Brak sieci i błąd 720 - niedziałające funkcje systemowe

[dam115]

Witam serdecznie. Od razu uprzedzam, że nie mam pojęcia o komputerach i nie wiem co może być. Przesyłam Wam logi z programu OTL. W komputerze nie działa internet, wyskakuje błąd720, nie działa m.in zapora systemu windows, nie może zrobić defragmentacji dysku, przywracanie systemu nie działa. Czasami wyłączał się antywirus (awast). Podejrzewam, że awast wykasował mi jakieś potrzebne pliki... wcześniej miałem jakiegoś wirusa m.in otwierał mi inne strony niż chciałem - zazwyczaj z jakimiś reklamami. Nie chcę zbytnio robić formatu.

 

Bardzo proszę o pomoc. Poniżej logi:

 

otl.txt -

OTL LOGI

 

extras.txt

EXTRAS LOG

 

ps.

jest to mój pierwszy post więc przepraszam jeśli coś jest nie tak - proszę napisać jeśli potrzeba coś więcej a od razu dorzucę

[Landuss]

Zabrakło obowiązkowego loga z GMER.

 

Logi wskazują na rootkita ZeroAccess. Wykonaj poniższe kroki:

 

1. Rozpocznij od użycia ESET Win32/Sirefef Trojan remover i zresetuj komputer.

 

2. Następnie uruchom ComboFix i przedstaw wynikowy raport oraz wykonaj nowe logi z OTL.

[dam115]

"wystąpił problem z aplikacją ESETSirefefRemover.exe i zostanie ona zamknięta." taki komunikat wyskoczył po otworzeniu tego programu.

 

Jakieś pomysły na ten problem?? Logi z Gmer wstawię jak najszybciej.. mam trochę problem bo muszę korzystać z drugiego komputera by coś zainstalować itd ale postaram się to zrobić jak najszybciej. Bardzo proszę o pomoc.

[picasso]

Logi z Gmer wstawię jak najszybciej..

 

GMER prawdopodobnie nie dasz nawet rady uruchomić, tzn. uruchomi się na chwilę, następnie zamknie, a ponowna próba zwróci błąd odmowy dostępu. Rootkit blokuje ten typ narzędzi, zerując im listę kontroli dostępu ACL.

 

 

"wystąpił problem z aplikacją ESETSirefefRemover.exe i zostanie ona zamknięta." taki komunikat wyskoczył po otworzeniu tego programu.

 

Przejdź w Tryb awaryjny Windows i uruchom narzędzie. W dalszej kolejności ComboFix, jak zostało podane.

 

 

 

.

[dam115]

w trybie awaryjnym również ten program nie działa.

 

Przesyłam screen z programu anti zero access.

 

PRINT SCREEN Z ANTI ZERO ACCESS

 

Mogę uruchomić najpierw ComboFix? Czy polecacie coś innego?

[picasso]

W Webroot AntiZeroAccess jest bardzo wiele odczytów typu "Error" (program nie był w stanie sprawdzić tych sterowników), co nasuwa skojarzenia z naruszoną listą kontroli ACL tych sterowników. Zostaw ten wątek na razie i przejdź do uruchomienia ComboFix.

[dam115]

 

wyskoczył mi ten oto komunikat. W moim przypadku nie mogę połączyć się z internetem. Skąd to pobrać? Czytałem instrukcję na forum i w moim przypadku jest to chyba konieczne.

[picasso]

Nie wczytałeś się w opis ComboFix. Jest napisane:

 

 

Nie - Ominięcie instalacji Konsoli

Sytuacje, w których można pominąć ten krok:

• posiadanie płyty dającej dostęp do Konsoli: instalacyjna CD XP (ale nie w wersji Recovery dołączanej do laptopów!) lub utworzona z mojego obrazu Konsola(fixitpc.pl).iso
  
• ciężkie warunki systemowe uniemożliwiające pobranie czegokolwiek na dysk przy aktywnym połączeniu sieciowym albo też zupełny brak sieci w wyniku ingerencji infekcji
  
• jesteś zaawansowanym użytkownikiem i wiesz o systemie dostatecznie dużo, by móc go postawić do życia niestandardowymi metodami
  

 

Oczywiście instalację tego musisz ominąć, bo nie ma połączenia z siecią.

 

 

 

.

[dam115]

za chwilkę odpiszę, wyglądało to u mnie trochę inaczej niż w opisie stąd ten post. Będę edytował ten by powiadomić o zakończeniu skanowania

[picasso]

Owszem, przy ZeroAccess scenariusz prawdopodobny, bo ComboFix musi wykonać restart w takiej sytuacji. Tylko niejasny fragment to "Zrobiłem restart", bo ComboFix wyraźnie mówi, by nie resetować ręcznie (to ComboFix ma robić autoreset). Tak było?

