CentrumXP Forum Tematyka portalu CentrumXP.pl Windows XP Problem z uruchamianiem usług

Problem z uruchamianiem usług

Witam, chciałbym prosić o pomoc!!

Sytuacja przedstawia się następująco (Przedstawię ją wypunktowaną by było zwięźlej i szybciej):

-korzystając z internetowej telewizji, IE nałapał toolbarów i oprogramowania otwierającego okienek, trojanów itd.

-próba usunięcia powiodła się ale niestety z gigantycznym skutkiem ubocznym - zatrzymanie kompletnie prawie wszystkich usług co spowodowało kolejne przeszukiwanie dysku kolejnymi programami

-korzystając z programów typu SpyBoot, SpywareDoctor, Ad-Aware se personal, HijackThis, RemoveITPro oraz antywirusa NOD32 i Avast dokonałem eliminacji znalezionych i zidentyfikowanych sprawców infekcji (również ręcznie z dysku i rejestru)

-wśród znalezionych m.in.:Agent.NEO , Agent.NGM , Rootkit.Agent.DP , Wigon.F , TrojanDownloader.Delf.NQZ , w Winlogon startował cryptimg.dll itd.

-obecnie nic nie wskazuje na jakieś pozostałości infekcji, natomiast usługi dalej są zatrzymane i niemożliwe do uruchomienia

-podczas próby uruchomienia usług z apletu Services.msc wyskakują powiadomienia o błędzie 1053:"Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie" (czasami także o 1068 ale to dlatego że usługi od których są zależne także są wyłączone)

-jedyne usługi które są uruchomione to: Bufor wydruku, Dziennik zdarzeń, Klient DNS, Magazyn chroniony, Menedżer kont zabezpieczeń,Plug and play, Pomoc TCP/IP NetBIOS, Program uruchamiający proces serwera DCOM, Rejestr zdalny, Usługi IPSEC, Usługi terminalowe, WebClient, Windows User Mode Driver Framework, i najważniejsza Zdalne wywoływanie procedur(RPC)

-co skutkuje brakiem przede wszystkim internetu, dźwięku

-odnośnie apletu services.msc nie można wogóle podejrzeć zależnosci pomiędzy usługami

-w moich poczynaniach zamknąłem również porty programem Windows Worms Door Cleaner

Wstawiam Log z HijackThis oraz podgląd procesów z programu procexp dla Winlogon i Services jaki i listę plików zainfekowanych ale usunietych

08:31:38: Infected file (Sys32.au_) C:\DOCUME~1\Kasiaa\USTAWI~1\Temp\~nsu.tmp\au_.exe
08:31:38: Infected file (Sys32.4272cfsb) C:\WINDOWS\system32\4272cfsb.dll
08:31:38: Infected file (Sys32.49c3ntos) C:\WINDOWS\system32\49c3ntos.dll
08:31:38: Infected file (Sys32.bind_50099) C:\WINDOWS\system32\bind_50099.exe~
08:31:38: Infected file (Sys32.cryptimg) C:\WINDOWS\system32\cryptimg.dll
08:31:38: Infected file (Sys32.dufs1) C:\WINDOWS\system32\dufs1.exe
08:31:38: Infected file (Sys32.ffudf) C:\WINDOWS\system32\ffudf.exe
08:31:38: Infected file (Sys32.process) C:\WINDOWS\system32\process.exe
08:31:38: Infected file (Sys32.srchsts) C:\WINDOWS\system32\srchsts.exe
08:31:38: Infected file (Sys32.swreg) C:\WINDOWS\system32\swreg.exe
08:31:38: Infected file (Sys32.updsffdsg1) C:\WINDOWS\system32\updsffdsg1.exe

Kod:

Logfile of HijackThis v1.99.1
Scan saved at 08:58:02, on 2007-03-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\programy\spy\removeit\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe
D:\programy\spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {8f32a61f-a29a-4272-8b0d-4e03f37a8dbf} - C:\WINDOWS\system32\4272cfsb.dll (file missing)
O3 - Toolbar: (no name) - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [RemoveIT Pro XT] D:\programy\spy\removeit\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_42.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/pl/wordssingle_2_0_0_40.cab
O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/pl/billard14_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

Kod:

