Skocz do zawartości

Centrum zabezpieczeń Windows i Zapora Windows nie działają


Rekomendowane odpowiedzi

Witam

 

Mam problem z Centrum zabezpieczeń, usługa nie reaguje. Niby w panelu "Usługi" ma stan "Uruchomiono" ale po ponownym uruchomieniu nie mam do niej dostępu. Przy próbie uruchomienia Zapory Windows wyskakuje błąd "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze Komputer lokalny. Błąd 2: Nie można odnaleźć określonego pliku".W zakładce "Ogólne" Zapory ścieżka do wykonywalnego wygląda tak "%SýstemRoot%\System32\svchost.exe -k netsvcs". Skany Malwarebytes i Nod32 nic nie wykazały.

System operacyjny: Windows XP Home

 

Proszę o pomoc.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie widać śladów infekcji, ale nie dołączyłeś obowiązkowego odczytu z GMER.

 

 

Przy próbie uruchomienia Zapory Windows wyskakuje błąd "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze Komputer lokalny. Błąd 2: Nie można odnaleźć określonego pliku".W zakładce "Ogólne" Zapory ścieżka do wykonywalnego wygląda tak "%SýstemRoot%\System32\svchost.exe -k netsvcs".

 

Tu akurat raczej nie chodzi o wartość ImagePath (skierowanie do svchost.exe) tylko o Parameters (ścieżka do modułu ładowanego do procesu svchost.exe). OTL nie pokazuje "missing" dla tej usługi, więc jest prawdopodobne, że klucz Parameters może w ogóle nie istnieje (OTL nie pobiera więc danych).

 

1. Zaprezentuj jak wygląda klucz zapory. Start > Uruchom > regedit i wyeksportuj klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

 

Eksport wykonaj w formacie TXT (a nie domyślnym REG).

 

2. Zweryfikuj czy na dysku jest plik C:\Windows\System32\ipnathlp.dll

 

 

 

.

Odnośnik do komentarza

Klucz wygląda w porządku. Plik jest na dysku. Wnioski: mamy do czynienia z innym brakiem. Taki błąd może wystąpić także, gdy są jakieś wybrakowania klucza sterownika IpNat (ipnat.sys). Wstępnie pokaż zestawienie wszystkich serwisów i ich status. W OTL ustaw Usługi i Sterowniki na Wszystko, za to pozostałe sekcje na Brak + Żadne i Skanuj.

Odnośnik do komentarza

Nie wiem czy dobrze zrobiłem, ale zmieniłem w Edytorze rejestru ścieżkę w SharedAccess --> ImagePath z "%SystemRoot%\system32\svchost.exe -k netsvcs" na "C:\WINDOWS\system32\svchost.exe -k netsvcs" i Zapora Windows zaskoczyła. Mam do niej dostęp i wygląd w porządku. Ale nadal pozostał problem z brakiem dostępu do Centrum Zabezpieczeń. Raporty z OTL wstawię dopiero we wtorek (17.05) jak będę miał dostęp do komputera.

Odnośnik do komentarza
Nie wiem czy dobrze zrobiłem, ale zmieniłem w Edytorze rejestru ścieżkę w SharedAccess --> ImagePath z "%SystemRoot%\system32\svchost.exe -k netsvcs" na "C:\WINDOWS\system32\svchost.exe -k netsvcs" i Zapora Windows zaskoczyła.

 

Ale ten wpis był prawidłowy. Z fabrycznego Windows XP:

 

sharedaccess.th.png

 

Jakoś powątpiewam, że to ta operacja pomogła (może jakiś zbieg okoliczności?), bo zmienna %SystemRoot% charakteryzuje większość pozostałych usług domyślnych Windows. Gdyby coś z tą zmienną nie było prawidłowego, powinny siąść wszystkie usługi Windows ją wykorzystujące, włącznie z RPC, a nie tylko Zapora.

 

Ja bym ponownie przywróciła tam ścieżkę oryginalną.

 

 

 

.

Odnośnik do komentarza

Opisz dokładniej co to znaczy "brak dostępu":

 

Mam problem z Centrum zabezpieczeń, usługa nie reaguje. Niby w panelu "Usługi" ma stan "Uruchomiono" ale po ponownym uruchomieniu nie mam do niej dostępu.

Wedle wyciągu OTL usługa ma się dobrze:

 

SRV - [2008-04-14 22:51:00 | 000,080,896 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wscsvc.dll -- (wscsvc)
Odnośnik do komentarza

Po wejściu do Panelu Sterowania staram się uruchomić Centrum Zabezpieczeń i nic się nie dzieje, powinno pojawić się okno z opcjami odnośnie aktualizacji, zapory i antywirusa, a tu nic. Żadnej informacji o błędzie, braku pliku czy czymkolwiek, po porostu brak reakcji. Wcześniej było to uciążliwe, bo nie działała również zapora.

