Как избавиться от ошибки в загрузке службы?

[imported_AndrewM]

Как избавиться от ошибки в загрузке службы?

Всем привет.

С недавних пор мой комп стал зависать при загрузке рабочего стола: появляется картинка рабочего стола, после довольно долгих раздумий появляются иконки, "Пуск" и т.д. Появилась такая проблема как-то вдруг, НЕ постепенно. Да и за состоянием автозагрузки я стараюсь следить, не засоряю. Слышал о совете посмотреть в логах системы (кстати, у меня XP 2002 Service Pack 2). Посмотрел: окно "Управление компьютером", вкладка "Служебные программы/Просмотр событий/Система". Там действительно при каждой загрузке винды выходит одна и та же ошибка:

==============================
Источник: Service Control Manager
Код (ID): 7023
Описание: "Служба "Network Image" завершена из-за ошибки
Не найден указанный модуль."
==============================

В списке служб действительно есть такая служба и она действительно отключена (ну, видимо, как раз из-за ошибки, которую я описал выше), хотя тип запуска стоит "Авто". Вот она:

==============================
Имя службы: enpjjqpy
Выводимое имя: Network Image
Описание: "Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены."
Исполняемый файл: C:\WINDOWS\system32\svchost.exe -k netsvcs
Тип запуска: Авто
Состояние: Остановлена
==============================

Причём тип запуска изменить на "Вручную" или "Отключено" система мне не даёт, пишет: "Отказано в доступе".
Подскажите, как решить эту проблему? Обсуждений, где бы фигурировала именно такая ошибка, я пока не нашёл.
Может, есть какой-то способ кроме переустановки системы?

 

[~Данил~]

Имя службы: enpjjqpy

Исполняемый файл: C:\WINDOWS\system32\svchost.exe -k netsvcs

это не системная служба, а вирус. Вам сюда http://pchelpforum.ru/f26/t6442/

 

[imported_AndrewM]

~Данил~, спасибо за подсказку.
Вот логи:
- AVZ: http://rghost.ru/18930261
- hijackthis: http://rghost.ru/18930911

Что можете посоветовать, исходя из этих логов?

P.S.: так как Гарад в инструкции настоятельно просит создавать подобные темы в разделе "Безопасность", прошу модераторов перенести мою тему в этот раздел. Если вы сочтёте это нужным, конечно.

 

[~Данил~]

AndrewM, щас посмотрим

 

[~Данил~]

Выполните скрипт в AVZ (Файл - Выполнить скрипт...):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('0.exe','');
 QuarantineFile('C:\WINDOWS\system32\0233B.tmp','');
 QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\cpuz134\cpuz134_x32.sys','');
 DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\cpuz134\cpuz134_x32.sys');
 DeleteFile('C:\WINDOWS\system32\0233B.tmp');
 DeleteFile('.sys');
 DeleteFile('0.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

ПК Автоматически перезагрузится. Сделайте еще вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

 

[imported_AndrewM]

Скрипт выполнил.

Сканирование в MBAM длиннющее. Смогу сделать только завтра. Но пока есть часть сканирования. Дело в том, что почти сразу после начала сканирования вышло сообщение, что найдено 19 инфицированных объектов. Вот лог:
http://rghost.ru/18938931

Может, уже с этим можно что-то сделать?

 

[~Данил~]

AndrewM, то, что вы прислали можно целиком удалить
+ вам еще нужно скачать и установить вот это http://support.microsoft.com/?id=322389 и сделать вот так http://pchelpforum.ru/b27521/e457/

 

[imported_AndrewM]

Наконец-то провёл сканирование.
Вот лог MBAM:
http://webfile.ru/5512586

Это всё надо удалять?
Может, я ошибаюсь, но по-моему MBAM на безобидные файлы указывает

 

[imported_AndrewM]

Решил просканировать файлы из выложенного лога на virustotal.com.
Вот результаты:
c:\program files\Tracker\sender.exe - http://webfile.ru/5513757
Эта программа для определения местонахождения зарубежных посылок. Я её сам когда-то поставил, но так и не воспользовался.
c:\program files\Stardock\object desktop\iconpackager\builder.icl - http://webfile.ru/5513763
Кстати, этот "builder.icl" винда определяет как рисунок. А как рисунок может быть вирусом?
Ну дальше keygen-ы, тут уж понятно, почему Malwarebyte's на них ругается.
d:\программы\multimedia\intervideo windvd platinum v7.0.b27.066\KEYGEN.EXE - http://webfile.ru/5513767
d:\программы\multimedia\intervideo windvd platinum v7.0.b27.066\KEYGEN2.EXE - http://webfile.ru/5513774
d:\программы\soft от ильдара\Cleaners\reg organizer\Keygen.exe - http://webfile.ru/5513775
d:\программы\soft от ильдара\recovermyfiles\armaccess.dll - http://webfile.ru/5513780

Подскажите, что с этим всем сделать?

