Zasyfiony komputer

redred · 18 Października 2010

Witam !

Jak zwykle w przypadku problemów ze sprzętem , udałem się na SE po pomoc, ale tam sobie chyba nie do końca dają radę.

W dwa słowa to ubiorę : Picasso ratuj !

P.S.

Ostatniej rady jeszcze nie zdążyłem wykonać.

picasso · 18 Października 2010

1. Nie ma tu świeżego zestawu logów z dzisiaj = tu jest obowiązek podania OTL + GMER, niezależnie od tego, że "wczoraj" to pokazywano gdzie indziej (logi oczywiście muszą być stworzone dzisiaj). Jeśli rzecz o tych nieznanych modułach, pokaż mi jeszcze co sądzi na ten temat: Rootkit Unhooker (wejdź do karty Report > klik w Scan > pozostaw zaznaczone wszystko).

2. W kwestii:

Niestety problem z zaporą dalej istnieje, co gorsza okazuje sie , ze coś sie porobilo z urządzeniami sieciowymi. Avasta wywaliłem

W Dzienniku zdarzeń widnieje taki błąd:

Error - 2010-10-17 08:29:00 | Computer Name = CORE2 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi AEGIS Protocol (IEEE 802.1x) v3.4.5.0 z
 powodu następującego błędu:   %%2

Uruchom Dziennik zdarzeń Start > Uruchom > eventvwr.msc, z PPM na gałąź System zapisz ją do nowego pliku EVT, plik zapakuj do ZIP, rzuć na SpeedyShare i podaj tu link do tej paczki.

.

redred · 18 Października 2010

Będzie wszystko jak tylko dotrę do zatrutego kompa czyli ok 18. Czy ostatnią poradę z SE wykonać ?

Mam już logi w załącznikach . dziennik jest tu:

picasso · 19 Października 2010

Log z GMER wykazuje różnicę w stosunku do pierwotnego, nie ma tam już odczytów w sekcji modułów. Aktualnie GMER i RootrkitUnhooker mówią podobne rzeczy, widzą za to hooki SSDT o nieznanym pochodzeniu.

Natomiast w Dzienniku zdarzeń jest bardzo dużo błędów typu "nie można odnaleźć pliku":

The AEGIS Protocol (IEEE 802.1x) v3.4.5.0 service failed to start due to the following error:

The system cannot find the file specified.

The Rozpoznawanie lokalizacji w sieci (NLA) service depends on the AFD service which failed to start because of the following error:

The system cannot find the file specified.

The AFD service failed to start due to the following error:

The system cannot find the file specified.

The Sterownik protokołu TCP/IP service depends on the Sterownik IPSEC service which failed to start because of the following error:

The system cannot find the file specified.

The Sterownik IPSEC service failed to start due to the following error:

The system cannot find the file specified.

The Protokół We/Wy trybu użytkownika NDIS service failed to start due to the following error:

The system cannot find the file specified.

The Realtek EAPPkt Protocol service failed to start due to the following error:

The system cannot find the file specified.

The aswRdr service depends on the Sterownik protokołu TCP/IP service which failed to start because of the following error:

The dependency service or group failed to start.

The Zapora systemu Windows/Udostępnianie połączenia internetowego service terminated with the following error:

The system cannot find the file specified.

Oraz jest jeszcze takie coś (win32k.sys na pewno jest w systemie, inaczej Windows by nie startował, poza tym widzę go załadowanego w Rootkit Unhooker):

Application popup:  : \SystemRoot\System32\vga.dll cannot find win32k.sys

1. W Twoim pierwszym MBAM były wykryte sterowniki ingerujące w sieć:

C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> Delete on reboot.C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot.

W Panelu sterowania > Połączenia sieciowe > Właściwości danego połączenia sieciowego > co widzisz w karcie Ogólne, czyli składniki których używa dane połączenie? Pokaż mi zrzut ekranu z tego.

W Menedżerze urządzeń, prócz zdefektowanych kart sieciowych, jest także pozycja "Nieznane urządzenie". Dla tej pozycji pobierz Właściwości w karcie Szczegóły sprawdź z rozwijanej listy takie rzeczy jak ID sprzętowe czy Usługa, zaś w karcie Sterownik sprawdź czy pobór detali pokazuje do jakiego ewentualnie pliku to coś się próbuje odwoływać. Co tam się pokazuje? Czy deinstalacja tego obiektu + restart systemu powoduje pojawianie się tego ponownie?

2. Pokaż mi wyniki wyszukiwania na pliki, które są sugerowane jako nieistniejące / od usług które widnieją w błędach. W SystemLook wklej nastąpującą treść i uruchom wyszukiwanie przez Look:

:filefind
aegisp.sys
afd.sys
ipsec.sys
win32k.sys
vga.dll
ipnathlp.dll

3. W OTL w zbiorze usług i sterowników nie ma żadnych adnotacji o sterownikach IPSEC czy Aegis ani nie pokazuje się usługa zapory (co niejako sugeruje, że pliki są....). Pokaż mi czy i w jaki sposób widzi je OTL uruchomiony na innym warunku wyszukiwania. W OTL w sekcji Usługi oraz Sterowniki zaznacz Wszystko, natomiast pozostałe sekcje ustaw na Brak a wyszukiwanie plików na Żadne.

.

redred · 19 Października 2010

Mogę dopiero teraz się odezwać.

Ad.1. W połączeniach sieciowych powinny być dwie karty sieciowe lan obie zintegrowane na płycie głównej, jest widoczna jedna i to ta, która była nieużywana. Jest wyłączona i nie można jej włączyć. Po usunięciu "nieznanego urządzenia" i resecie ją także wpieprzyło więc zrzutu ekranu nie będzie.

Id sprzętowe puste, usługa pusta, brak odwołań do plików. Po usunięciu i restarcie "nieznanego urządzenia" już nie ma.

Ad.2. i 3. Załączniki.

Zastanawiam się czy nie naprawić windows z płyty instalacyjnej, chociaż z drugiej strony zawsze zdążę to zrobić.

Kolejna sprawa to obrazy dysku acronisa - czyste czy zawirusowane ? Jak czyste to postawię sprzęt od nowa w kilka minut...

Ostateczność format i stawianie od nowa, zje parę fajnych programów, ale jak nie będzie wyjścia...

OTL.Txt

SystemLook.txt

picasso · 19 Października 2010

Wszystkie pliki usług, które podczas uruchamiania zgłaszają "brak pliku", są obecne i wygląda na to, że mają się dobrze. Tu musi brakować całkiem innego pliku (widok Menedżera urządzeń sugeruje "sterownik"), do którego gdzieś jest zapisane odwołanie i zrobione dowiązanie do usług systemowych. Pierwsza myśl: ustawiona zależność w DependOnService planująca uruchamianie w zależności od czegoś niestandardowego, choć nie do końca zgadza mi się błąd (Dziennik raczej powinien użyć sformułowania z "usługą zależności"). Druga myśl: ustawienie filtra sprzętowego na urządzenia, po usunięciu pliku filtra urządzenie nie działa.

Ad.1. W połączeniach sieciowych powinny być dwie karty sieciowe lan obie zintegrowane na płycie głównej, jest widoczna jedna i to ta, która była nieużywana. Jest wyłączona i nie można jej włączyć. Po usunięciu "nieznanego urządzenia" i resecie ją także wpieprzyło więc zrzutu ekranu nie będzie.
Id sprzętowe puste, usługa pusta, brak odwołań do plików. Po usunięciu i restarcie "nieznanego urządzenia" już nie ma.

1. Czy w Menedżerze urządzeń po ustawieniu w menu Widok pokazywania ukrytych urządzeń nie widać może czegoś dodatkowego? Podaj mi log zrobiony pod tym kątem: uruchom DevDiag i wybierz opcję 3.

2. Do sprawdzenia także filtry sprzętowe. Szybko i w trybie zbiorczym można wykryć takowe posługując się narzędziem Device Remover. Z menu Tools > System > Show filtered devices > sprawdź czy widać jakiekolwiek urządzenia związane z siecią, a jeśli będą, rozwiń im gałązki aż do końcowej wartości Upper / Lower filters i pokaż co tam widać.

Zastanawiam się czy nie naprawić windows z płyty instalacyjnej, chociaż z drugiej strony zawsze zdążę to zrobić.

To zawsze można zrobić, ale ja bym pomęczyła ten temat jeszcze.

Kolejna sprawa to obrazy dysku acronisa - czyste czy zawirusowane ? Jak czyste to postawię sprzęt od nowa w kilka minut...

Nie wiem, przecież tego nie jestem w stanie potwierdzić w raportach. To ewentualnie tylko skaner antywirusowy, o ile potrafi przeskanować ten szczególny format obrazu.

.

redred · 20 Października 2010

Device Remover nic nie pokazał z urządzeń sieciowych. Za to zrobiłem dwa zrzuty. Na jednym widać na czerwono obie sieciówki. Na drugim nowe wykrzykniki. Log z DevDiag w załączniku.

DevDiag.txt

picasso · 20 Października 2010

Na jednym widać na czerwono obie sieciówki. Na drugim nowe wykrzykniki.

Te wykrzykniki, które widzisz jako urządzenia ukryte na liście Niezgodnych z PnP, to właśnie to co cytowałam z Dziennika zdarzeń. Wyjątek: Parport, to nie jest raczej nic złego, taki odczyt się pojawia w sytuacji gdy komputer ma porty równoległe zdeaktywowane w BIOS lub brak takowych, a XP nieopatrznie doinstalował do tego sterownik. Pliki usług Afd / Aegis / Ipsec są na dysku, sprawdzałam już w SystemLook. Nie sprawdzałam czy są pozostałe pliki: netbt.sys, ndisuio.sys, tcpip.sys, ipnat.sys.

Pobierz Właściwości tych obiektów i przeklej mi jaki tam się pokazuje błąd. Spróbowałabym wszystkie te pozycje z wykrzyknikami odinstalować + restart komputera. System powinien sam to przeinstalować.

