Centrum zabezpieczeń Windows i Zapora Windows nie działają

[vankolo]

Witam

 

Mam problem z Centrum zabezpieczeń, usługa nie reaguje. Niby w panelu "Usługi" ma stan "Uruchomiono" ale po ponownym uruchomieniu nie mam do niej dostępu. Przy próbie uruchomienia Zapory Windows wyskakuje błąd "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze Komputer lokalny. Błąd 2: Nie można odnaleźć określonego pliku".W zakładce "Ogólne" Zapory ścieżka do wykonywalnego wygląda tak "%SýstemRoot%\System32\svchost.exe -k netsvcs". Skany Malwarebytes i Nod32 nic nie wykazały.

System operacyjny: Windows XP Home

 

Proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

W raportach nie widać śladów infekcji, ale nie dołączyłeś obowiązkowego odczytu z GMER.

 

 

Przy próbie uruchomienia Zapory Windows wyskakuje błąd "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze Komputer lokalny. Błąd 2: Nie można odnaleźć określonego pliku".W zakładce "Ogólne" Zapory ścieżka do wykonywalnego wygląda tak "%SýstemRoot%\System32\svchost.exe -k netsvcs".

 

Tu akurat raczej nie chodzi o wartość ImagePath (skierowanie do svchost.exe) tylko o Parameters (ścieżka do modułu ładowanego do procesu svchost.exe). OTL nie pokazuje "missing" dla tej usługi, więc jest prawdopodobne, że klucz Parameters może w ogóle nie istnieje (OTL nie pobiera więc danych).

 

1. Zaprezentuj jak wygląda klucz zapory. Start > Uruchom > regedit i wyeksportuj klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

 

Eksport wykonaj w formacie TXT (a nie domyślnym REG).

 

2. Zweryfikuj czy na dysku jest plik C:\Windows\System32\ipnathlp.dll

 

 

 

.

[vankolo]

2. Zweryfikuj czy na dysku jest plik C:\Windows\System32\ipnathlp.dll

Znalazłem plik w podanej lokalizacji.

 

Załączam klucz rejestru.

klucz rejestru SharedAccess.txt

[picasso]

Klucz wygląda w porządku. Plik jest na dysku. Wnioski: mamy do czynienia z innym brakiem. Taki błąd może wystąpić także, gdy są jakieś wybrakowania klucza sterownika IpNat (ipnat.sys). Wstępnie pokaż zestawienie wszystkich serwisów i ich status. W OTL ustaw Usługi i Sterowniki na Wszystko, za to pozostałe sekcje na Brak + Żadne i Skanuj.

[vankolo]

Nie wiem czy dobrze zrobiłem, ale zmieniłem w Edytorze rejestru ścieżkę w SharedAccess --> ImagePath z "%SystemRoot%\system32\svchost.exe -k netsvcs" na "C:\WINDOWS\system32\svchost.exe -k netsvcs" i Zapora Windows zaskoczyła. Mam do niej dostęp i wygląd w porządku. Ale nadal pozostał problem z brakiem dostępu do Centrum Zabezpieczeń. Raporty z OTL wstawię dopiero we wtorek (17.05) jak będę miał dostęp do komputera.

[picasso]

Nie wiem czy dobrze zrobiłem, ale zmieniłem w Edytorze rejestru ścieżkę w SharedAccess --> ImagePath z "%SystemRoot%\system32\svchost.exe -k netsvcs" na "C:\WINDOWS\system32\svchost.exe -k netsvcs" i Zapora Windows zaskoczyła.

 

Ale ten wpis był prawidłowy. Z fabrycznego Windows XP:

 

 

Jakoś powątpiewam, że to ta operacja pomogła (może jakiś zbieg okoliczności?), bo zmienna %SystemRoot% charakteryzuje większość pozostałych usług domyślnych Windows. Gdyby coś z tą zmienną nie było prawidłowego, powinny siąść wszystkie usługi Windows ją wykorzystujące, włącznie z RPC, a nie tylko Zapora.

