Nie włącza się Usługa Centrum Zabezpieczeń Systemu Windows 7 64bit

[ssseeerrr]

Witam. Otóż problem wygląda następująco:
Jakiś czas temu pojawiła się 1 nowa wiadomość o tym, że usługa Centrum Zabezpieczeń Systemu WIndows jest wyłączona. Klikam na "włącz" i wywala komunikat "nie uruchomić usługi Centrum Zabezpieczeń Systemu Windows".

Probowalem sposobu
Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.
Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików
ale to nic mi nie pomogło usługi Centrum zabezpieczeń systemu Windows caly czas sie wylacza po chwili.
Bardzo prosze pomoc.

dodam że po pierwszym skanowaniu otl, po chwili pliki otl.txt i extras.txt wyparowły, a notatnik wyrzuca bład że przestał działać.

malwarebytes anti-malware nic nie wykrył.

na pulpicie powstały dwa ukryte pliki desktop.ini a w na dysku c pokzały się foldery z kłódkami

Extras.Txt

OTL.Txt

[ssseeerrr]

Dodam że udało mi się włączyć na chwilę Centrum bezpieczeństwa, Windows Update, Windows Defender, Zaporę systemu oraz kontrolę konta użytkownika na maksymalny poziom. Jednak po ponownym uruchomianiu komputera "Procesor poleceń systemu Windows" ciągle próbował wprowadzić zmiany i nie dało się niczego uruchomić (ciągłe bombardowanie alertami) Jedyne co zapamiętałem To część ścieżki "C:\Windows\sysWOW64\cdm.exe i była jeszcze druga ścieżka c:/progr~3/mxxxxxxx.exe (tak ukośnik był w tą stronę, Nazwy programu nie pamiętam. Wiem tylko że coś podobnego do micccoo.exe (coś  w tym stylu), mogłem coś pominąć z ścieżki ponieważ piszę to z pamięci.). Na moją głowę wydaje mi się że to trojan który wyłącza zabezpieczenia systemu.

[picasso]

ssseeerrr, proszę dostosuj się do zasad działu: KLIK. Logi z OTL to jedynie część zestawu, narzędzie nie posiada określonych skanów i jest coraz słabsze w kontekście nowoczesnych następców. Proszę o podanie logów z FRST + Farbar Service Scanner.

 

Infekcja jest niewątpliwa, ale przejdę do jej usuwania po uzyskaniu kompletu materiałów.

 

 

 

.

[ssseeerrr]

dziękuję za szybka odpowiedź. w załączonych plikach dodaje logi z frst i ffs. zapisałem również ścieżkę która tak usilnie próbuje wprowadzić zmiany po starcie systemu. oto ona C:\Windows\sysWOW64\cdm.exe /c

c:\progra~3\mscieiuu.exe

Addition.txt

FRST.txt

FSS.txt

[picasso]

Widzę zmiany między raportami OTL i FRST, tzn. właśnie ten wpis startowy infekcji Gamarue (skierowanie na plik mscieiuu.exe) nie jest już widoczny. I widzę, że był uruchamiany jakiś skrypt do OTL, ale już po opublikowaniu pierwotnych logów. Przedstaw log z tego skryptu, jest w folderze C:\_OTL.

 