.

redred · 20 Października 2010

AEGIS i wszystkie inne

To urządzenie nie występuje w systemie, nie pracuje poprawnie lub nie ma zainstalowanych wszystkich swoich sterowników. (Kod 24)

Aby uruchomić narzędzie do rozwiązywania problemów przeznaczone dla tego urządzenia, kliknij Narzędzie do rozwiązywania problemów.

Po deinstalacji żaden z nich się nie zainstalował

picasso · 20 Października 2010

Po deinstalacji żaden z nich się nie zainstalował

Spróbuj jeszcze wymuszenia reinstalacji tych usług. Przeszukałam pliki instalacyjne INF i to są pasujące: ndisuio.inf (dane Ndisuio), netrass.inf (dane Ipnat), nettcpip.inf (dane NetBT / Tcpip / Ipsec). Dla Afd nie mogę znaleźć reinstalatora. Nie wiem też jaki plik INF pasuje do protokołu Aegis. Możesz przeszukać wnętrza INF. Start > Uruchom > CMD i wklej polecenie FINDSTR /I /C:"aegis" C:\WINDOWS\INF\*.INF > C:\LOG.TXT. W wyprodukowanym pliku tekstowym powinny zostać zwrócone wyniki, w którym pliku są odnośniki do aegis.

1. W Start > Uruchom > wklej C:\WINDOWS\inf. W katalogu tym z prawokliku na wyżej wymienione pliki wybierz opcję Instaluj. Jeśli poprosi o płytę CD XP, podaj. Zresetuj po tym komputer, sprawdź czy pojawiły się odinstalowane usługi w widoku pokazywania ukrytych w gałęzi Niezgodne z PnP. Gdyby po tej operacji brakowało tylko Afd, to mogłabym dać fiks rejestru przywracający tę usługę.

2. Jeśli to kompletnie zawiedzie, to są jeszcze te sposoby: How to recover a really dead Windows XP (SP2/SP3) TCP/IP stack. W tym nakładkowa Reperacja.

.

redred · 20 Października 2010

Szukanie aegis nic nie dało, log był pusty, wymuszona reinstalacja z plików inf , spowodowała pojawienie się składników (ale dalej z wykrzyknikami). W związku z powyższym byłem zmuszony skorzystać z linka i naprawiać system z płyty ( w sumie to i bez linka potrafię).

Teraz pytanie jak się zabezpieczyć na przyszłość . Mam do wyboru:

1. Eset Smart Security na pół roku

2. Darmowego Avasta + co ?

3. Darmową Avirę +co ?

4. F-secure IS 2011 na rok (ale nie po polsku, co dla użytkownika jest problemem).

picasso · 20 Października 2010

W związku z powyższym byłem zmuszony skorzystać z linka i naprawiać system z płyty ( w sumie to i bez linka potrafię).

Link był podany w kontekście informacyjnym (m.in. zestawienie objawów i błędy typu "nie można odnaleźć pliku" które tu występowały mimo jawnej obecności pliku na dysku), bo Twoja umiejętność prowadzenia Reperacji była niejako oczywista po wcześniejszej deklaracji możliwości jej przeprowadzenia.

Teraz pytanie jak się zabezpieczyć na przyszłość . Mam do wyboru:
1. Eset Smart Security na pół roku

2. Darmowego Avasta + co ?

3. Darmową Avirę +co ?

4. F-secure IS 2011 na rok (ale nie po polsku, co dla użytkownika jest problemem).

1. Gdyby miało być za darmo i w spolszczeniu to można skorzystać z całego pakietu adresującego różne zadania COMODO Internet Security. Można także zainstalować ten pakiet z wyłączeniem antywirusa, a jako antywirusa do pracy równoległej wstawić Avirę (Avira nie ma interfejsu PL).

2. Komercyjne pakiety o limicie czasowym, to już moim zdaniem wszystko jedno który, a Ty i tak sugerujesz że użytkownik będzie miał problem z obsługą niepolskojęzycznego interfejsu.

Czy iść w darmowe czy komercyjne = nie uważam, by wybór darmowego był zły, a przykładowy tu CIS miał zawsze wysokie notowania. Poza tym, niebagatelną rolę odgrywa czynnik ludzki i choćby forteca stała, to można ją rozwalić własną ręką.

.

redred · 21 Października 2010

No to system mam działający ,ale pozostała jeszcze sprawa ukrytych procesów avira znalazła ponad 20. Musiałem przerwać skan bo po ponad godzinie zrobił ledwie 4 %. Włączę go jutro na cały dzień to napisze czy coś oprócz ukrytych znalazł. W załączniku log aviry.

P.S. Czy DrWeb CureIt działa tylko w trybie awaryjnym , bo w normalnym to się zamyka podczas uruchamiania.

AVSCAN-20101021.txt

picasso · 22 Października 2010

pozostała jeszcze sprawa ukrytych procesów avira znalazła ponad 20

Avira wykrywa jako ukryte:

Starting search for hidden objects.

c:\windows\repair\backup\servicestate\configdirectory\default.tmp.log