 

EDIT: dopisałeś. Przy infekcji ZeroAccess pierwsza runda narzędzia nie wygląda dokładnie tak jak w opisie, bo są szczególne działania które ComboFix musi podjąć. Czekaj cierpliwie, dopóki nie zgłosi się ewidentny log.

 

EDIT2: Proszę już odpisywać pod moim postem. I nie wiem co to za edycje wymazujące pytania.

 

 

 

.

[dam115]

Edytowałem posta zanim napisałaś i chciałem go edytować po dodaniu loga by nie pisać kolejnego.

 

 

Combofix zakończył skanowanie. W linku przesyłam log:

LOGI

[picasso]

Nie wypowiadasz się nic na temat tego czy sieć nadal nie działa (ComboFix wdraża reset tego obszaru). Co ComboFix zrobił: usunął komponenty rootkit, ale nadal na dysku jest szkodliwy folder i nie ma też żadnego wiarygodnego skanu na temat potencjalnie zainfekowanych sterowników systemowych, a przynajmniej jeden ze sterowników (ipsec.sys) widnieje jako co dopiero odświeżony. Na teraz do wykonania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
c:\documents and settings\OEM\Ustawienia lokalne\Dane aplikacji\a65bd95c

 

Klik w Wykonaj skrypt.

 

2. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj oraz z Kaspersky TDSSKiller. I powiedz jeszcze co widzisz w tym folderze:

 

2011-10-24 15:35 . 2011-10-24 15:41	--------	d-----w-	c:\windows\I386

 

 

Edytowałem posta zanim napisałaś i chciałem go edytować po dodaniu loga by nie pisać kolejnego.

 

Ale zadawałeś pytania (czyli: oczekiwana odpowiedź, bo to chyba nie retoryczna dyskusja z samym sobą?). Edycja wsteczna posta, polegająca na zastąpieniu treści, jest wtedy równoznaczna z anulowaniem mojego posta. Nie po to odpowiadam na pytania, by zaraz potem kasować post. Widzisz w tym logikę?

 

 

 

 

.

[dam115]

Internet nadal nie działa - wciąż błąd 720.

 

LOG Z KASPERSKIEGO

 

OTL LOG

 

EXTRAS.TXT

 

 

Co do punktu 1:

"========== FILES ==========

c:\documents and settings\OEM\Ustawienia lokalne\Dane aplikacji\a65bd95c\U folder moved successfully.

c:\documents and settings\OEM\Ustawienia lokalne\Dane aplikacji\a65bd95c folder moved successfully.

 

OTL by OldTimer - Version 3.2.31.0 log created on 10252011_185933"

 

 

2. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj oraz z Kaspersky TDSSKiller. I powiedz jeszcze co widzisz w tym folderze:

 

2011-10-24 15:35 . 2011-10-24 15:41 -------- d-----w- c:\windows\I386

 

folder i386 wgrałem z innego komputera bo wydawało mi się, że jest potrzebny (miałem go na każdym innym komputerze)...

Edytowane 25 Października 2011 przez dam115

[picasso]

Nie myl funkcji Skanuj z Wykonaj skrypt. Wklejałeś skrypt ... do skanowania OTL. To oczywiście nie mogło działać (i log z OTL nie przedstawia pożądanych zmian), ale doedytowałeś post wklejając log z usuwania.

 

 

folder i386 wgrałem z innego komputera bo wydawało mi się, że jest potrzebny (miałem go na każdym innym komputerze)..

 

Folder taki domyślnie nie istnieje w katalogu C:\Windows. Usuń go.

 

 

Internet nadal nie działa - wciąż błąd 720.

 

W Dzienniku zdarzeń jest powód:

 

Error - 2011-10-25 08:41:29 | Computer Name = OEM-9F059355BA9 | Source = Service Control Manager | ID = 7003
Description = Usługa Sterownik protokołu TCP/IP zależy od następującej nieistniejącej usługi: IPSec.

 

Całkowicie skasowana z rejestru usługa IPSEC i należy ją zrekonstruować.

 

Poza tym, widzę jeszcze jeden plik numeryczny po rootkicie oraz kilka innych śmieci.