 

Ja bym ponownie przywróciła tam ścieżkę oryginalną.

 

 

 

.

[vankolo]

Przywróciłem pierwotną ścieżkę i zapora działa, mam do niej dostęp. Może dzięki chwilowej zmianie ścieżki system znalazł plik? (Magic!) Pozostał problem z Centrum zabezpieczeń. Załączam plik z OTL.

OTL.Txt

[picasso]

Opisz dokładniej co to znaczy "brak dostępu":

 

Mam problem z Centrum zabezpieczeń, usługa nie reaguje. Niby w panelu "Usługi" ma stan "Uruchomiono" ale po ponownym uruchomieniu nie mam do niej dostępu.

Wedle wyciągu OTL usługa ma się dobrze:

 

SRV - [2008-04-14 22:51:00 | 000,080,896 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wscsvc.dll -- (wscsvc)

[vankolo]

Po wejściu do Panelu Sterowania staram się uruchomić Centrum Zabezpieczeń i nic się nie dzieje, powinno pojawić się okno z opcjami odnośnie aktualizacji, zapory i antywirusa, a tu nic. Żadnej informacji o błędzie, braku pliku czy czymkolwiek, po porostu brak reakcji. Wcześniej było to uciążliwe, bo nie działała również zapora.

[picasso]

1. Pokaż spis kopii pliku apletu Centrum oraz wyciągi kluczy rejestru gromadzące potencjalne wejścia ukrywania apletu (może jest jakaś kolizja). W OTL wszystkie opcje ustaw na Brak + Żadne, zaś w polu Własne opcje skanowania / skrypt wklej:

 

/md5start
wscui.cpl
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load
HKEY_CURRENT_USER\Control Panel\don't load

Klik w Skanuj.

 

2. Jeśli nie wykryję żadnej nieprawidłowości, przetestuj czy wpływu nie ma jakieś obskurne rozszerzenie powłoki. Uruchom ShellExView, przez klik w kolumnę producenta posortuj tak by razem zgrupować różowe, zbiorowo je zaznacz i z poziomu menu kontekstowego wyłącz. Zresetuj system i podaj rezultaty, czy to ma pożądany skutek.

 

 

 

.

[vankolo]

Wykonałem podany skrypt w OTL. Załączam plik.

OTL.Txt

[picasso]

Plik zdaje się być w porządku (suma kontrolna zgodna z moim XP SP3 PL), nie ma nic niedobrego w rejestrze. Przejdź więc do testu z ShellExView.

[vankolo]

Odpaliłem ShellExView, posortowałem i wyłączyłem wszystkie "różowe" procesy. Po restarcie nic się nie zmieniło. Centrum zabezpieczeń dalej nie reaguje.

[picasso]

Pokaż jeszcze spis wszystkich plików typu aplet oraz wpisów rejestru tego rodzaju. Czyli kolejny skan do wykonania:

 

/md5start
*.cpl
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace /S
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace /S

 

 

 

.

[vankolo]

I kolejny plik z OTL leci

OTL.Txt

[picasso]

Niedomyślne aplety:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
"AXIS Media Control" = C:\Program Files\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll -- [2006-08-16 12:56:02 | 000,770,048 | ---- | M] (Axis Communications)
 