Process PID CPU Description Company Name
System Idle Process 0 84.85
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 464 Menedżer sesji Windows NT Microsoft Corporation
csrss.exe 520 9.09 Client Server Runtime Process Microsoft Corporation
winlogon.exe 544 1.52 Aplikacja logowania systemu Windows NT Microsoft Corporation
services.exe 588 Usługi i aplikacja Kontroler Microsoft Corporation
svchost.exe 764 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 808 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 912 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 936 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 996 Spooler SubSystem App Microsoft Corporation
alg.exe 1096 Application Layer Gateway Service Microsoft Corporation
aswUpdSv.exe 1156
ashServ.exe 1172 avast! antivirus service
wdfmgr.exe 1332 Windows User Mode Driver Manager Microsoft Corporation
svchost.exe 1344 1.52 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 600 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1652 Eksplorator Windows Microsoft Corporation
rundll32.exe 1780 Uruchamia plik DLL jako aplikację Microsoft Corporation
jusched.exe 1808 Java(TM) 2 Platform Standard Edition binary Sun Microsystems, Inc.
ashDisp.exe 1824 avast! service GUI component
removeit.exe 1868
procexp.exe 188 1.52 Sysinternals Process Explorer Sysinternals

Process: winlogon.exe Pid: 544

Name Description Company Name Version
unicode.nls
locale.nls
sortkey.nls
sorttbls.nls
ctype.nls
R000000000007.clb
c_1252.nls
winlogon.exe Aplikacja logowania systemu Windows NT Microsoft Corporation 5.01.2600.2180
ntdll.dll Biblioteka NT Layer DLL Microsoft Corporation 5.01.2600.2180
kernel32.dll Biblioteka DLL klienta Windows NT BASE API Microsoft Corporation 5.01.2600.2180
advapi32.dll Advanced Windows 32 Base API Microsoft Corporation 5.01.2600.2180
rpcrt4.dll Remote Procedure Call Runtime Microsoft Corporation 5.01.2600.2180
authz.dll Authorization Framework Microsoft Corporation 5.01.2600.2180
msvcrt.dll Windows NT CRT DLL Microsoft Corporation 7.00.2600.2180
crypt32.dll Crypto API32 Microsoft Corporation 5.131.2600.2180
user32.dll Biblioteka DLL klienta Windows XP USER API Microsoft Corporation 5.01.2600.2180
gdi32.dll GDI Client DLL Microsoft Corporation 5.01.2600.2180
msasn1.dll ASN.1 Runtime APIs Microsoft Corporation 5.01.2600.2180
nddeapi.dll Interfejsy API zarządzania udziałami DDE sieci Microsoft Corporation 5.01.2600.2180
profmap.dll Userenv Microsoft Corporation 5.01.2600.2180
netapi32.dll Net Win32 API DLL Microsoft Corporation 5.01.2600.2180
userenv.dll Userenv Microsoft Corporation 5.01.2600.2180
psapi.dll Process Status Helper Microsoft Corporation 5.01.2600.2180
regapi.dll Registry Configuration APIs Microsoft Corporation 5.01.2600.2180
secur32.dll Security Support Provider Interface Microsoft Corporation 5.01.2600.2180
setupapi.dll Interfejs API Instalatora systemu Windows Microsoft Corporation 5.01.2600.2180
