"Coś" wyłącza usługę Centrum zabezpieczeń systemu Windows

[krzysiekj]

Problem tyczy się Win 7 Pro 64 bit. Nie mogę uruchomić usługi centrum zabezpieczeń systemu Windows.
Dodatkowo często podczas szukania informacji w google kliknięcie na dany link powoduje przeniesienie do niewłaściwej strony (reklamy gier, pornograficzne etc.)
Ręczne włączenie za pomocą services.msc nie pomogło.

Prośba o pomoc

Dziękuję

Extras.Txt

OTL.Txt

[picasso]

Defekt tworzy infekcja w postaci tej pary plików:
 

[2013-03-24 17:59:06 | 000,159,744 | RHS- | C] () -- C:\Windows\SysWow64\whoamiy.dll
[2013-03-24 17:59:06 | 000,000,308 | ---- | C] () -- C:\Windows\tasks\CVJZ.job

 
Infekcja ta wyłącza nie tylko Centrum, ale też Windows Defender oraz Przywracanie systemu. Windows Defender pominiemy, gdyż masz antywirusa MSSE (który notabene i tak go deaktywuje, choć nieco inną metodą).
 
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\SysWow64\whoamiy.dll
C:\Windows\tasks\CVJZ.job

:OTL
IE - HKU\S-1-5-21-2613372501-3861578208-2765393008-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q=%7Bsear
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O20:64bit: - Winlogon\Notify\ScCertProp: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O20 - Winlogon\Notify\ScCertProp  : DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart.

2. Uruchom Autoruns i w karcie Scheduled Tasks usuń wpis o nazwie CVJZ.

3. Włącz funkcje zdeaktywowane przez infekcję:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie).
• Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).



.

[krzysiekj]

Cześć

Dziękuję

 

Punktu 2 nie wykonałem, nie było takiego wpisu na tej karcie

W załączeniu plik

usługa działa

OTL.Txt

[picasso]

O ile część skryptu z :Files wykonana, to brak oznak przetworzenia dyrektywy :OTL. Pokaż mi log powstały podczas usuwania, jest w katalogu C:\_OTL. Log relatywnie krótki, więc wklej jego zawartość wprost w poście.

 

 

 

.

[krzysiekj]

Może związek ma to, ze OTL-a uruchamiam z 

C:\Users\Krzysiek\Downloads?

 

 

All processes killed
========== FILES ==========
C:\Windows\SysWow64\whoamiy.dll moved successfully.
C:\Windows\tasks\CVJZ.job moved successfully.
File\Folder :OTL not found.
Invalid Switch: search?q=%7Bsear
File\Folder O4 - HKLM..\Run: [] File not found not found.
File\Folder O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk = File not found not found.
File\Folder O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk = File not found not found.
File\Folder O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk = File not found not found.
File\Folder O20:64bit: - Winlogon\Notify\ScCertProp: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found not found.
File\Folder O20 - Winlogon\Notify\ScCertProp : DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found not found.
File\Folder :Commands not found.
File\Folder [emptytemp] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04172013_133925

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[picasso]

Nie, lokalizacja OTL nie ma znaczenia. Jakiś błąd w skrypcie (nie wiem dlaczego) wystąpił w tej partii, tak jakby źle coś wklejono:
 
File\Folder :OTL not found.
 
Powtórz akcję, wklejając do OTL ten fragment:
 

:OTL
IE - HKU\S-1-5-21-2613372501-3861578208-2765393008-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q=%7Bsear
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk =  File not found
O20:64bit: - Winlogon\Notify\ScCertProp: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O20 - Winlogon\Notify\ScCertProp  : DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Commands
[emptytemp]

 
Klik w Wykonaj skrypt. Przedstaw nowy wynikowy log utworzony w katalogu C:\_OTL.
 
 
 
.

[krzysiekj]

Proszę

 

All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-2613372501-3861578208-2765393008-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk moved successfully.
File move failed. C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk scheduled to be moved on reboot.
C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk moved successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp \ deleted successfully.
File ptytemp] not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04172013_153400

Files\Folders moved on Reboot...
File\Folder C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Smart Settings.lnk not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[picasso]

O ile większość wykonana, to znów jest problem i obcięło:

 

File ptytemp] not found.

 

Powiedz mi jak Ty wklejasz skrypt do okna, skoro zadane było to:

 

:Commands
[emptytemp]

 

Powtórz tę część skryptu:

 

:Commands
[emptytemp]

 

 

 

.

[krzysiekj]

standardowo ctrl c i ctrl v;)

puściłem jeszcze raz ale na końcu znowy coś "not found"

 

 

 

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Krzysiek
->Temp folder emptied: 3204746594 bytes
->Temporary Internet Files folder emptied: 669378622 bytes
->Java cache emptied: 3694402 bytes
->FireFox cache emptied: 70174192 bytes
->Google Chrome cache emptied: 354234373 bytes
->Opera cache emptied: 16142038 bytes
->Flash cache emptied: 1087368 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1179253994 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50796 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 736 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5 244,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04172013_155152

Files\Folders moved on Reboot...
File\Folder C:\Users\Krzysiek\AppData\Local\Temp\OICE_11437532-8E83-402E-BBBC-8A5E794E0DFF.0\6EB44DB. not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Temp\OICE_0B3F3C88-7976-4555-A62B-A665BB57C952.0\6E789AC3. not found!
C:\Users\Krzysiek\AppData\Local\Temp\ExchangePerflog_8484fa31757fd321cfcccd43.dat moved successfully.
C:\Users\Krzysiek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{A1CE5AB9-CF7F-45D2-84E5-08F8BF790CB0}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{16EA50D1-6825-4B4C-934A-AE3906CD6DAC}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{1FC6CB13-3FF1-431B-A4EF-6B6ECCF85885}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{48881E96-3AB3-47C6-BB3D-C98F88ABE237}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{4E5BC9BD-A468-4F6D-8C5A-66C865E0A9CC}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{E1A2ECFE-12F0-465A-BBAA-7B8879080338}.tmp not found!
File\Folder C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{F1BDFE36-4DBF-4EC8-ADC9-E26DE36313BB}.tmp not found!
File\Folder C:\Windows\temp\hsperfdata_KRZYSIEKJ$\2824 not found!
C:\Windows\temp\e4j8719.tmp_dir1366205718\exe4jlib.jar moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[picasso]

Nie wiem o co chodzi z tym wklejaniem, ale rozbicie tego na trzy części przetworzyło wszystko. Te "not found" w ostatnim podejściu to normalne. Zadania wykonane, możemy kończyć:
 
1. W OTL uruchom Sprzątanie, co usunie z dysku OTL i kwarantannę.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Odinstaluj stare Java / Adobe Flash i zastąp najnowszymi, opcjonalnie do aktualizacji Internet Explorer: KLIK. Wersje aktualnie widziane w systemie:
 

Internet Explorer (Version = 9.0.8112.16421)

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java™ 7 Update 5 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Foxit Reader_is1" = Foxit Reader
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_171.dll ()

 
 
.