Centrum zabezpieczeń systemu Windows - Nie można uruchomić

[charli]

"Witam

 

mam pewien problem polegajacy na niemozliwosci uruchomienia centrum zabezpieczen systemu windows"

 

Mam to samo co kolega powyzej z tematu : https://www.fixitpc.pl/topic/3216-zablokowana-usluga-centrum-zabezpieczen-systemu-windows/

 

W tym OTL tyle tego jest ze juz nie wiem co mam czyscic

 

Przydała by mi sie pomoc milo by bylo gdyby tematem zaja sie picasso , chyba jest juz w tym oblatany/a

 

Extras.Txt

OTL.Txt

 

 

Co mi tak mąci?

 

Ostatnio mam plage tego malware

 

Anty Malwarebytes skanowane , avast tak samo co jakis czas cos usuna ale problem z centrum pozostaje

 

Powyzej Logi

 

 

Tak se patrze i moze to te : C:\Windows\SysWow64\samlibj.dll , C:\Windows\tasks\vbzka.job ? na co trzeba zwracac uwage w logach ?

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://myclearsearch.com/"
O4 - HKCU..\Run: [iSUSPM Startup]  File not found
[2011-04-03 12:37:51 | 000,000,308 | -HS- | M] () -- C:\Windows\tasks\vbzka.job
[2011-03-28 09:54:25 | 000,119,296 | RHS- | M] () -- C:\Windows\SysWow64\samlibj.dll
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[charli]

Nic nie dało pozatym ze OTL musiałem zainstalowac na nowo .

 

I wyskoczył mi jakis lag :

04032011_215225.txt zmienilem format na txt z log , bo nie chcialo sie dodac do posta

 

A ponizej lagi normalne

Extras.Txt

 

OTL.Txt

 

Jakies pomysły?

[picasso]

zmienilem format na txt z log , bo nie chcialo sie dodac do posta

 

W Załącznikach dopuszczam tylko rozszerzenie TXT.

 

 

Nic nie dało pozatym ze OTL musiałem zainstalowac na nowo

 

Ależ dało. Infekcja została usunięta, a to że Centrum nie działa = to tylko pośredni skutek działania infekcji i po usunięciu nie ma żadnych trudności teraz z ponownym włączeniem Centrum.

 

 

1. Włączenie Centrum: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Centrum zabezpieczeń, z dwukliku przejdź do Właściwości usługi i Typ startowy przestaw na Automatyczny (opóźnione uruchomienie). Po tej akcji Centrum zacznie działać.

 

2. Przy okazji, skasuj folder tego sponsora (wszedł z instalacją Orbit Downloader): C:\Users\Roger\AppData\Roaming\ProgSense.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Po ukończeniu zadań oczekuje główna aktualizacja całego Windows:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

Czyli Service Pack 1 i Internet Explorer 9. Szczegóły aktualizacyjne: INSTRUKCJE.

 

 

PS. Jaki jest powód, że mając WTW równocześnie używasz przestarzałego niepełnosprawnego Spika? Jeśli obsługa konta na serwerze Spik = zgodzę się (WTW nie pozwoli zalogować archaicznego serwera), ale jeśli inne motywy, to mnie ciekawi jakie.

 

 

.

[charli]

Faktycznie dziala , moj blad myslalem ze jak sie skasuje pasozyta to aktywuje sie samo , dzieki za pomoc .

 

Co do aktualizacji to sam z niej rezygnuje (windows)

 

A co do spika , to zapomnialem odinstalowac

 

Reszte zrobilem jak pisalas .

 

Macie jakis link z poradami do tego OTL ? instruktazowe cos

 

na co zwracac uwage w logach?

 

 

Macie jeszcze jakies podejzenia /bledu na oku w moich lagach ?

[picasso]

Co do aktualizacji to sam z niej rezygnuje (windows)

 

Rozwiń wypowiedź.

 

 

Macie jeszcze jakies podejzenia /bledu na oku w moich lagach ?

 

Grzebiąc w Dzienniku zdarzeń, są jeszcze te błędy startu usług:

 

Error - 2011-04-03 06:37:51 | Computer Name = Roger-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi inetUpServ z powodu następującego błędu:
   %%2
 
Error - 2011-04-03 06:37:53 | Computer Name = Roger-Komputer | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   NetworkX

1. Usługa inetUpServ powinna pochodzić od adware (KLIK). Adware u Ciebie było, ponieważ usuwaliśmy skryptem tę stronę startową:

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://myclearsearch.com/"

Ale usługi inetUpServ figurującej na błędzie nie ma w logu z OTL widocznej. Na wszelki wypadek pokaż nowy log z OTL, ale inaczej skonfigurowany: sekcję Usługi ustaw na Wszystko, ale wszystkie pozostałe sekcje przestaw na Brak, a wyszukiwanie plików na Żadne. Jeśli tego tam nie będzie widać, każę jeszcze sprawdzić rejestr.