[2010-12-01 12:59:56 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) MD5=E2AC27EBE6127A154D11366B04D32612 -- C:\WINDOWS\system32\javacpl.cpl
[2006-10-22 12:22:00 | 000,069,632 | ---- | M] (NVIDIA Corporation) MD5=8DBA4EBFD075D7AB66D2EF0A025A1D1E -- C:\WINDOWS\system32\nvcpl.cpl
[2006-10-22 12:22:00 | 000,073,728 | ---- | M] () MD5=3D519C8557F75F3DACBFC850D4CF7B58 -- C:\WINDOWS\system32\nvtuicpl.cpl
[2004-09-23 18:57:40 | 000,323,072 | ---- | M] (Apple Computer, Inc.) MD5=7C3CDAB15A6D6B8627E835852BBD2ED3 -- C:\WINDOWS\system32\QuickTime.cpl
[2007-05-03 19:39:50 | 000,107,904 | ---- | M] (Microsoft Corporation) MD5=BFAFAA2BB068B73320B7CB2A0E834FE0 -- C:\Program Files\Common Files\System\MSMAPI\1045\MLCFG32.CPL
[2003-08-19 12:20:48 | 000,102,488 | R--- | M] (Microsoft Corporation) MD5=56A5F92AEF0C0ABD98E832F61291FFC0 -- C:\WINDOWS\Installer\$PatchCache$\Managed\5140311900063D11C8EF10054038389C\11.0.5614\MLCFG32.CPL_0001_1045

 

Sprawdźmy co się stanie po ich wyizolowaniu. Testuj grupami:

 

1. Rozpocznij od plików CPL, przesuń wszystkie zakreślone wyżej poza foldery macierzyste i zresetuj komputer.

 

2. Zrób kopię zapasową klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, następnie usuń stamtąd zapis AXIS Media Control i zresetuj komputer.

 

 

.

[vankolo]

1. Rozpocznij od plików CPL, przesuń wszystkie zakreślone wyżej poza foldery macierzyste i zresetuj komputer.

Przeniosłem wszystkie pliki do innych folderów poza ostatnim "C:\WINDOWS\Installer\$PatchCache$\Managed\5140311900063D11C8EF10054038389C\11.0.5614\MLCFG32.CPL_0001_1045" ponieważ nie mogłem znaleźć katalogu "Installer". Zrestartowałem komputer i w sumie widocznych zmian brak, poza tym że w NOD32 pojawił się monit "Ochrona antywirusowa jest wyłączona". Centrum zabezpieczeni nie reaguje.

2. Zrób kopię zapasową klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls, następnie usuń stamtąd zapis AXIS Media Control i zresetuj komputer.

Zrobiłem kopię, usunąłem wpis i reset.

Nadal brak dostępu do Centrum Zabezpieczeń.

[picasso]

Sprawdź jeszcze czy wpływu na aplet nie ma konfiguracja procesów, czyli trzy scenariusze: po wyłączeniu wszystkich osłon ESET, w stanie czystego rozruchu (KB331796), w Trybie awaryjnym.

 

 

Zrestartowałem komputer i w sumie widocznych zmian brak, poza tym że w NOD32 pojawił się monit "Ochrona antywirusowa jest wyłączona".

 

Migracja apletów (zupełnie nie związanych z ESET) nie powinna mieć nic do rzeczy w tej kwestii.

 

 

 

.

[vankolo]

Wyłączyłem osłony ESET i centrum nie reagowało. Po uruchomieniu systemu w Trybie awaryjnym ikona Centrum zabezpieczeń w Panelu sterowania w magiczny sposób zniknęła. Po restarcie systemu nie ma jej również w trybie normalnym. Nie próbowałem jeszcze czystego rozruchu.

[picasso]

Po uruchomieniu systemu w Trybie awaryjnym ikona Centrum zabezpieczeń w Panelu sterowania w magiczny sposób zniknęła. Po restarcie systemu nie ma jej również w trybie normalnym.

 

Cuda.

 

1. Wprawdzie klucze "don't load" były sprawdzane już na samym początku (a ikona była na widoku), ale w sytuacji zaniku ponownie daję na sprawdzanie i dorzucam jeszcze do skanu klucze polis (pod kątem ewentualnej obecności DisallowCpl lub RestrictCpl). Czyli ładuj skan do OTL na warunkach:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load
HKEY_CURRENT_USER\Control Panel\don't load

 

2. Wykonaj test, czy aplet Centrum może startować pod inną nazwą niż wscui.cpl. Skopiuj ten plik np. na Pulpit, zmień mu nazwę na test.cpl i spróbuj uruchomić przez dwuklik.

