molon Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Witam Miałem zainfekowany komputer, przez co nie mogłem podłączyć się do internetu. Po połączeniu do sieci wifi karta sieciowa nie dostawała prawidłowego adresu ip, miała adres typu "169.254. ...", przy nazwie sieci cały czas był "ograniczony dostęp". Nie mogłem uruchomić usługi "klient DHCP", najpierw był błąd "odmowa dostępu", po zmianie uprawnień w rejestrze, przy próbie uruchomienia tej usługi wyskakiwał komunikat: "Błąd 2: Nie można odnaleźć określonego pliku". Z innego komputera z takim samym systemem przegrałem pliki: dhcpcore.dll, dhcpcore6.dll, dhcpcsvc.dll, dhcpcsvc6.dll, dhcpsapi.dll, netbt.sys i importowałem klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dhcp i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT. Po tej operacji usługa klient DHCP uruchamia się, karta sieciowa dostaje prawidłowy adres ip, w centrum sieci i udostępniania wszystko wygląda ok jakby był internet, jednak ani internetu ani sieci lokalnej wciąż nie ma. Próbowałem użyć komend sfc /scannow, netsh reset, flushdns itp. System Windows 7 Professional 64 bit. Zamieszczam logi z FRST, GMER i Malwarebytes Anti-Malware, który uruchomiłem jako pierwszy żeby pozbyć się infekcji. Proszę o pomoc, bo już nie wiem czego jeszcze mogę spróbować... Chciałbym uniknąć stawiania systemu na nowo. Addition.txt FRST.txt gmer.txt Shortcut.txt mbam.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 W tych wynikach MBAM raczej infekcje które nie wpływają na działanie sieci (robak Brontok i PUPy). Czy na pewno uszkodzenie sieci to wynik infekcji? W raportach FRST i GMER żadnych wyraźnych oznak co może być naruszone, tylko w Dzienniku jest ten zestaw błędów, przy czym te dwa związane z brakiem modułu już jakoby rozwiązane: Dziennik System: ============= Error: (04/25/2016 12:30:59 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147014874 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: %%2 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: %%2 I ta zmiana uprawnień dla DHCP wygląda niepokojąco, tzn. czy przypisałeś specjalne konta dostępowe (np. Dhcp). I to też może być pośredni znak, że jest naruszone o wiele więcej uprawnień. Tu były takie tematy na forum, że wszystkie uprawnienia gałęzi SYSTEM były zresetowane, co niestety wymaga ogromnych nakładów czasowych i karkołomnych działań. Poproszę o: 1. Kopię rejestru do ręcznej analizy. Spakuj do ZIP folder C:\FRST\Hives, umieść na jakimś serwisie hostingowym i podaj link. Analiza zajmie dużo czasu i nie spodziewaj się szybkiej odpowiedzi. 2. Dowody jak poprawna była podmiana plików, czyli filtrowany raport z wyników sfc /scannow: KLIK. Odnośnik do komentarza
molon Opublikowano 25 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2016 Dziękuję bardzo za odpowiedź. Zamieszczam przefiltrowany raport z sfc /scannow, nie byłem pewien kiedy robiłem pierwsze skanowanie - przed czy po podmianie plików, dlatego teraz przeskanowałem jeszcze raz. Link do katalogu Hives: https://www.sendspace.com/file/9hi5jm Będę wdzięczny za analizę. sfc2.txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Skan SFC bez zarzutu. I nie musiałeś go ponawiać. Kolejne rundy SFC są nagrywane do tego samego pliku CBS.log, a znaczniki czasowe identyfikują instancje. Tylko wtedy byłoby potrzebne ponowienie skanu, gdybyś nie uzyskał wyników filtrowania, co świadczyłoby, że Windows ocenił CBS.log jako "za duży" i zarchiwizował poprzednią postać. Wszystko wskazuje na to, że tu niestety był jednak jakiś rekursywny reset uprawnień na całej gałęzi SYSTEM. Ogromna ilość usług wykazuje te same cechy, tzn. utrata oryginalnego układu uprawnień (brak specjalnych kont dostępowych, np. dla Dhcp jest to konto o nazwie Dhcp). Ślady w rejestrze sugerują, że przyznając dostęp zrobiłeś jedno z dwóch: dodałeś grupę Wszyscy i/lub siebie samego (te uprawnienia nie występują w domyślnym układzie uprawnień). Przyznanie grupy Wszyscy owszem doraźnie likwiduje "Odmowę dostępu", choć to "brudny reset", nie jest wiernym układem i otwiera za dużo luk dostępowych. Przywrócenie oryginalnych uprawnień to koszmarna robota. Wykonywałam to kilka razy na forum, ale obecnie ze względu na brak czasu i stan zdrowia nie jestem w stanie tego przygotować dla Ciebie. Układ z "Wszyscy" musi więc pozostać do czasu reinstalacji systemu. Druga sprawa, widoczna dewastacja klucza WinSock2: w widoku głównym podklucza Parameters brak kilku wartości, w ogóle nie ma podklucza AppId_Catalog, a podklucze NameSpace_Catalog5 i Protocol_Catalog9 mocno zredukowane. Na razie spróbuj więc zrekonstruować poprawny wygląd tego klucza. Swoją drogą, z kolei w kluczu Winsock jest przetrzebiona lista bindowanych dostawców, ale to akurat może nie mieć znaczenia. Mam pytanie: czy przypadkiem nie próbowałeś rozwiązywać problemu z siecią całkowicie kasując klucze Winsock + WinSock2 z rejestru? Czyli: 1. Rekonstrukcja brakujących wartości w widoku Parameters oraz całych podkluczy AppId_Catalog i NameSpace_Catalog5. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters] "NameSpace_Callout"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,66,00,77,00,70,00,75,00,63,00,6c,00,6e,00,74,00,2e,00,64,00,6c,00,6c,\ 00,00,00 "AutodialDLL"="rasadhlp.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1] "AppFullPath"="C:\\Windows\\system32\\wininit.exe" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-0F0A6651] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k NetworkService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-1F4968A0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceNetworkRestricted" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-215FDCCA] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceAndNoImpersonation" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-34FFF7C0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\343305C9] "AppFullPath"="C:\\Windows\\system32\\lsass.exe" "PermittedLspCategories"=dword:80000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000028 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Natomiast, by zresetować Protocol_Catalog9: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep netsh winsock reset 3. Zresetuj system i podaj czy widzisz pożądane zmiany. Odnośnik do komentarza
molon Opublikowano 27 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Zrobiłem te czynności ale niestety nie pomogło. Przyznam się, faktycznie mieszałem w uprawnieniach, grzebałem w rejestrze, usunąłem klucze Winsock i Winsock2 - wszystkiego naczytałem się na innych stronach i próbowałem po kolei, jak widać tylko zaszkodziłem... Starałem się robić przed każdą operacją backup wpisów rejestru - zamieszczam je w załącznikach (zmienione rozszerzenie z .reg na .txt), przydadzą się? Wolę nic sam nie przywracać bez upewnienia się. dhcp.txt netbt.txt network.txt winsock.txt winsock2.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się