 

 

2. Sterownik NetworkX pochodzi od systemu zabezpieczeń Crypkey:

 

SRV - [2006-09-22 01:33:15 | 000,069,632 | ---- | M] (CrypKey (Canada) Ltd.) [Auto | Running] -- C:\Windows\SysWow64\Crypserv.exe -- (Crypkey License)
DRV - [2006-01-10 04:47:27 | 000,031,846 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\system32\ckldrv.sys -- (NetworkX)
 
[2011-02-26 12:46:18 | 000,000,047 | ---- | C] () -- C:\Windows\Crypkey.ini
[2011-02-26 12:46:14 | 000,031,846 | ---- | C] () -- C:\Windows\SysWow64\Ckldrv.sys
[2011-02-26 12:46:14 | 000,027,648 | R--- | C] () -- C:\Windows\Setup_ck.exe
[2011-02-26 12:46:14 | 000,018,432 | ---- | C] () -- C:\Windows\Setup_ck.dll
[2011-02-26 12:46:14 | 000,011,776 | ---- | C] () -- C:\Windows\Ckrfresh.exe

Prawdopodobnie sterownik nie startuje z powodu tego, że oprogramowanie jest stare i 32-bitowe (na x64 wymagane natywne kompilacje 64-bitowe sterowników). Oprogramowanie weszło pewnie z jednym z instalowanych programów, toteż nie będę tu podejmować żadnej akcji.

 

 

Macie jakis link z poradami do tego OTL ? instruktazowe cos

 

na co zwracac uwage w logach?

 

Pierwszy przykład masz we własnym temacie: przecież usługa Centrum zabezpieczeń nie jest tu pokazana w raporcie (OTL idzie przez system filtrowania). Analiza logów to nie wszystko. Log to tylko pewna szybka pomoc dla osoby, która dysponuje już wiedzą. A nie na odwrót. Zaś do tego by analizować logi z OTL jest wymagana bardzo dobra znajomość systemu (nie wspominając o wielkiej praktyce w walce z malware). Osoba obeznana z Windows nie potrzebuje żadnych instrukcji do raportów, bo wszystko jest samo przez się zrozumiałe. By prawidłowo przeczytać raport, musisz mieć w jednym palcu cały rejestr Windows i nie tylko. Jeśli interesują Cię owe logi z OTL, od tego właśnie zaczynaj = poszerzanie wiedzy o systemie, w przeciwnym wypadku nigdy nie będziesz w stanie wykonać poprawnej analizy i rozwiązywać samodzielnie zadań tego pokroju.

 

 

 

.

[charli]

ad 1 Aktualizacja wina - z tego co czytalem nic nie wnosila pozytecznego dla mojej wersji systemu .

 

ad2 Usługa inetUpServ <<<<< to moze miec zwiazek po walce z browserseek

 

 

 

Reszta rozumiem jest ok , wic wielkie dzieki

 

Temat mozna ubić

[picasso]

ad 1 Aktualizacja wina - z tego co czytalem nic nie wnosila pozytecznego dla mojej wersji systemu .

 

Nie mam pojęcia na jakich przesłankach się opierasz i skąd pomysł że aktualizacje zabezpieczeń są zupełnie nieistotne i można pokręcić nosem. Czy Ty się aby nie spodziewasz "nowych funkcji"? Nie w tym rzecz z tą aktualizacją.

 

 

ad2 Usługa inetUpServ

 

Nie pytam o związek (jest mi znany już, co było w systemie widać). Tematu nie skończyliśmy przecież. Jest zgłaszany w Dzienniku zdarzeń błąd startu usługi, której nie widać na pierwszy rzut oka. Czekam na log z OTL wykonany wg podanych ustawień.

 

 

 

.

[charli]

OTL.Txt

[picasso]

Brak tego w OTL. Ostatnia rzecz na sprawdzenie. Start > W polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i sprawdź czy jest klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetUpServ

 

Jeśli tak, z prawokliku go skasuj. Jeśli nie, sprawa ukończona.