version.dll Version Checking and File Installation Libraries Microsoft Corporation 5.01.2600.2180
winsta.dll Winstation Library Microsoft Corporation 5.01.2600.2180
wintrust.dll Interfejsy API potwierdzania zaufania firmy Microsoft Microsoft Corporation 5.131.2600.2180
imagehlp.dll Windows NT Image Helper Microsoft Corporation 5.01.2600.2180
ws2_32.dll Windows Socket 2.0 32-Bit DLL Microsoft Corporation 5.01.2600.2180
ws2help.dll Windows Socket 2.0 Helper dla Windows NT Microsoft Corporation 5.01.2600.2180
msgina.dll Biblioteka DLL GINA logowania systemu Windows NT Microsoft Corporation 5.01.2600.2180
shell32.dll Wspólna biblioteka DLL Powłoki systemu Windows Microsoft Corporation 6.00.2900.2180
shlwapi.dll Biblioteka dodatkowych narzędzi powłoki Microsoft Corporation 6.00.2900.2180
comctl32.dll Common Controls Library Microsoft Corporation 5.82.2900.2180
odbc32.dll Microsoft Data Access - ODBC Driver Manager Microsoft Corporation 3.525.1117.0000
comdlg32.dll Plik DLL wspólnych okien dialogowych Microsoft Corporation 6.00.2900.2180
comctl32.dll User Experience Controls Library Microsoft Corporation 6.00.2900.2180
odbcint.dll Microsoft Data Access - Zasoby ODBC Microsoft Corporation 3.525.1117.0000
shsvcs.dll Biblioteka DLL usług powłoki systemu Windows Microsoft Corporation 6.00.2900.2180
sfc.dll Windows File Protection Microsoft Corporation 5.01.2600.2180
sfc_os.dll Ochrona plików systemu Windows Microsoft Corporation 5.01.2600.2180
ole32.dll Microsoft OLE for Windows Microsoft Corporation 5.01.2600.2180
apphelp.dll Application Compatibility Client Library Microsoft Corporation 5.01.2600.2180
winscard.dll Microsoft Smart Card API Microsoft Corporation 5.01.2600.2180
wtsapi32.dll Windows Terminal Server SDK APIs Microsoft Corporation 5.01.2600.2180
sxs.dll Fusion 2.5 Microsoft Corporation 5.01.2600.2180
winmm.dll MCI API DLL Microsoft Corporation 5.01.2600.2180
cscdll.dll Agent sieci w trybie offline Microsoft Corporation 5.01.2600.2180
rsaenh.dll Microsoft Enhanced Cryptographic Provider Microsoft Corporation 5.01.2600.2161
wlnotify.dll Wspólna biblioteka DLL do odbierania powiadomień usługi Winlogon Microsoft Corporation 5.01.2600.2180
winspool.drv Windows Spooler Driver Microsoft Corporation 5.01.2600.2180
mpr.dll Multiple Provider Router DLL Microsoft Corporation 5.01.2600.2180
uxtheme.dll Biblioteka Microsoft UxTheme Microsoft Corporation 6.00.2900.2180
samlib.dll SAM Library DLL Microsoft Corporation 5.01.2600.2180
wldap32.dll Win32 LDAP API DLL Microsoft Corporation 5.01.2600.2180
cscui.dll Interfejs użytkownika buforowania z strony klienta Microsoft Corporation 5.01.2600.2180
xpsp2res.dll Komunikaty pakietu Service Pack 2 Microsoft Corporation 5.01.2600.2180
ntmarta.dll Windows NT - dostawca MARTA Microsoft Corporation 5.01.2600.2180
comres.dll Microsoft Corporation 2001.12.4414.0258
oleaut32.dll Microsoft Corporation 5.01.2600.2180
clbcatq.dll Microsoft Corporation 2001.12.4414.0258

