Windows Update servisi başlatılamıyor – Hata: 0x8007002 – RootKit hikayesi
Babalar günü dolayisiyla hafta sonu yaptigim ziyarette babam dizüstü bilgisayarinin çok yavas çalistigini ve özellikle Web sayfalarini çok yavas açtigini söyledi. Ben de her zaman oldugu gibi evhamlandigini düsünmüstüm. Sonra makineyi alip baktigimda aslinda hakli oldugunu gördüm. Epeydir güncellestirmeler yüklenmemistir diye düsünerek Windows Update üzerinden güncellestirmeleri yapmak istedim ve hatayla karsilastim:
ERROR – 0x8007002
Detaylarina bakmak için WindowUpdate loguna gittim ve tam olarak alinan hata su sekildeydi:
2009-06-20 15:30:25:328 2264 918 COMAPI FATAL: Unable to connect to the service (hr=80070002)
2009-06-20 15:30:25:343 2264 918 COMAPI WARNING: Unable to establish connection to the service. (hr=80070002)
2009-06-20 17:36:49:921 3820 bb0 Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
2009-06-20 17:36:49:921 3820 bb0 Misc = Process: C:\WINDOWS\system32\rundll32.exe
2009-06-20 17:36:49:921 3820 bb0 Misc = Module: C:\WINDOWS\system32\wuapi.dll
2009-06-20 17:36:49:921 3820 bb0 ARP Connected to update session.
2009-06-20 17:36:49:921 3820 bb0 ARP User is allowed to install published content.
Servisin durumu kontol etmek için Start > Run > services.msc’ yi çalistirdigimda hem BITS (Arka Plan Akilli Aktarim Hizmeti) hem de Automatic Updates (Otomatik Güncellestirmeler) -wuauserv servislerinin çalismadigini gördüm. Demek buymus diye gülümseyerek servisi çalistirmak istedigimde basima bundan sonra geleceklerin habercisiydi:
Tamam dedim simde eglence basliyor! Servisi baslatirken alinan hata detaylari için Process Monitor kullanmaya karar verdim. Basitçe programi baslatip, hemen sonrasinda servisi baslatmayi denedim ve hata aldigimda data toplamayi durdurdum. Daha önce Process Monitor kullanmayanlar için özetle söyleyebilecegim hem dosya hem de registry düzeyinde tüm islemlerin hangi prosesler tarafindan yapildigini gösteren ayrica Network (Ag) e gönderilecek tüm isteklerin hangi servis/program/thread tarafindan istenildigini gösteren çok yararli bir araçtir. Daha fazla bilgi için TechNet sitesini ziyaret edebilirsiniz.
Logu inceledigimde hem BITS hem de WU registry kayitlari için ACCESS DENIED aldigimi gördüm.
Tamam dedim registry üzerinde haklari düzenleyerek bu sorunu çözebilirim. Hem BITS hem de WU için ana anahtarlara gidip izinlere baktigimda Kullanici için sadece Oku (read) hakkinin oldugunu gördüm. Kolaymis diyerek, Tam denetim’i ekledim ve özellikleri kapattim.
Anahtarlar:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Ancak servisi yeniden baslatmak istedigimde yine ayni hatayi aldim. Registry’de gidip tekrar kontrol etmek istedigimde bu isin burada bitmeyecegini görmüs oldum: Kullanicinin halen sadece Oku izni vardi. SYSTEM, Everyone gibi kullanicilara Tam Denetim verip penceyi her kapatip açtigimda, izinlerin yine eski haline döndügünü gördüm. Makinede ForeFront Client’in deneme sürümü yüklüydü ama Windows Güncellestirme sayfasina ulasamadigim için yeni tanimlamalari yükleyemiyordum. Çokça bilinen HiJackThis araci ile hizlica bir bakmak istedigimde zaten bildigim problemi dogrulatmis oldum:
O23 - Service: Arka Plan Akilli Aktarim Hizmeti (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Otomatik Güncellestirmeler (wuauserv) - Unknown owner - C:\WINDOWS\
Tam kayit düzenleyicisini kapatmak üzereyken ACCESS DENIED aldigim ImagePath anahtarinin degerinin degistirildigini gördüm:
Normalde %systemroot% olarak belirtilen C:\Windows dizini %fsystemroot% olarak yazilmisti. Yeterli izinlerim olmadigi için tabii ki degistiremiyordum. Virus taramasindan ve en son güncellestirilmis Malicious Software Removal Tool (Kötü Amaçli Yazilimlari Temizleme Araci) deneme ragmen herhangi bir Virus/Malware bulunamiyordu. Bu nedenle acaba RootKit olabilir mi diye düsündüm ve bir araç bulup tarama yapmak istedim. Daha önce adini duydugum GMER’i kullanmak istedim. …ve buldu :)
Dosya adi ise: 66e351ba.sys di. Tabii her çalistirildiginda farkli isim alabileceginden dikkat edilmesi gereken kirmizi fontlarla ***HIDDEN*** olarak belirtilen dosyayi not almak önemli. Kurulum yeri ise C:\Windows\System32\Drivers klasörüydü.
Sistemi Güvenli Mod’da baslatip önce bahsi geçen SYS dosyasini sildim. Sonra yine kayit düzenleyicisinde ayni dosya için tüm referenslari sildim. Bunun için Ctrl+F ile arattip, sildikten sonra F3 ile tekrar arama yaparak ilgili tüm degerleri silmek gerekiyor.
Yine kayit düzenleyicisinde BITS ve WU servislerinin anahtarlarinda izin veremedigim kullaniciya Tam Denetim verdim. Baska servisler içinde benzer bir durum olabilecegini düsünerek %fystemroot% degerini aradim ama yoktu.
Sistemi yeniden baslattim ve her iki servisinde çalistigini gördüm. Windows Güncellestirme sayfasini yeniden ziyaret ettigimde artik hata almiyordum. Son güncellestirmelerden sonra sistemi yeniden baslatip ForeFront ile tam arama yaptim ve herhangi bir sorun yoktu. …ve artik Web sayfalari daha hizli geliyordu.
Okan Çetinim