Zagi Opublikowano 22 Marca 2011 Zgłoś Udostępnij Opublikowano 22 Marca 2011 Witam Mam problem polegajacy na niemozliwosci uruchomienia centrum zabezpieczen systemu windows Prawdopodobnie zostal z internetu zciagniety jakis trojan. Przeskanowalem kompa skanerem antywirusowym eset on-line i znalazl on kilka wirusow i trojanow, usunal je ale problem nie zniknal. Kiedy próbuje włączyc usługę w panelu sterowania wyskakuje komunikat: ''nie można uruchomić usługi centrum zabezpieczeń windows'' Probowalem programu combofix ale rowniez nie pomaga. Dodam jeszcze, że nie mogę uruchomić programu antywirusowego microsoft seciurity essentials. Prosze o pomoc w zalaczniku zamieszczam logi z OTL dla platformy 32bit windows 7 professional Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Marca 2011 Zgłoś Udostępnij Opublikowano 23 Marca 2011 Nie podałeś obowiązkowego tu loga z GMER i nawet nie przygotowałeś podłoża do jego uruchomienia (KLIK), działa sterownik emulacji napędów wirtualnych: DRV - [2009-11-05 19:00:30 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Przeskanowalem kompa skanerem antywirusowym eset on-line i znalazl on kilka wirusow i trojanow, usunal je ale problem nie zniknal. Nie podałeś raportu z tego skanera, by było wiadome co w ogóle usunięto. Probowalem programu combofix ale rowniez nie pomaga. Zapomniałeś log podać Nie wolno ukrywać wyników działań tego programu, bo skoro nie potrafisz sam usunąć infekcji, to znaczy że nie umiesz zanalizować raportu ComboFix (i np. ocenić czy nie skasował czegoś niesłusznie). Oczywiście chodzi mi tylko o podanie raportu, który powstał wtedy, przy pierwszym uruchamianiu. Nie uruchamiaj ponownie narzędzia. Nie tylko tego próbowałeś, była tu kombinacja z jakimś skryptem OTL. Chyba nie brałeś z cudzego posta? Każdy skrypt jest unikatowy tylko dla tego szczególnego przypadku i systemu użytkownika. Pokaż co tam robiłeś z OTL, w katalogu C:\_OTL powinien być log powstały z przetwarzania skryptu. Po co pytam o to wszystko: otóż w logu jedyne co się kojarzy z infekcją to ukryty świeży plik fixmapi9.dll i układ zdekompletowany (brak zadania *.job które z tą infekcją chodzi), nie widać także listowania usług Microsoft Security Essentials. [2011-03-22 14:44:55 | 000,108,544 | RHS- | C] () -- C:\Windows\System32\fixmapi9.dll Na teraz zadaję tę akcję: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-03-22 14:44:55 | 000,108,544 | RHS- | M] () -- C:\Windows\System32\fixmapi9.dll [2009-12-07 16:48:16 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50} [2009-12-07 08:39:29 | 000,002,405 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\questservice129.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Na koniec otrzymasz z tego log. 2. Uruchom Firefox i w menedżerze dodatków odmontuj myBabylon English Toolbar. W pasku adresów wklep about:config i wyszukaj wartość keyword.URL, którą z prawokliku zresetuj do poziomu domyślnego. 3. Przejdź do apletu deinstalacji oprogramowania i odinstaluj free-downloads.net Toolbar. 4. Po wykonaniu wszystkich w/w zadań wytwórz nowy log z OTL, ale na innym ustawieniu wyliczającym wszystkie serwisy: Usługi i Sterowniki przestaw na Wszystko i wygeneruj log opcją Skanuj. Dołącz i log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
Zagi Opublikowano 23 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2011 Nie podałeś obowiązkowego tu loga z GMER i nawet nie przygotowałeś podłoża do jego uruchomienia (KLIK), działa sterownik emulacji napędów wirtualnych: DRV - [2009-11-05 19:00:30 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Już odinstalowałem oprogramowanie emulujące napęd i wykonałem loga programem GMER. log1.txt Nie podałeś raportu z tego skanera, by było wiadome co w ogóle usunięto. Podaje raport ze skanera. log.txt Zapomniałeś log podać Nie wolno ukrywać wyników działań tego programu, bo skoro nie potrafisz sam usunąć infekcji, to znaczy że nie umiesz zanalizować raportu ComboFix (i np. ocenić czy nie skasował czegoś niesłusznie). Oczywiście chodzi mi tylko o podanie raportu, który powstał wtedy, przy pierwszym uruchamianiu. Nie uruchamiaj ponownie narzędzia. Podaje loga z combofix ComboFix.txt Nie tylko tego próbowałeś, była tu kombinacja z jakimś skryptem OTL. Chyba nie brałeś z cudzego posta? Każdy skrypt jest unikatowy tylko dla tego szczególnego przypadku i systemu użytkownika. Pokaż co tam robiłeś z OTL, w katalogu C:\_OTL powinien być log powstały z przetwarzania skryptu. Tak próbowałem coś sam zdziałać skryptem OTL. Bo na forum już czytałem o podobnym problemie, mam nadzieje, że nic nie popsułem. Załączam z tego loga log_delete1.txt 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: (...) Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Na koniec otrzymasz z tego log. Zamieszczam loga log_delete2.txt 3. Przejdź do apletu deinstalacji oprogramowania i odinstaluj free-downloads.net Toolbar. Próbując odinstalowć free-downloads.net Toolbar pojawia mi się komunikat Could not open INSTALL.LOG file. Jest jakiś inny sposób na pozbycie się tego ?? 4. Po wykonaniu wszystkich w/w zadań wytwórz nowy log z OTL, ale na innym ustawieniu wyliczającym wszystkie serwisy: Usługi i Sterowniki przestaw na Wszystko i wygeneruj log opcją Skanuj Zamieszczam logi: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Marca 2011 Zgłoś Udostępnij Opublikowano 23 Marca 2011 Log z GMER nie wykazuje nic podejrzanego. ComboFix usuwał foldery adware (to QuestService usuwane moim skryptem z Firefox to musi być z tego kompletu). Zaś w OTL zadania *.job nie było widać, bo już (prawidłowo) usunąłeś to za pomocą własnego skryptu: All processes killed========== OTL ==========C:\Windows\Tasks\njwcynz.job moved successfully. Zadanie *.job nie jest jednak jedynym składnikiem. Drugim elementem był ów moduł DLL, który zadałam do usuwania. Mój skrypt także wykonał się prawidłowo i plik DLL został usunięty. Centrum zabezpieczeń nie działa, ponieważ jego nadrzędna usługa ma status "Disabled": SRV - [2010-12-21 06:38:24 | 000,073,728 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\wscsvc.dll -- (wscsvc) Nie widzę tu żadnych usług Microsoft Security Essentials, oto co powinno być w logu (z mojego Windows 7): SRV - [2010-11-11 12:26:42 | 000,206,360 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe -- (NisSrv)SRV - [2010-11-11 12:26:40 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)DRV - [2011-03-23 12:47:37 | 000,028,752 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{FA78CBED-CCB4-4C71-889E-8632D4154A2F}\MpKsl78af6b0a.sys -- (MpKsl78af6b0a) O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation) Ty masz tylko wpis w Autostarcie (i program listowany w aplecie deinstalacji): O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{77A776C4-D10F-416D-88F0-53F2D9DCD9B3}" = Microsoft Security Client"Microsoft Security Client" = Microsoft Security Essentials 1. Zostało nam pozbycie się opornego paska narzędziowego oraz włączenie usługi Centrum zabezpieczeń. Przeglądarki mają być zamknięte podczas tego procesu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) IE - HKCU\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\free-downloads.net Toolbar] :Files C:\Program Files\free-downloads.net C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml C:\Users\Zagi\AppData\Roaming\Mozilla\Firefox\Profiles\i0ue54j3.default\searchplugins\web-search.xml sc config wscsvc start= delayed-auto /C sc start wscsvc /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Microsoft Security Essentials po prostu odinstaluj, pobierz najnowszą wersję i zainstaluj. 3. Przedstaw log powstały z usuwania + nowy OTL z opcji Skanuj. . Odnośnik do komentarza
Zagi Opublikowano 23 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2011 Wkleiłem podany przez Ciebie wyżej skrypt. I po naciśnięciu skanuj zaczęło się skanowanie po czym wyświetlił się komunikat cannot create file C:\Users\Zagi\Downloads\cmd.bat. Po czym wkleiłem raz jeszcze ten skrypt i już poszło. Przedstawiam loga: log_delete3.txt Nowy log OTL z opcji skanuj: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 I po naciśnięciu skanuj zaczęło się skanowanie po czym wyświetlił się komunikat cannot create file C:\Users\Zagi\Downloads\cmd.bat. Ten skrypt był przeznaczony do opcji "Wykonaj skrypt" a nie "Skanuj". Ale to chyba Twoje przejęzyczenie, gdyż po wynikach oceniam, że on został jednak za pierwszym razem przetworzony w większości (za wyjątkiem komend sterowania usługami), gdyż jego ponowienie ma masowe zwroty "not found" (obiekty już po prostu zostały skasowane). Dzięki skryptowi status usługi Centrum zabezpieczeń został przestawiony z sukcesem na "Automatyczny (z opóźnieniem)", więc czy notujesz nadal problem z uruchamianiem Centrum? W podanych logach nie widzę nadal wzmiankowanych przeze mnie wcześniej obiektów Microsoft Security Essentials. Miałeś go przeinstalować przed wytworzeniem logów, bym miała od razu potwierdzenie, że obiekt ma wszystkie składniki. Czy jest tu jakiś problem z instalacją? . Odnośnik do komentarza
Zagi Opublikowano 24 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2011 Tak to moje przejęzyczenie ;p Kliknąłem wykonaj skrypt . Microsoft Security Essentials zainstalowałem dopiero po wysłaniu logów. Wszystko pięknie działa i centrum zabezpieczeń i Microsoft Security Essentials . Nie wiem nawet jak Ci dziękować za rozwiązanie problemu i poświęcony czas. Bardzo mi pomogłaś ))) Odnośnik do komentarza
picasso Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 (edytowane) Pora na porządki po usuwaniu: 1. Przez SHIFT+DEL skasuj z dysku folder C:\_OTL. 2. Odinstaluj w prawidłowy sposób ComboFix, co również zresetuje foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w Uruchom wklej komendę: C:\Users\Zagi\Downloads\ComboFix.exe /uninstall 3. Ważne aktualizacja systemu i programów: An unknown product (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Uzupełnij Windows o SP1+IE9, pozostałe aplikacje zaktualizuj. Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE. . Edytowane 19 Października 2011 przez picasso 24.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi