log-2012-07-28 (09-43-21).txt

[picasso]

Wygląda na to, że problem stworzyła "policyjna" infekcja. W raporcie widać uszkodzoną przez infekcję usługę WMI Windows, która jest kluczowa dla Centrum:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Users\Dariusz\wgsdgsdgdsgsd.dll -- (Winmgmt)

 

 

1. Wyłącz rezydent MBAM, by nie przeszkadzał. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\nzwtuxcrvpnxuum
C:\Program Files\v9Soft
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
IE - HKLM\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-3092907838-2139888878-1290775757-1000\..\SearchScopes\{62F43830-5055-4956-8220-9094C2D05D93}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=AB44CD73-3DCA-42AD-AAC0-F76F997724AA&apn_sauid=AFFC0099-0283-4416-9DBD-2CA5AEE630F6"
IE - HKU\S-1-5-21-3092907838-2139888878-1290775757-1000\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
O3 - HKU\S-1-5-21-3092907838-2139888878-1290775757-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre7\bin\jusched.exe" File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\CyberLink\Shared Files\RichVideo.exe -- (RichVideo)
DRV - [2012-12-28 23:55:34 | 000,198,968 | ---- | M] (Doctor Web, Ltd.) [File_System | On_Demand | Stopped] -- C:\Users\Dariusz\AppData\Local\Temp\231D2894D.sys -- (231D2894D)
DRV - [2012-12-28 22:39:34 | 000,198,968 | ---- | M] (Doctor Web, Ltd.) [File_System | On_Demand | Stopped] -- C:\Users\Dariusz\AppData\Local\Temp\4597FD723.sys -- (4597FD723)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj zbędny Pasek narzędzi AOL 5.0.

 

3. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Wypowiedz się wyraźnie czy funkcje zaczęły działać.

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso