Nie można uruchomić usługi Centrum zabezpieczeń

[pimo]

Proszę o pomoc,

kilka dni przed świętami AVG na moim komputerze chyba częściowo powstrzymał wirusa Ukash - pojawił się komunikat "od policji" ale nie zablokowało mi całkiem komputera. Zrobiłem po tym skan AVG, który coś tam jescze usunął, ale po paru dniach znów pojawił sie komunkat o wykrtym wirusie. Po kolejnym usunięciu zainfekowanych plików miałem przy starcie systemu wyskakujący komunikat o nie działającym "wgsdgsdgdsgsd.dll". Wszystko jeszcze raz potraktowałem Malwarebytes, komputer przeczyściłem CCleanerem i problem zniknął, ale mniej więcej od tego czasu nie mogę uruchomić centrum zabezpieczeń. Nie mogłem też przywrócić systemu sprzed infekcji używając dostępnych punktów przywracania. Komunikat o nie działającym Centrum zabezpieczeń pojawia mi się codziennie na pasku tray. Dodam jeszcze, że miesiąc temu miałem reinstalowany cały system z powodu innej awarii.

OTL.Txt

Extras.Txt

GMER 2.txt

[picasso]

Infekcja policyjna nie została usunięta do końca, jest naruszona usługa Instrumentacji Windows oraz plik na dysku:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Users\PB\wgsdgsdgdsgsd.dll -- (Winmgmt)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012-12-21 14:07:26 | 000,002,814 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Wypowiedz się też wyraźnie czy po korekcie usługi WMI Centrum zostało ożywione.

 

 

 

.

[pimo]

Dziękuję za pomoc. Dołączam logi po wykonaniu skryptu i po powtórnym skanowaniu. Niestety Centrum nadal nie można uruchomić. Próbowałem też jako administrator wchodząc w Usługi. Wyskakuje błąd: "System Windows nie może uruchomić usługi Centrum zabezpieczeń na komputerze Komputer lokalny. Błąd 1079: Konto podane dla tej usługi różni się od konta podanego dla innych usług działających w tym samym procesie". Kiedyś coś kombinowałem próbując uruchomić Centrum - zmieniałem w zakładce logowanie opcję "Lokalne konto systemowe" na "To konto" i nie wiem, czy czegoś nie poprzestawiałem. Wykonywałem te czynności kilka dni temu i wyskakiwał wtedy błąd o innej treści, więc coś po zastosowaniu ww. skryptu się zmieniło. Nie wspominałem jeszcze, że Zapora Windows i Windows Defender są "na zielono" czyli działały i chyba działają normalnie.

OTL.Txt

01082013_165840.txt

[picasso]

Skrypt pomyślnie wykonany. Co do usługi Centrum zabezpieczeń, spróbuj zaimportować oryginalne ustawienia rejestru.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system i podaj czy usługa działa.

 

 

 

.

[pimo]

Centrum zabezpieczeń już działa! Wielkie dzięki!

[picasso]

Na zakończenie:

 

1. W OTL uruchom Sprzątanie, które zlikwiduje z dysku OTL wraz zkwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starsze Adobe / Java / Silverlight i zastąp najnowszymi, zaktualizuj Firefox: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[pimo]

Wszystko wykonane. Ale jeszcze jedno pytanie. Obecnie Windows Defender nie uruchamia się automatycznie, czy AVG go blokuje? Czasem pojawia się na pasku tray ikonka informująca o wyłączonym Defenderze. Gdy wchodzę w Usługi>Windows Defender>w zakładce ogólne jest tryb uruchomienia: Automatyczny, a stan usługi: Zatrzymano. Nawet, kiedy uruchamiam go ręcznie, tzn. wchodząc przez Zabezpieczenia>Windows Defender, to po restarcie komputera sytuacja się powtarza. Po próbie uruchomienia z poziomu Usługi>Windows Defender>Ogólne>Uruchom, wyskakuje okno: "Usługa Windows Defender na Komputer Lokalny uruchomiła się, a następnie zatrzymała. Niektóre usługi zatrzymują się automatycznie, jeśli nie są używane przez inne usługi lub programy". Czy tak ma zostać?

[picasso]

Na to wygląda, że jest to robota AVG. Aktualnie zewnętrzne antywirusy mają wbudowane zachowanie deaktywacji Windows Defender, by im nie przeskadzał. Windows Defender jest zresztą stary, przy obecności dodatkowego oprogramowania zabezpieczającego zbędny. Najlepiej go całkowicie wyłączyć. Uruchom msconfig i wyłącz oba wpisy Windows Defender (w kartach Uruchamianie + Usługi).

 

 

.

[pimo]

Tak zrobiłem, jeszcze raz dziękuję.