Odnośnik do komentarza

1. Pokaż spis kopii pliku apletu Centrum oraz wyciągi kluczy rejestru gromadzące potencjalne wejścia ukrywania apletu (może jest jakaś kolizja). W OTL wszystkie opcje ustaw na Brak + Żadne, zaś w polu Własne opcje skanowania / skrypt wklej:

 

/md5start
wscui.cpl
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load
HKEY_CURRENT_USER\Control Panel\don't load

Klik w Skanuj.

 

2. Jeśli nie wykryję żadnej nieprawidłowości, przetestuj czy wpływu nie ma jakieś obskurne rozszerzenie powłoki. Uruchom ShellExView, przez klik w kolumnę producenta posortuj tak by razem zgrupować różowe, zbiorowo je zaznacz i z poziomu menu kontekstowego wyłącz. Zresetuj system i podaj rezultaty, czy to ma pożądany skutek.

 

 

 

.

Odnośnik do komentarza

Pokaż jeszcze spis wszystkich plików typu aplet oraz wpisów rejestru tego rodzaju. Czyli kolejny skan do wykonania:

 

/md5start
*.cpl
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace /S
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace /S

 

 

 

.

Odnośnik do komentarza

Niedomyślne aplety:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls

"AXIS Media Control" = C:\Program Files\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll -- [2006-08-16 12:56:02 | 000,770,048 | ---- | M] (Axis Communications)

 

[2010-12-01 12:59:56 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) MD5=E2AC27EBE6127A154D11366B04D32612 -- C:\WINDOWS\system32\javacpl.cpl

[2006-10-22 12:22:00 | 000,069,632 | ---- | M] (NVIDIA Corporation) MD5=8DBA4EBFD075D7AB66D2EF0A025A1D1E -- C:\WINDOWS\system32\nvcpl.cpl

[2006-10-22 12:22:00 | 000,073,728 | ---- | M] () MD5=3D519C8557F75F3DACBFC850D4CF7B58 -- C:\WINDOWS\system32\nvtuicpl.cpl

[2004-09-23 18:57:40 | 000,323,072 | ---- | M] (Apple Computer, Inc.) MD5=7C3CDAB15A6D6B8627E835852BBD2ED3 -- C:\WINDOWS\system32\QuickTime.cpl

[2007-05-03 19:39:50 | 000,107,904 | ---- | M] (Microsoft Corporation) MD5=BFAFAA2BB068B73320B7CB2A0E834FE0 -- C:\Program Files\Common Files\System\MSMAPI\1045\MLCFG32.CPL

[2003-08-19 12:20:48 | 000,102,488 | R--- | M] (Microsoft Corporation) MD5=56A5F92AEF0C0ABD98E832F61291FFC0 -- C:\WINDOWS\Installer\$PatchCache$\Managed\5140311900063D11C8EF10054038389C\11.0.5614\MLCFG32.CPL_0001_1045

 

Sprawdźmy co się stanie po ich wyizolowaniu. Testuj grupami:

 

1. Rozpocznij od plików CPL, przesuń wszystkie zakreślone wyżej poza foldery macierzyste i zresetuj komputer.

 

2. Zrób kopię zapasową klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, następnie usuń stamtąd zapis AXIS Media Control i zresetuj komputer.

 

 

.

Odnośnik do komentarza
1. Rozpocznij od plików CPL, przesuń wszystkie zakreślone wyżej poza foldery macierzyste i zresetuj komputer.

Przeniosłem wszystkie pliki do innych folderów poza ostatnim "C:\WINDOWS\Installer\$PatchCache$\Managed\5140311900063D11C8EF10054038389C\11.0.5614\MLCFG32.CPL_0001_1045" ponieważ nie mogłem znaleźć katalogu "Installer". Zrestartowałem komputer i w sumie widocznych zmian brak, poza tym że w NOD32 pojawił się monit "Ochrona antywirusowa jest wyłączona". Centrum zabezpieczeni nie reaguje.

2. Zrób kopię zapasową klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, następnie usuń stamtąd zapis AXIS Media Control i zresetuj komputer.

Zrobiłem kopię, usunąłem wpis i reset.

Nadal brak dostępu do Centrum Zabezpieczeń.

Odnośnik do komentarza

Sprawdź jeszcze czy wpływu na aplet nie ma konfiguracja procesów, czyli trzy scenariusze: po wyłączeniu wszystkich osłon ESET, w stanie czystego rozruchu (KB331796), w Trybie awaryjnym.

 

 

Zrestartowałem komputer i w sumie widocznych zmian brak, poza tym że w NOD32 pojawił się monit "Ochrona antywirusowa jest wyłączona".

 

Migracja apletów (zupełnie nie związanych z ESET) nie powinna mieć nic do rzeczy w tej kwestii.

 

 

 

.

Odnośnik do komentarza
Po uruchomieniu systemu w Trybie awaryjnym ikona Centrum zabezpieczeń w Panelu sterowania w magiczny sposób zniknęła. Po restarcie systemu nie ma jej również w trybie normalnym.

 

Cuda.

 

1. Wprawdzie klucze "don't load" były sprawdzane już na samym początku (a ikona była na widoku), ale w sytuacji zaniku ponownie daję na sprawdzanie i dorzucam jeszcze do skanu klucze polis (pod kątem ewentualnej obecności DisallowCpl lub RestrictCpl). Czyli ładuj skan do OTL na warunkach:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load
HKEY_CURRENT_USER\Control Panel\don't load

 

2. Wykonaj test, czy aplet Centrum może startować pod inną nazwą niż wscui.cpl. Skopiuj ten plik np. na Pulpit, zmień mu nazwę na test.cpl i spróbuj uruchomić przez dwuklik.

 

 

 

.

Odnośnik do komentarza

Załączam plik z OTL. Skan wykonałem z podanymi warunkami.

2. Wykonaj test, czy aplet Centrum może startować pod inną nazwą niż wscui.cpl. Skopiuj ten plik np. na Pulpit, zmień mu nazwę na test.cpl i spróbuj uruchomić przez dwuklik.

Skopiowałem plik, zmieniłem nazwę i próbowałem odpalić, ale niestety brak reakcji.

 

Niedawno zauważyłem też, że nie można ściągnąć aktualizacji do systemu. Przy próbie aktualizacji przez stronę Microsoft Update pojawia się komunikat "Witryna sieci Web napotkała problem i nie może wyświetlić strony, którą chcesz otworzyć. Podane poniżej opcje mogą ułatwić rozwiązanie problemu. [Numer błędu: 0xC80003FA]" Oczywiście skorzystałem z rad podanych poniżej wiadomości, ale nie przyniosły efektu.

 

Dodatkowo wczoraj kilkukrotnie pojawił się przy starcie systemu komunikat "Windows nie był w stanie sprawdzić poprawności licencji na tym komputerze, kod błędu 0X800703e6". Uruchomiłem system z ostatniej znanej dobrej konfiguracji i komunikat przestał się pojawiać. Nie wiem na jak długo.

 

Po takim wysypie błędów zastanawiam się nad postawieniem nowego systemu.

OTL.Txt

Odnośnik do komentarza

Coś mi się to zaczyna wydawać podejrzane, że kolejno tu się dziwne rzeczy dzieją z Zaporą, Centrum i Windows Update. Cała grupa zabezpieczeń siadła. Tak prawdę mówiąc diagnozowanie na Malware tu się nie odbyło do końca. Nie był w ogóle sprawdzony GMER, dorzuć go na wszelki wypadek.

 

 

Skopiowałem plik, zmieniłem nazwę i próbowałem odpalić, ale niestety brak reakcji.

 

1. Wprawdzie poprzednio weryfikowana suma kontrolna pliku wydawała się być zgodna, ale dla pewności przetestuj czy uruchomi się plik przesłany ode mnie (z czyściutkiej wirtualnej maszyny): KLIK.

2. Nagraj moment próby uruchomienia apletu zapomocą Process Monitor. Zapisz log do pliku PML, do ZIP i na hosting, prześlij mi do analizy.

 

 

Niedawno zauważyłem też, że nie można ściągnąć aktualizacji do systemu. Przy próbie aktualizacji przez stronę Microsoft Update pojawia się komunikat "Witryna sieci Web napotkała problem i nie może wyświetlić strony, którą chcesz otworzyć. Podane poniżej opcje mogą ułatwić rozwiązanie problemu. [Numer błędu: 0xC80003FA]" Oczywiście skorzystałem z rad podanych poniżej wiadomości, ale nie przyniosły efektu.

 

Co to były za rady? Podaj bym nie powielała rozwiązań już przetrenowanych. Wstępnie:

 

1. Podsuwam narzędzie Fix-it do zresetowania całego Windows Update: KB971058. Uruchom je z zaznaczonym trybem agresywnym.

2. Podejrzany to stara wersja ESET NOD32 Antivirus. Odinstaluj go na próbę.

 

 

.

Odnośnik do komentarza

Zastanawiam sie jaki wplyw mialby tutaj problem a zarazem ograniczenia wynikajace z problemem rozpoznania licencji.Nie wiadomo w jaki sposob byla aktywowana ta wersja.I wlasnie zastanawialem sie aby jeszcze raz sprubowac aktywowac system o ile byl to windows z neta.Np przez vlk to oem.

Edytowane przez picasso
12.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...