Skocz do zawartości

Określona usługa nie istnieje jak zainstalowana usługa


tecu

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Najpierw ten temat: 

https://www.fixitpc.pl/forum-6/announcement-2-ważne-oprogramowanie-emulujące-napędy/

 

Uruchom wiersz polecenia jako administrator i wpisz: 

sfc /scannow

Jeśli system odnajdzie naruszenie integralności to dalej: 

findstr /c:"[sR]" %windir%\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"[/v]

i plik sfcdetails, ktory zostanie utworzony na pulpicie - zalacz tutaj.

Odnośnik do komentarza
  • 5 tygodni później...

Co do alkohola to nie mam jak go usunąć bo wyskakuje określona usługa nie istnieje jako usługa zainstalowana  ;/
wpisałem sfc .scannow
wyskoczyło że nie moze  naprawić niektórych plików a  ja pliku tego cbs  nie mogę otworzyć bo jako administrator nie mam dostępu a  nic co trzeba potwierdzić jako administrator nie chce sie otworzyć ;/ dziś juz nie mam nerwów jutro wstawie ten plik

Odnośnik do komentarza

Temat przenoszę do działu Windows. To nie jest problem infekcji. Są tu wprawdzie obiekty adware/PUP (BingSvc w starcie), ale to ma podrzędne znaczenie i tym się na teraz nie zajmuję.

 

1. Dodaj raport FRST na następującym ustawieniu: odznacz pola Usługi i Sterowniki, w celu pokazania usług Microsoftu.

 

2. Jeśli chodzi o log z operacji SFC, opis sugeruje, że próbujesz bezpośrednio otwierać plik CBS.log. Miałeś stworzyć log filtrowany w sposób automatyczny. Wytyczne także w tym temacie: KLIK

Odnośnik do komentarza

1. Jest naruszenie w usługach - brakuje usługi Informacje o aplikacji (Appinfo), która odpowiada za: "Umożliwia uruchamianie aplikacji interaktywnych z dodatkowymi uprawnieniami administracyjnymi. Jeśli ta usługa zostanie zatrzymana, użytkownicy nie będą mogli uruchamiać aplikacji z dodatkowymi uprawnieniami administracyjnymi, których mogą wymagać do wykonywania żądanych zadań użytkownika.".

 

Wstępnie rekonstrukcja w rejestrze, przy założeniu że powiązania biblioteka appinfo.dll jest na dysku (w skanie SFC brak powiązanych adnotacji). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo]
"DisplayName"="@%systemroot%\\system32\\appinfo.dll,-100"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%systemroot%\\system32\\appinfo.dll,-101"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,50,00,72,00,6f,00,\
66,00,53,00,76,00,63,00,00,00,00,00
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\
00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\
72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,\
00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,\
72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,\
00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\
65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\
00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\
65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,\
6e,00,67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,\
00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,\
72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,\
00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
61,00,70,00,70,00,69,00,6e,00,66,00,6f,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
00,00,01,01,00,00,00,00,00,05,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zrestartuj system. Podaj czy są zmiany.

 

 

2. Odrębna sprawa to SFC, który wykrył masę brakujących plików i ich nie podstawił, gdyż brak poprawnych kopii w repozytorium WinSxS. Ogromna ilość nienaprawionych rekordów, która głównie się kręci wokół naruszeń komponentów czcionek, plików dźwiękowych i pomniejszych plików graficznych - czy tu aby nie były podejmowane jakieś nieprawidłowe próby "odchudzania" systemu?

Sprawa naruszeń wykazanych przez SFC jest nie do rozwiązania bez podstawienia poprawnych plików w identycznych sumach kontrolnych zgodnych z nienaruszoną wersją komponentów. Pliki te musiałby ktoś z nas dostarczyć. Uszkodzeń jest jednak tak koszmarna ilość, że to robota dla kaskadera i nie wiadomo nawet czy opłacalna (tzn. czy to ma w ogóle impakt na system). Tu wypadałoby użyć Przywracanie systemu, ale ta możliwość odpada. Poprzednie punkty Przywracania z marca zostały już usunięte i obecnie widać jeden z kwietnia (replikuje naruszenia), przy czym i tak nie wiadomo czy te poprzednie punkty miały poprawne wersje, usterka mogła być już wcześniej. W tej sytuacji widzę po prostu reinstalację systemu.

Odnośnik do komentarza

1. Scalone i śmiga pięknie :) Programy i opcje w panelu sterowania działają :) Dziekuje :))
2. Nie robiłem nic co miałoby uszczuplić system czy tam odchudzić ;] System może ma ze 2 miesiące. Co do czcionek i reszty to czy to jest tak bardzo wazne ? Będzie to miało wpływ tak wielki jak problem z  tą usługa w pkt. 1 ? Wiem że i tak czeka mnie reinstall ale kiedyś przez rok śmigał system elegancko a  teraz zaraz po formacie  umarł ;/

Odnośnik do komentarza

2. Nie robiłem nic co miałoby uszczuplić system czy tam odchudzić ;] System może ma ze 2 miesiące. Co do czcionek i reszty to czy to jest tak bardzo wazne ? Będzie to miało wpływ tak wielki jak problem z tą usługa w pkt. 1 ? Wiem że i tak czeka mnie reinstall ale kiedyś przez rok śmigał system elegancko a teraz zaraz po formacie umarł ;/

Czy Windows był instalowany z nośnika pobranego "na lewo", np. z torrent? Raport conajmniej sugeruje matactwa aktywacji (charakterystyczne błędy w Dzienniku zdarzeń), co nasuwa podejrzenie, że nośnik też nie był oryginalny. Nieumiejętna edycja źródła Windows na poziomie obrazu instalacyjnego mogłaby skutkować podobnym odczytem SFC. Ważność naruszeń jest dla mnie nie do określenia, one wydają się być "błahe" (i nazwet zaznaczyłam, że nie jest pewne jaki to ma wpływ), ale już nieraz miałam przypadki, że pozornie drobne naruszenia jednak stanowiły problem. Na razie ten wątek ignoruję, w razie czego reinstalacja Windows z pewnego niemodyfikowanego nośnika.

 

 

Problem podstawowy rozwiązany, teraz mogę przejść do czyszczenia śmieci. Ten wpis adware BingSvc już usunąłeś w międzyczasie, więc tylko drobne kosmetyczne usuwanie pustych wpisów i naleciałości po użyciu ComboFix. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\...\Run: [uTorrent] => %APPDATA%\uTorrent\uTorrent.exe
HKLM-x32\...\RunOnce: [innoSetupRegFile.0000000001] => "C:\Windows\is-7T4E8.exe" /REG /REGSVRMODE
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Preparowana sztucznie płyta wyjaśnia odczyt SFC. Swoją drogą, podejrzany jest też brak usługi Appinfo, skąd to się wzięło i czy przypadkiem to nie jest także część "modyfikacji" w płycie. W tej sytuacji to nawet nie wiadomo co jeszcze zmalowano w tej płycie i lepiej byłoby stawiać system od nowa z pewnego niemodyfikowanego nośnika.

 

Fix FRST wykonany. Skasuj FRST z F:. Poczęstuj się też DelFix.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...