 

 

 

.

[vankolo]

Załączam plik z OTL. Skan wykonałem z podanymi warunkami.

2. Wykonaj test, czy aplet Centrum może startować pod inną nazwą niż wscui.cpl. Skopiuj ten plik np. na Pulpit, zmień mu nazwę na test.cpl i spróbuj uruchomić przez dwuklik.

Skopiowałem plik, zmieniłem nazwę i próbowałem odpalić, ale niestety brak reakcji.

 

Niedawno zauważyłem też, że nie można ściągnąć aktualizacji do systemu. Przy próbie aktualizacji przez stronę Microsoft Update pojawia się komunikat "Witryna sieci Web napotkała problem i nie może wyświetlić strony, którą chcesz otworzyć. Podane poniżej opcje mogą ułatwić rozwiązanie problemu. [Numer błędu: 0xC80003FA]" Oczywiście skorzystałem z rad podanych poniżej wiadomości, ale nie przyniosły efektu.

 

Dodatkowo wczoraj kilkukrotnie pojawił się przy starcie systemu komunikat "Windows nie był w stanie sprawdzić poprawności licencji na tym komputerze, kod błędu 0X800703e6". Uruchomiłem system z ostatniej znanej dobrej konfiguracji i komunikat przestał się pojawiać. Nie wiem na jak długo.

 

Po takim wysypie błędów zastanawiam się nad postawieniem nowego systemu.

OTL.Txt

[picasso]

Coś mi się to zaczyna wydawać podejrzane, że kolejno tu się dziwne rzeczy dzieją z Zaporą, Centrum i Windows Update. Cała grupa zabezpieczeń siadła. Tak prawdę mówiąc diagnozowanie na Malware tu się nie odbyło do końca. Nie był w ogóle sprawdzony GMER, dorzuć go na wszelki wypadek.

 

 

Skopiowałem plik, zmieniłem nazwę i próbowałem odpalić, ale niestety brak reakcji.

 

1. Wprawdzie poprzednio weryfikowana suma kontrolna pliku wydawała się być zgodna, ale dla pewności przetestuj czy uruchomi się plik przesłany ode mnie (z czyściutkiej wirtualnej maszyny): KLIK.

2. Nagraj moment próby uruchomienia apletu zapomocą Process Monitor. Zapisz log do pliku PML, do ZIP i na hosting, prześlij mi do analizy.

 

 

Niedawno zauważyłem też, że nie można ściągnąć aktualizacji do systemu. Przy próbie aktualizacji przez stronę Microsoft Update pojawia się komunikat "Witryna sieci Web napotkała problem i nie może wyświetlić strony, którą chcesz otworzyć. Podane poniżej opcje mogą ułatwić rozwiązanie problemu. [Numer błędu: 0xC80003FA]" Oczywiście skorzystałem z rad podanych poniżej wiadomości, ale nie przyniosły efektu.

 

Co to były za rady? Podaj bym nie powielała rozwiązań już przetrenowanych. Wstępnie:

 

1. Podsuwam narzędzie Fix-it do zresetowania całego Windows Update: KB971058. Uruchom je z zaznaczonym trybem agresywnym.

2. Podejrzany to stara wersja ESET NOD32 Antivirus. Odinstaluj go na próbę.

 

 

.

[doom27]

Zastanawiam sie jaki wplyw mialby tutaj problem a zarazem ograniczenia wynikajace z problemem rozpoznania licencji.Nie wiadomo w jaki sposob byla aktywowana ta wersja.I wlasnie zastanawialem sie aby jeszcze raz sprubowac aktywowac system o ile byl to windows z neta.Np przez vlk to oem.

Edytowane 12 Grudnia 2011 przez picasso
12.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso