Проблем със Center Shell services

[darco]

Здравейте , всеки път при стартиране на компютъра в Event Viewer получавам следната грешка :

 

 

 

 

Event Type: Error

Event Source: Service Control Manager

Event Category: None

Event ID: 7023

Date: 06.3.2009 г.

Time: 22:05:15

User: N/A

Computer: HOME-82EBC1F17D

Description:

The Center Shell service terminated with the following error:

The specified module could not be found.

 

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

 

Не че е болка за умиране ама почвам да се дразня , а и нищо не можах да намеря за този services.Което вече е подозрително , та ако някой може да супортне по въпроса ще съм благодарен.

 

[Night_Raven]

Системата работи ли като цяло? Има ли някакви проблеми с нещо? Можеш да дадеш логче от HijackThis 1.99.1 (213KB), която съм преименувал нарочно:

1) стартирай програмата;

2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;

3) копирай съдържанието му тук или прикачи файла към коментара.

[darco]

Ето лога от HiJackThis.Имах тази версия надявам се не е проблем но ако трябва ще дръпна този от твоя пост.Системата работи нямам оплаквания само това ме дразни .А и този Center Shell services ???

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:48:40, on 08.3.2009 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\HDDSvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe

C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hard Drive Inspector\HDInspector.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\vsnpstd3.exe

C:\WINDOWS\tsnpstd3.exe

C:\WINDOWS\FixCamera.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\GIGABYTE\GEST\GEST.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Krum Babachev\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\Program Files\Vuze\Azureus.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\GIGABYTE\GEST\GSvr.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Shiretoko\firefox.exe

D:\Old_PC_Files\Install\HiJackThis\Zdr.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Помощник за връзки на Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.6.26.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe

O4 - HKLM\..\Run: [HDInspector.exe] C:\Program Files\Hard Drive Inspector\HDInspector.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Krum Babachev\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [Azureus] C:\Program Files\Vuze\Azureus.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: &С&валяне &с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &С&валяне всички видео с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &С&валяне всички с BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Публикуване на това в блог - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Публикуване на това в блог в Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1219691295812

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe

O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 8504 bytes

[panevdd]

Прегледай си списъка с услугите и забрани стартирането на тази услуга от там - предполагам, че е останала от някоя програма, която не е била деинсталирана коректно. Можеш да го направиш, като щракнеш с десен бутон на мишката върху My Computer -> Manage -> Services and Applications -> Services. Потърси услугата Center Shell service, щракни двукратно върху името й и забрани нейното стартиране (Startup type -> Disabled).

Със същата цел можеш да използваш и ServiWin.

[darco]

Благодаря за отговора , това със сигурност ще стане.Но ми е любопитно каква е тази услуга.Не можах да намеря никаква информация за нея из нета , а доста се порових ???????

[B-boy/StyLe/]

Благодаря за отговора , това със сигурност ще стане.Но ми е любопитно каква е тази услуга.Не можах да намеря никаква информация за нея из нета , а доста се порових ???????

 

Най-вероятно е остатък от Downloadup/Conficker. HijackThis предложена от Night_raven няма да помогне в случая. Съвсем го занемариха този инструмент от TrendMicro. Така и не му направиха версия работеща коректно и с Windows Vista. Всички сървиси там ги дава със статус missing...

 

Основните записи за този червей от логовете на ComboFix

 

tidnygj;Shell Security;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]

evsgjswf;Shell Time;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]

izatmtntv;Config Monitor;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]

NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

vxnmuxup;Manager Network;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

rshqgth;Windows Driver;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

srjiryp;Shell Time;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

rshqgth;Windows Driver;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

 

Силно ти препоръчвам да провериш със следните инструменти:

 

Removal Tools

 

1. Microsoft Malicious Software Removal Tool

 

2. EConfickerRemover

 

3. Symantec FixDownloadup

 

4. KidoKiller

 

Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067

 

Всъщност няма да е зле да дадеш един лог файл от RSIT. Така ще разберем има ли остатъци без да се налага да използваш ComboFix засега.

[darco]

Отново благодаря за отговорът B-boy/StyLe/ .Наистина малкия беше пуснал тази гадина и доста се подрудих докато я махна.Ще чекна със предложените програми и ще постна лог.Между другото това е стартовия път на този сървис C:\WINDOWS\system32\svchost.exe -k netsvcs , А това е description :

 

Enables event log messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped.

 

Този файл обаче го няма там.А не мога да го спра като услуга , казва ми че нямам достъп ми достъп.

Отивам на работа сега , довечера ще направя сканирането .

[darco]

Здрасти отново от мен .Вече съм на работа.От компютъра на работа тъй като естествено тази гадина се изпраща по скайпа също има един сървис Support Helper , който е unknown със същите грешки и т.н.Та сканирал съм с всичките по-горе изброени програмки , всичко уж е чисто.Но същата работа не мога да го спра този сървис :(

Ето лог от от RSIT :

info.txt

log.txt

[B-boy/StyLe/]

Отново благодаря за отговорът B-boy/StyLe/ .Наистина малкия беше пуснал тази гадина и доста се подрудих докато я махна.Ще чекна със предложените програми и ще постна лог.Между другото това е стартовия път на този сървис C:\WINDOWS\system32\svchost.exe -k netsvcs , А това е description :

 

Enables event log messages issued by Windows-based programs and components to be viewed in Event Viewer. This service cannot be stopped.

 

Този файл обаче го няма там.А не мога да го спра като услуга , казва ми че нямам достъп ми достъп.

Отивам на работа сега , довечера ще направя сканирането .

 

Всъщност малките почистващи тулчета (Removal Tools) трият упоритите библиотеки, а с програми от сорта на Combofix или The_Avenger допочистваме остатъците.

Нарочно не ти дадох директно линк към Combofix тък като това не е инструмент за всекидневна употреба и колкото по-малко се стартира, толкова по-добре, защото в редки случаи води до главоболия (макар аз лично проблеми от него да не съм видял откакто го прилагам). Все пак RSIT дава по-голямата част от нужната информация за почистването на Conficker особено сеkциите (list of drivers и list of services => Да и други инструменти ги показват, но структурата на логът от RSIT най се доближава до тази на ComboFix).

А и както знаем, тези които вече са с Виста трябва да използваме други тактики за почистване, защото ComboFix не работи под Виста, а The_Avenger-е на бачка с 64-битова такава. (Е вярно е, че и структурата на Вистата, не позволява закрепване на чак толкова упорити зарази, но все пак). Ти обаче си по WinXP и ще можеш да се възползваш пълноценно от скъпоценните тулчета.

 

Време е обаче аз да отивам на работа, защото имаме ОПЕРАТИВКА. Ще пиша при първа възможност от 14-16.00 часа или след 24.00 (когато ми свършва смяната).

[darco]

Работното PC като че ли вече е чисто.По някаква необяснима причина ми даде да спра Support Helper сървиса като преди това имах няколко неуспешни опита.След което го изчистих от регистрите.И след рестарт вече го няма , няма я съответно и грешката.Със сигурност това е остатък от Conficker тъй като в регистрите имаше стойност за един файл който си спомням че беше от гадината.Довечера ще се заема и с компа в къщи и ще пиша какво е положението.

Голямо БЛАГОДАРЯ на B-boy/StyLe/.

Също така и на Night_Raven.

[darco]

Така вчера не писах дали съм успял и с домашното PC защото така се сецнах че ми излезнаха всички роднини и успях само да поразчистя регистрите .Толкова успях да седя на компа , и то с голям зор .Днес е малко по-добре отново съм на работа и да кажа , че успях и у нас да изчистя гадината.Но още тук ми направи впечатление , че първо не можех да спра сървиса както казвах а след това успях.Причината е в стартирането на EConfickerRemover.exe.Макар , че не открива нищо след изпълнението му сървиса вече може да се спре.От там отивам в регистрите и търся всичко свързано с него.Изтриваме като преди това трябва да разрешим достъпа до тези ключове тъй като са направени да са само за четене.И всичко като че ли е ОК.За сега , ако има нещо ще пиша.Не знам дали има нужда от ComboFix , но за всеки случай може да постна един лог.

 

Ето и лога от ComboFix.От машината на бачкането.

ComboFix.txt

[B-boy/StyLe/]

Да, най-вероятно именно някое от малките тулчета са се справили с по-упоритите файлове и услуги и оттам вече е по-лесно.

 

Логът на RSIT е чист. Е имаше излишни неща, но дотам.

 

ComboFix също е чист, но можеш все пак да доизчистиш няколко неща.

 

1. Деинсталирай Avanquest софтуера (предполагам е VCOM SystemSuite) ?

 

2. Има някакъв файл, стартиращ от папка с временно съдържание. Бърза проверка показва, че има такъв легимитем файл на HP, но в папка C:\Windows\system32, затова и реших да го включа в скрипта за почистване.

 

3. Сега отвори Notepad и въведи:

 

Killall::

File::
c:\docume~1\User\LOCALS~1\Temp\QP.exe

Folder::
c:\rsit
c:\program files\Avanquest update
c:\documents and settings\All Users\Application Data\BVRP Software

DirLooK::
C:\23bd9725bc68522a688f003b

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5819:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d5c8c19-7e3c-11dd-92db-0050fc8cdd36}]

NetSvc::
mfowuhzk

sysrst::

 

4. Запази файла с име CFScript и го провлачи с мишката (drag/drop) в ComboFix.

 

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

 

5. Публикувай лог файла.

 

6. След това деинсталирай ComboFix с командата :

 

Start menu => Run => combofix /u

 

[darco]

Следвах инструкциите и ето лога от ComboFix

ComboFix.txt

[B-boy/StyLe/]

Следвах инструкциите и ето лога от ComboFix

 

Изглежда добре с изключение на този QP.exe

 

Пробвай с това.

 

Killall::

Driver::
QP

Rootkit::
c:\docume~1\User\LOCALS~1\Temp\QP.exe

 

и повтори процедурата :

 

Запази файла с име CFScript и го провлачи с мишката (drag/drop) в ComboFix.

Публикувай лог файла.