[charli]

owego klucza brak

 

z ciagiem znakow zaczynajacych sie na "inet" jest tylko HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs

[picasso]

Klucz inetaccs jest prawidłowy. W związku z brakiem klucza sprawa wygląda na ukończoną. W takim razie dla mnie jedyne wyjaśnienie na błąd w Dzienniku zdarzeń pochodzący z dnia, w którym założyłeś temat i wygenerowałeś logi, jest usunięcie tego obiektu między zgłoszeniem błędu a stworzeniem logów. Kilka godzin różnicy.

[charli]

Mam jeszcze problem z PUP Zwangi

 

Moze siedzi mi jakis rotkit ?

 

Usunalem MAlwerbytsem i teraz przeczyszczam Avastem , problem w tym ze ten Zwangi wraca co jakis czas raz na tydzien , w pieciu zainfekowanych plikach niestety nie wiem czy tych samych gdyz nie mam starych logow .

mbam-log-2011-04-05 (11-48-56).txt Pierwszy skan

mbam-log-2011-04-05 (12-11-58).txt Drugi skan

 

Puzniej dozuce log z avasta i OTL

 

Czym jest ten Zwangi ? ciezko cos onim znalesc

[picasso]

Mam jeszcze problem z PUP Zwangi (...) Czym jest ten Zwangi ? ciezko cos onim znalesc

 

Patrz na {klasę}, czyli {4ef9cc34-337d-46ef-ae27-7fb6fd3cda01}. To jest to samo co już podałam: KLIK. Czyli BrowserSeek / MyClearSearch. To co pokazujesz w skanie MBAM wgląda na resztki po usuwaniu, są to zapisy których logi typu OTL nie listują, zaś to co może być widzialne w OTL nie było tu już widzialne (usuwałeś przed wytworzeniem logów).

 

 

problem w tym ze ten Zwangi wraca co jakis czas raz na tydzien

 

Zobaczymy co się będzie działo w najbliższym czasie. Miałeś tu infekcję, która mogła być aktywatorem odnowień tego adware.

 

 

Moze siedzi mi jakis rotkit ?

 

Masz system 64-bit a to poważnie ogranicza instalację rootkitów (również i sprawdzanie systemu = brak narzędzi). Na teraz jedyny mi znany działający w przyrodzie rootkit x64 to rootkit w MBR. Dla świętego spokoju jeszcze zrób skan przez Kaspersky TDSSKiller.

 

 

 

.

[charli]

Avast czysty. A co o tym myslec?

 

2011/04/05 14:02:49.0794 4412 sptd - detected Locked file (1)

 

TDSSKiller.2.4.21.0_05.04.2011_14.02.34_log.txt

 

Daemon? mam z nim problem rowniez po ostatnim restarcie , nie uruchamiał sie , i jego program deinstalacyjny nie moze uruchomic deinstalacji , znikna mi rowniez z Dodaj/usun

 

Nie ma go tez w procesach

[picasso]

A co o tym myslec?

 

2011/04/05 14:02:49.0794 4412 sptd - detected Locked file (1)

 

Opisane jest wszystko dokładnie na forum. Sterownik emulacji wirtualnej i nie interesuj się tym. W podsumowaniu: nie mam podstaw szukać "rootkita".

 

 

Daemon? mam z nim problem rowniez po ostatnim restarcie , nie uruchamiał sie , i jego program deinstalacyjny nie moze uruchomic deinstalacji , znikna mi rowniez z Dodaj/usun

 

Nie ma go tez w procesach

 

Co to znaczy "nie może uruchomić deinstalacji" = jaki błąd się pojawia? Zaś brak w Dodaj / Usuń, z tego co ja sobie przypominam, DAEMON Tools w ogóle nie dodaje wejścia do Dodaj / Usuń (podobnie Alcohol), tylko umieszcza w Menu Start skrót do deinstalacji.

 

 

 

.

[charli]

Troszke zle sie wyraziłem

 

Problem polega na tym ze klikajac poprzez deinstalacje w menu start , uruchamia sie deinstalator , po kliknieciu w odinstaluj pasek ładuje sie do 1/10 i okno programu zanika bez zadnego zgloszenia o bledzie i o zakonczeniu .

 

Program znajduje sie dalej w menu start

 

 

 

Ok z deamonem juz problem rozwiazany

 

Brak zagrozen w avascie i malerbytes , dzieki za pomoc , kompik znow zdrowy

Edytowane 5 Kwietnia 2011 przez charli

[picasso]

Ok z deamonem juz problem rozwiazany

 

W jaki sposób go rozwiązałeś?

 

Jeśli wszystko już w porządku, daj znać czy temat można zamknąć.

[charli]

Menadżer urządzeń poradził sobie z odinstalowaniem, dzięki czemu możliwa była reinstalacja razem z sptd.

 

Temat można zamknąć.