I tak mamy tu jeszcze co robić. W systemie są nadal pliki infekcji na dysku, a dodatkowo i szczątki adware, w tym aktywne od bubla Mobogenie (prawdopodobnie nabyty z dobrychprogramów), wejścia brak na liście zainstalowanych, ergo zdefektowana instalacja. Poza tym, usługi Windows są nadal wyłączone: Centrum zabezpieczeń, Zapora systemu Windows oraz Windows Update. W zestawie pomijam zdeaktywowany Windows Defender, gdyż i tak działa tu ESET przejmujący jego rolę. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKCU\...\Policies\Explorer: [TaskbarNoNotification] 0
HKCU\...\Policies\Explorer: [HideSCAHealth] 0
SearchScopes: HKLM-x32 - DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms}
SearchScopes: HKLM-x32 - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms}
SearchScopes: HKCU - {1631341D-82DA-421E-A3D5-B425A02B2E25} URL = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=150121FB-A444-4E97-B64D-F553BBD78B86&apn_sauid=86012D41-73F7-4DFD-88EE-8C2D3C54AEF7&
SearchScopes: HKCU - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms}
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {04663755-BE83-4B37-ABB5-96C48BB93175} - System32\Tasks\{304C2C91-82CE-4C1E-B7AE-C790F0A71129} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.154&LastError=12007
Task: {D81E16CB-A6E1-48E9-BEA1-5ADCDE1066AA} - System32\Tasks\{AB84BF47-2ECE-488E-9E61-361FF0CEAC88} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.154&LastError=12007
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]
C:\Program Files (x86)\Mobogenie
C:\ProgramData\mscieiuu.exe
C:\ProgramData\msjgsji.exe
C:\ProgramData\msjvoio.exe
C:\ProgramData\Norton
C:\Users\Łukasz\.android
C:\Users\Łukasz\daemonprocess.txt
C:\Users\Łukasz\AppData\Local\genienext
C:\Users\Łukasz\AppData\Local\Mobogenie
C:\Users\Łukasz\AppData\Roaming\*.exe
CMD: sc config MpsSvc start= auto
CMD: sc config wscsvc start= delayed-auto
CMD: sc config wuauserv start= delayed-auto
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt, log AdwCleaner oraz ten log z wynikami skryptu OTL, o którym mówię.

 

 

 

.

[ssseeerrr]

wykonałem wszystko tak jak w powyższym poście. dodatkowo włączyłem Windows defender i kontrolę użytkownika na domyślnie. wydaje się że reszta sama się włączyła.

dołączam logi z  adwcleaner frst i fixlog. jeśli chodzi o otl pisze Nie masz uprawnień do wysyłania tego typu plików.

 

 

tyle jest w folderze otl w tym pliku

All processes killed
Error: Unable to interpret <:OTL FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.11.2: C:\Windows\system32\npDeployJava1.dll File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - user.js - File not found :Commands [EMPTYTEMP]> in the current context!
 
OTL by OldTimer - Version 3.2.69.0 log created on 01262014_132911

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Pliku OTL nie możesz dołączyć, bo to format *.LOG, załączniki dopuszczają tylko *.TXT. Mówi o tym Pomoc forum (na spodzie strony). Ale log tak krótki, że w poście spokojnie może być wklejony. A co do samego skryptu: ani nic relatywnego do infekcji, ani nawet się nie wykonał, bo wszystko sklejone w jednej linii. Tak więc nie wiadomo czym tak naprawdę usunąłeś ten wpis "Policies" infekcji.

 

 

dodatkowo włączyłem Windows defender

Antywirusy i tak mają planowaną deaktywację funkcji Windows Defender, by nie kolidował z nimi.

 

 

wydaje się że reszta sama się włączyła.

Usługi samoczynnie się nie włączyły, rekonfigurowałam ich start za pomocą skyptu FRST:

 

========= sc config MpsSvc start= auto =========
 

[sC] ChangeServiceConfig SUKCES
 

========= End of CMD: =========
 
 

========= sc config wscsvc start= delayed-auto =========
 

[sC] ChangeServiceConfig SUKCES
 

========= End of CMD: =========
 
 

========= sc config wuauserv start= delayed-auto =========
 

[sC] ChangeServiceConfig SUKCES

 

Wszystko wykonane, więc kończymy:

 

1. Przez SHIFT+DEL (moja Kosz) skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Java (wersję 32-bit i 64-bit), o ile w ogóle Ci potrzebna, oraz wtyczki Adobe: KLIK. Stan obecny:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Adobe Reader XI (11.0.05) (x32 Version: 11.0.05 - Adobe Systems Incorporated)

Adobe Shockwave Player 12.0 (x32 Version: 12.0.6.147 - Adobe Systems, Inc.)

Java 7 Update 11 (64-bit) (Version: 7.0.110 - Oracle)

Java 7 Update 45 (x32 Version: 7.0.450 - Oracle)

 

 

.

[ssseeerrr]

wykonałem wszystkie czynności. dziękuję serdecznie za pomoc. temat uważam za zamknięty.