Kod:

Process PID CPU Description Company Name
System Idle Process 0 92.31
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 464 Menedżer sesji Windows NT Microsoft Corporation
csrss.exe 520 4.62 Client Server Runtime Process Microsoft Corporation
winlogon.exe 544 Aplikacja logowania systemu Windows NT Microsoft Corporation
services.exe 588 Usługi i aplikacja Kontroler Microsoft Corporation
svchost.exe 764 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 808 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 912 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 936 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 996 Spooler SubSystem App Microsoft Corporation
alg.exe 1096 Application Layer Gateway Service Microsoft Corporation
aswUpdSv.exe 1156
ashServ.exe 1172 avast! antivirus service
wdfmgr.exe 1332 Windows User Mode Driver Manager Microsoft Corporation
lsass.exe 600 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1652 Eksplorator Windows Microsoft Corporation
rundll32.exe 1780 Uruchamia plik DLL jako aplikację Microsoft Corporation
jusched.exe 1808 Java(TM) 2 Platform Standard Edition binary Sun Microsystems, Inc.
ashDisp.exe 1824 avast! service GUI component
removeit.exe 1868
procexp.exe 188 1.54 Sysinternals Process Explorer Sysinternals

Process: services.exe Pid: 588

Name Description Company Name Version
unicode.nls
locale.nls
sortkey.nls
sorttbls.nls
ctype.nls
Antivirus.Evt
AppEvent.Evt
SecEvent.Evt
SysEvent.Evt
services.exe Usługi i aplikacja Kontroler Microsoft Corporation 5.01.2600.2180
ntdll.dll Biblioteka NT Layer DLL Microsoft Corporation 5.01.2600.2180
kernel32.dll Biblioteka DLL klienta Windows NT BASE API Microsoft Corporation 5.01.2600.2180
msvcrt.dll Windows NT CRT DLL Microsoft Corporation 7.00.2600.2180
advapi32.dll Advanced Windows 32 Base API Microsoft Corporation 5.01.2600.2180
rpcrt4.dll Remote Procedure Call Runtime Microsoft Corporation 5.01.2600.2180
user32.dll Biblioteka DLL klienta Windows XP USER API Microsoft Corporation 5.01.2600.2180
gdi32.dll GDI Client DLL Microsoft Corporation 5.01.2600.2180
userenv.dll Userenv Microsoft Corporation 5.01.2600.2180
scesrv.dll Aparat edytora konfiguracji zabezpieczeń w systemie Windows Microsoft Corporation 5.01.2600.2180
authz.dll Authorization Framework Microsoft Corporation 5.01.2600.2180
umpnpmgr.dll Usługa Plug-and-Play trybu użytkownika Microsoft Corporation 5.01.2600.2180
winsta.dll Winstation Library Microsoft Corporation 5.01.2600.2180
netapi32.dll Net Win32 API DLL Microsoft Corporation 5.01.2600.2180
ncobjapi.dll Microsoft Corporation 5.01.2600.2180
msvcp60.dll Microsoft (R) C++ Runtime Library Microsoft Corporation 6.02.3104.0000
shimeng.dll Shim Engine DLL Microsoft Corporation 5.01.2600.2180
AcGenral.dll Windows Compatibility DLL Microsoft Corporation 5.01.2600.2180
winmm.dll MCI API DLL Microsoft Corporation 5.01.2600.2180
ole32.dll Microsoft OLE for Windows Microsoft Corporation 5.01.2600.2180
oleaut32.dll Microsoft Corporation 5.01.2600.2180
msacm32.dll Filtr audio ACM Microsoft Microsoft Corporation 5.01.2600.2180
version.dll Version Checking and File Installation Libraries Microsoft Corporation 5.01.2600.2180
shell32.dll Wspólna biblioteka DLL Powłoki systemu Windows Microsoft Corporation 6.00.2900.2180
shlwapi.dll Biblioteka dodatkowych narzędzi powłoki Microsoft Corporation 6.00.2900.2180
uxtheme.dll Biblioteka Microsoft UxTheme Microsoft Corporation 6.00.2900.2180
comctl32.dll User Experience Controls Library Microsoft Corporation 6.00.2900.2180
comctl32.dll Common Controls Library Microsoft Corporation 5.82.2900.2180
secur32.dll Security Support Provider Interface Microsoft Corporation 5.01.2600.2180
apphelp.dll Application Compatibility Client Library Microsoft Corporation 5.01.2600.2180
eventlog.dll Usługa rejestrowania zdarzeń Microsoft Corporation 5.01.2600.2180
ws2_32.dll Windows Socket 2.0 32-Bit DLL Microsoft Corporation 5.01.2600.2180
ws2help.dll Windows Socket 2.0 Helper dla Windows NT Microsoft Corporation 5.01.2600.2180
psapi.dll Process Status Helper Microsoft Corporation 5.01.2600.2180
wtsapi32.dll Windows Terminal Server SDK APIs Microsoft Corporation 5.01.2600.2180

Trochę tego tu nawrzucałem ale chciałem opisać mniej więcej dokładnie jeśli czegoś brak proszę piszcie dołączę

P.s. wpisów pogrubionych z HijackThis nie mogę zafixować ani usunąć kluczy z rejestru nawet w trybie awaryjnym z poziomu administratora

oczywiście regedit się bez problemu uruchamia

Proszę o jakieś rozwiązania, tylko proszę nie wspominać o formacie z góry dziękuję za pomoc i czekam na odpowiedzi

Odpowiedzi: 1

http://support.microsoft.com/kb/839174/pl

fanatico

Dodano: 02.03.2007 11:35:38

Secabo 02.03.2007 16:14:22

wszystko pięknie tylko tyle że nie działa :/ ale dziękuję za odpowiedź może jakieś inne rady?<br>

Secabo

Dodano:: 01.03.2007 18:22:11
Komentarzy:: 1

Strona 1 / 1