 

 

1. Pobierz plik ipsec.sys wyekstraktowany z XP SP2: KLIK. Utwórz katalog C:\Tmp i tam umieść plik.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\drivers\ipsec.sys|C:\Tmp\ipsec.sys /replace
C:\WINDOWS\system32\dllcache\ipsec.sys|C:\Tmp\ipsec.sys /replace
C:\WINDOWS\1557748646
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak

 

Klik w Wykonaj skrypt. System powinien zostać zrestartowany.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000005
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,70,00,73,00,65,00,63,00,2e,\
  00,73,00,79,00,73,00,00,00
"DisplayName"="IPSEC driver"
"Group"="PNP_TDI"
"Description"="IPSEC driver"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\Enum]
"0"="Root\\LEGACY_IPSEC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik > restart systemu

 

4. Przedstaw do oceny: log z wynikami usuwania z punktu 2 oraz nowy log z OTL z opcji Skanuj.

 

 

 

 

.

[dam115]

Internet zaczął działać!! Błąd 720 się już nie wyświetla. Avast się aktywował i wszystkie jego osłony działają. Zapora systemu również działa.

 

Przesyłam logi:

 

log z pkt2

========== PROCESSES ==========

All processes killed

========== FILES ==========

File C:\WINDOWS\system32\drivers\ipsec.sys successfully replaced with C:\Tmp\ipsec.sys

File C:\WINDOWS\system32\dllcache\ipsec.sys successfully replaced with C:\Tmp\ipsec.sys

C:\WINDOWS\1557748646 moved successfully.

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak moved successfully.

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak moved successfully.

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak moved successfully.

 

OTL by OldTimer - Version 3.2.31.0 log created on 10252011_192856

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

 

extras.txt

 

otl.txt

 

 

Po użyciu combofix nie działa mi suwak do przesuwania góra/dół oraz jak wkładam np. kartę pamięci to nie pokazuje mi się co wybrać (odtwarzanie, otwieranie folderu itd).

[picasso]

Ja chyba oślepłam ze zmęczenia Wymieniamy plik był w innym katalogu, z system32 plik skasuj, właściwy jest w drivers:

 

[2011-10-21 16:32:32 | 000,074,752 | ---- | M] () -- C:\WINDOWS\System32\ipsec.sys

 

Kolejne kroki do wykonania:

 

1. Odinstaluj w praidłowy sposób ComboFix, co także zresetuje foldery Przywracania systemu. W Start > Uruchom > wklej komendę: G:\ComboFix.exe /uninstall

 

2. W OTL uruchom Sprzątanie, co usunie z dysku kwarantannę OTL oraz sam OTL jako taki.

 

3. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Przedstaw raport z wykrytymi zagrożeniami, nie przeklejaj wyników typu OK/Archive/Packed/Password Protected.

 

 

Po użyciu combofix nie działa mi suwak do przesuwania góra/dół oraz jak wkładam np. kartę pamięci to nie pokazuje mi się co wybrać (odtwarzanie, otwieranie folderu itd).

 

Jaki suwak? Natomiast brak menu z akcjami po podpięciu karty pamięci to celowy zabieg zabezpieczający ComboFix (deaktywacja całego Autoodtwarzania). Spójrz w opis ComboFix do sekcji "Skutki uboczne": KLIK.

 

 

 

.

[dam115]

Chodzi mi o suwak na touchpad - dzięki temu przesuwam np. stronę góra/dół. Teraz działa to tylko ręcznie po kliknięciu kursorem na pasek. Coś się skasowało ?

 

 

Reszta działa! Skanuję avastem bo mam nie dam rady teraz ściągnąć żadnego pliku z internetu.

 

 

Ślicznie dziękuję za pomoc!

[picasso]

Chodzi mi o suwak na touchpad - dzięki temu przesuwam np. stronę góra/dół. Teraz działa to tylko ręcznie po kliknięciu kursorem na pasek. Coś się skasowało ?

 

Brak znaków, że coś zostało skasowane od Touchpad, ale jest możliwe że któryś plik nadal jest zainfekowany, dlatego został zadany skan na koniec. Jeśli skan nic nie wykaże, spróbuj przeinstalować sterowniki Touchpad.

 

 

Skanuję avastem bo mam nie dam rady teraz ściągnąć żadnego pliku z internetu.

 

Chodziło mi właśnie o skan czymś innym niż zainstalowany antywirus.

 

 

 

.

[dam115]

Postaram się jutro ściągnąć tego kasperskiego i zrobić skan. Ściągnę również sterowniki bo faktycznie wyparowały

 

Jeszcze raz wielkie dzięki za pomoc - to się ceni.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Ponad miesiąc, nie dostarczyłeś ostatecznych wyników, zamykam. //picasso