zablokowana usluga centrum zabezpieczen systemu windows

[rudyesq]

Witam

 

mam pewien problem polegajacy na niemozliwosci uruchomienia centrum zabezpieczen systemu windows

nie wiem dokladnie co sie stalo prawdopodobnie zostal z internetu zciagniety jakis trojan lub inne diabelstwo

przeskanowalem kompa adawarem jednak nic nie znalazl.

problem objawia sie niemozliwoscia uruchomienia centrum zabezpieczen posrednio a gdy na sile uruchamiam usluge z panelu administracyjnego

a nastepnie oprogramowanie microsoft security essentials wywala mi wszystko do poprzedniego stanu tak jakby infekcja miala tendencje do

zabijania oproramowania antywirusowego w pamieci operacyjnej

prosze o pomoc w zalaczniku zamieszczam dla logi z OTL dla platformy 64bit windows7

 

OTL.Txt

[picasso]

Próbowałeś uruchamiać ComboFix i nie ma o tym ani słowa. Zaś log z OTL zdekompletowany - nie ma części Extras, nie przestawiłeś "Rejestr - skan dodatkowy" na "Użyj filtrowania". Proszę dostarcz.

 

 

problem objawia sie niemozliwoscia uruchomienia centrum zabezpieczen posrednio a gdy na sile uruchamiam usluge z panelu administracyjnego

a nastepnie oprogramowanie microsoft security essentials wywala mi wszystko do poprzedniego stanu tak jakby infekcja miala tendencje do

zabijania oproramowania antywirusowego w pamieci operacyjnej

 

W raporcie notuję ukryte zadanie Harmonogramu o bełkotliwej nazwie:

 

[2011-02-27 14:14:05 | 000,000,304 | -HS- | M] () -- C:\Windows\Tasks\acxjircdbp.job

Wg czasów powstania są dwa pliki ukryte stworzone "w komplecie":

 

[2011-02-26 14:38:43 | 000,000,304 | -HS- | C] () -- C:\Windows\tasks\acxjircdbp.job
[2011-02-26 14:38:40 | 000,118,784 | RHS- | C] () -- C:\Windows\SysWow64\autoconvc.dll

Zadanie *.job musi kierować do jakiegoś pliku docelowego. Dostarcz uzupełniający raport z Autoruns.

 

 

 

.

[rudyesq]

dziekuje za szybka odpowiedz zamieszczam extras.txt oraz autoruns.txt jako uzupelnienie oraz i otl.txt jezeli sprawa tyczy sie combofix to nic to nie daje bo

poprostu sie u mnie nie odpala niezgodnosc systemu taki jest komunikat

 

dzieki i pozdrawiam

Extras.Txt

OTL.Txt

AutoRuns.txt

[picasso]

jezeli sprawa tyczy sie combofix to nic to nie daje bo

poprostu sie u mnie nie odpala niezgodnosc systemu taki jest komunikat

 

Oczywiście nie chodziło mi o jego uruchomienie, tylko skomentowałam fakt, że poczyniłeś taką próbę, a nie powiedziałeś o tym. Wszystko jest istotne w dziale Malware.

 

 

nie wiem tylko jak wygenerowai i podeslac ci raport z autoruns prosilbym o instrukcje

 

Z prawokliku na Autoruns wybierasz Uruchom jako Administrator, czekasz aż ukończy skanowanie (na spodzie ma widnieć adnotacja "Ready"), z menu File > Save... > przestawiasz z ARN na TXT. Log dostaw w Załączniku w poście wyżej. Ja tu stosownie zedytuję swój post.

 

 

EDIT: dodałeś log. Nie widzę w gałęzi Harmonogramu tego obiektu ... Przejdźmy więc do usunięcia tego co jest tu zdowodowane jako istniejące:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-02-26 14:38:43 | 000,000,304 | -HS- | C] () -- C:\Windows\tasks\acxjircdbp.job
[2011-02-26 14:38:40 | 000,118,784 | RHS- | C] () -- C:\Windows\SysWow64\autoconvc.dll
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Komputer będzie restartował. Po restarcie otrzymasz log z usuwania.

 

2. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz log powstały z usuwania.

 

 

 

.

[rudyesq]

przesylam logi

02282011_120905.txt

Extras.Txt

OTL.Txt

[picasso]

1. Nie wkleiłeś skryptu jak należy, bo jest:

 

Error: Unable to interpret  in the current context!

Z odczytu wynika, że obciąłeś [emptytemp] do [emptytemp. Skutki: pliki tymczasowe nie zostały wcale wyczyszczone. Powtórz zadanie, możesz je wykonać przez TFC - Temp Cleaner. To dokładnie odpowiednik tej komendy w OTL, ten sam autor.

 

2. W nowych logach nie widzę dodatkowych przyrostów. Nasuwa się pytanie: czy teraz po zresetowaniu systemu Centrum zabezpieczeń działa?

[rudyesq]

dziala jak marzenie tylko teraz jeszcze jeden problem w momencie proby uruchomienia microsoft security essentials wyswietla komunikat ze :"nie mozna uruchomic okreslonej uslugi, poniewaz jest ona wylaczona, lub nie sa wlaczone urzadzenia z nia skojarzone"

 

kod bledu0x80070422

[picasso]

tylko teraz jeszcze jeden problem w momencie proby uruchomienia microsoft security essentials wyswietla komunikat ze :"nie mozna uruchomic okreslonej uslugi, poniewaz jest ona wylaczona, lub nie sa wlaczone urzadzenia z nia skojarzone"

 

W logu widzę:

 

SRV:64bit: - [2010-11-11 14:36:38 | 000,282,616 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe -- (NisSrv)
SRV:64bit: - [2010-11-11 14:36:38 | 000,012,784 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)

 

Usługa MsMpSvc ma status "Disabled". Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj Microsoft Antimalware Service > z dwukliku wywołaj Właściwości i Typ startowy przestaw na Automatyczny, zaś usługę zainicjuj. Podaj rezultaty.

 

 

 

.

[rudyesq]

wkleilem wyszukalem uruchomilem jak powiedzial juliusz cezar wszystko dziala

dziekuje serdecznie jestes boginia

w razie przyszylych problemow wiem gdzie szukac pomocy

 

dziekuje slicznie i pozdrawiam

[picasso]

To jeszcze nie koniec zadań.

 

1. Usunięcie kopii zapasowych szkodnika: w OTL wywołaj funkcję Sprzątanie.

 

2. Usunięcie resztówek ComboFix: w Autoruns wejdź do karty Scheduled Tasks i usuń te dwa:

 

"Task Scheduler"
+ "\{504325DB-FE1C-41DB-843B-2CFFAF7DCD80}"	""	""	"c:\users\remek\desktop\combofix.exe"
+ "\{C4A61D0A-0A3A-4DBC-9E2E-47E19CBBEACC}"	""	""	"c:\users\remek\desktop\combofix.exe"

3. Aktualizacja oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.2 MUI

Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE.

 

 

4. Usunięcie kopii systemu mogącej trzymać nagranego trojana oraz inne niepożądane zmiany: INSTRUKCJE.

 

 

 

.

[rudyesq]

ok

posprzatane aktualizacje wgrane linki do combofix usuniete

 

kopii zapasowej nie posiadam wiec nie ma problemu

 

tym razem to juz chyba koniec

milo mi sie rozmawialo jeszcze raz dziekuje za pomoc

pozdrawiam

[picasso]

kopii zapasowej nie posiadam wiec nie ma problemu

 

Na pewno? Ja nie mówię o kopii zapasowej robionej ręcznie, tylko o kopii cieniowej tworzonej przez Windows 7 automatycznie = Przywracanie systemu. Jeśli jest wyłączone, to owszem kopii nie masz. Ale jeśli włączone, jest i ma nagrane wszystkie szkodniki i należy według instrukcji wyczyścić foldery Przywracania systemu.

[rudyesq]

nie napewno wylanczam ja odruchowo ze wzgledu na zajmowanie miejsca oraz na tendencje do gromadzenia sie w niej wirusow roznego typu i masci do odzyskiwania systemu uzywam obrazu dysku systemowego

zrobionej po zainstalowaniu windowsa wraz z oprogramowaniem

[picasso]

Wystosuję tu lekkie ostrzeżenie, akurat Przywracania systemu nie polecam wyłączać na platformie Windows 7. Jest to istotna funkcja ratująca te systemy z opałów, a co więcej z funkcji można skorzystać nawet jeśli system nie startuje wcale (płyta WinRE). Twoje decyzja, ale rozważ to rozsądnie. Zaś przydział miejsca przecież ręcznie można ustalić.

 

Jeśli nie masz więcej pytań, temat zamykam.