 

[imported_AndrewM]

Кто-нибудь подскажите.

 

[~Данил~]

AndrewM, секунду
Чисто в этом логе

 

[imported_AndrewM]

~Данил~, спасибо за помощь.

Я установил SP3 и пофиксил все критические уязвимости, которые были в моём компьютере, с помощью предложенного скрипта.
После этого я снова запустил Malwarebytes' Anti-Malware на полное сканирование, и он кроме тех файлов, о которых я писал выше (и которые оказались чистыми), показал ещё 3 каких-то объекта реестра, яко бы заражённых:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Мне кажется, это просто из-за того, что я поставил обновления, которые рекомендовал тот скрипт (из avz4).
Но на всякий случай уточняю: эти объекты реестра не надо трогать?

 

[imported_AndrewM]

И теперь, возвращаясь к моему вопросу, как же всё-таки избавиться от службы "Network Image"?

Я теперь знаю, что это не системная служба, а вирус. И после всех перечисленных в этой теме действий загрузка моего компа действительно ускорилась. За это спасибо.
Однако служба "Network Image" так и осталась на моём компьютере всё так же с типом запуска "Авто", который, напомню, винда не даёт поменять, и состоянием "Остановлена". Ну и соответственно при каждой загрузке XP в списке событий системы всё также выходит сообщение об ошибке при запуске "Network Image".

Так как всё-таки стереть эту псевдослужбу с моего компа, чтобы я её совсем не видел?
Предполагаю, что надо в реестр лазать. Но я в реестре не силён, ковырялся в нём совсем малость.

 

[OlegSh]

Предполагаю, что надо в реестр лазать.

Может для начала загрузитесь в Безопасном режиме и попробуете там остановить эту службу? Если не получится, то скачайте Autoruns для Windows (http://technet.microsoft.com/ru-ru/sysinternals/bb963902) и при помощи нее, снимите галку с запуска этой службы и перезапустите комп.

 

[imported_AndrewM]

Может для начала загрузитесь в Безопасном режиме и попробуете там остановить эту службу? Если не получится, то скачайте Autoruns для Windows (http://technet.microsoft.com/ru-ru/sysinternals/bb963902) и при помощи нее, снимите галку с запуска этой службы и перезапустите комп.

Спасибо за подсказку. Однако ни безопасный режим, ни даже предложенная программа не помогли.
В безопасном режиме при попытке поменять тип запуска этой службы выходит всё тоже сообщение:
"Отказано в доступе".
Когда же я запускаю Autoruns и пробую в ней снять галочку напротив этой службы, снова выходит то же самое:
"Error changing item state: Отказано в доступе."

---------- Добавлено в 19:55 ---------- Предыдущее сообщение было написано в 19:51 ----------

YES !!!
Поменять тип запуска даже через Autoruns не удалось.
Однако через Autoruns получилось её удалить совсем.

Спасибо.

 

[OlegSh]

Однако через Autoruns получилось её удалить совсем.

Замечательная программа Autoruns!!! ))) Рекомендую включить ее в состав домашнего подручного софта и использовать в случае надобности!

 

[imported_AndrewM]

FUCK !!!

Рано я обрадовался. Обновляю список Autoruns, и там опять эта служба красуется.
Или я что-то не так делаю? Нажимаю правой кнокпой на службе, выбираю "Delete", нажимаю "OK". И всё? Эти изменения надо как-то зафиксировать? Или перечисленных действий достаточно?

---------- Добавлено в 20:16 ---------- Предыдущее сообщение было написано в 20:08 ----------

Перегружаю комп после удаления этой злополучной службы через Autoruns, и вижу, что в списке служб она, как была, так и осталась, и снова при загрузке системы в логах висит ошибка запуска этой самой службы.

 

[OlegSh]

Эти изменения надо как-то зафиксировать?

Нет

Эти изменения надо как-то зафиксировать?

Нет
Наличие постоянно появляющейся службы говорит о том, что что-то то ее постоянно запускает, т.е. не все еще "убито" от вируса.
Двойной клик на строчке этой службы в Autoruns приведет вас к ветке реестра. Может это чем-то поможет...
На всякий пожарный, гляньте что у вас в планировщике задач (там у рядового пользователя должно быть чисто, если сами ничего не создавали): Пуск - Программы - Стандартные - Служебные - Назначенные задания

 

[imported_AndrewM]

Неужели после всех действий, предложенных мне в этой теме (причём я их полностью выполнил), на моём компе остался какой-то вирус?

 

[OlegSh]

остался какой-то вирус

Да не сам вирус, т.е. вредоносный код, а остатки, которые бессмысленно запускают эту службу. Я ж говорю, проверьте планировщик.