RobertM15 Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Witam, System Windows Vista Home Premium 32 bity. Zaczęło się od braku dostępu do Internetu oraz komunikatu Windows Defendera o infekcji Trojan:Win32/Sirefef.O, przy próbie usunięcia Defender generował błędy i kończył swoją działalność. Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD - raportowanie Defendera się już nie pojawia, ale nadal nie ma dostępu do internetu: wifi nie chce się połączyć, połączenie kablowe po podłączeniu w nieskończoność pokazuje "trwa identyfikowanie", adres z DHCP nie jest pobierany. Sprawdziłem usługę Klienta DHCP jest wyłączona i nie daje się włączyć z komunikatem "System Windows nie może uruchomić Klinet DHCP na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się". Znalazłem post z podobnym problemem: Link, ale uprawnienia usług w rejestrze są prawidłowe. Zaczyna mi już brakować pomysłów, bardzo proszę o pomoc. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... checkup.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 1. Zgodnie ze wskazówkami uruchom ComboFix i przedstaw wyniki jego działania. 2. Następnie uruchom Kaspersky TDSSKiller i przedstaw raport. Nie podejmuj jeszcze żadnych akcji na potencjalnych wynikach, wszystkim dobierając Skip, tylko raport przedstaw. Cytat Znalazłem post z podobnym problemem:Link, ale uprawnienia usług w rejestrze są prawidłowe To zupełnie nie ten przypadek. Cytat Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD Istotnym jest co usuwałeś, mogłeś naruszyć jakiś niezbędny plik. . Odnośnik do komentarza
RobertM15 Opublikowano 2 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2011 Niżej logi po skanowaniu ComboFix i TDSSKiller: log.txtPobieranie informacji ... TDSSKiller Report.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2011 Zgłoś Udostępnij Opublikowano 3 Listopada 2011 Ponawiam pytanie: picasso napisał(a): RibertM15 napisał(a): Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD Istotnym jest co usuwałeś, mogłeś naruszyć jakiś niezbędny plik. ComboFix dokasował po rootkicie c:\windows\$NtUninstallKB13607$ + c:\windows\system32\. 1. Na dysku widzę jeszcze ten folder: 2011-10-22 17:09 . 2011-10-27 22:18 -------- d-sh--w- c:\users\Aguś\AppData\Local\7d0eb7d6 Przez SHIFT+DEL spróbuj go skasować z dysku. R0 fufhnx;fufhnx;c:\windows\System32\drivers\yofd.sys [x] Ten sterownik także do kasacji. Spróbuj w cmd uruchomionym jako Administrator wywołać polecenia: sc stop fufhnx sc delete fufhnx 2. W związku z odczytami Combofix na temat pliku wuauclt.exe oraz niejasnościami jak doprowadziłeś do padu sieci (może naruszyłeś jakiś ważki plik) wykonaj sprawdzanie poprawności plików. Uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. . Odnośnik do komentarza
RobertM15 Opublikowano 3 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2011 W czasie pierwszych skanowań na pewno nie usuwałem plików z katalogów Windows, za to były usunięte pliki temp z katalogu użytkownika oraz usunięty katalog o nazwie składającej się z ciągu cyfr po środku przedzielonym dwukropkiem. Ad.1 Za żadne skarby nie mogę znaleźć katalogu: Cytat 1. Na dysku widzę jeszcze ten folder: 2011-10-22 17:09 . 2011-10-27 22:18 -------- d-sh--w- c:\users\Aguś\AppData\Local\7d0eb7d6 Przez SHIFT+DEL spróbuj go skasować z dysku. A w załączniku "screen" z ekranu z zawartością katalogu c:\users\Aguś\AppData\Local\ Czy to możliwe żeby w czasie restartu katalog zniknął? Sterownik fufhnx za to udało się usunąć bez problemu. Ad.2 W załącznikach odfiltrowane CBS.LOG po skanowaniu sfc /scannow. Po restarcie powróciło połączenie z LAN'em oraz internetem. Wygląda na to, że komputer wrócił do życia! sfc.txtPobieranie informacji ... sfc_cannot_repair.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Cytat Ad.2 W załącznikach odfiltrowane CBS.LOG po skanowaniu sfc /scannow. Po restarcie powróciło połączenie z LAN'em oraz internetem. Problem stanowił plik tdx.sys naruszony przez infekcję (bądź skaner na płycie go leczący): 1-11-03 23:12:44, Info CSI 000001ae [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup2011-11-03 23:12:44, Info CSI 000001af [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store SFC uregulował także sprawę pliku wuauclt.exe. Cytat A w załączniku "screen" z ekranu z zawartością katalogu c:\users\Aguś\AppData\Local\Czy to możliwe żeby w czasie restartu katalog zniknął? Czy masz włączone wszystkie opcje widoku? Ten folder ma atrybuty HS, czyli "ukryty systemowy". By widzieć, należy odznaczyć opcję: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ta sama zasada aplikuje się dla CMD, DIR domyślnie nie pokazuje obiektów HS, należy użyć DIR /A (czyli listowanie wszystkich atrybutów). . Odnośnik do komentarza
RobertM15 Opublikowano 5 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Cytat Czy masz włączone wszystkie opcje widoku? Ten folder ma atrybuty HS, czyli "ukryty systemowy". By widzieć, należy odznaczyć opcję: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ta sama zasada aplikuje się dla CMD, DIR domyślnie nie pokazuje obiektów HS, należy użyć DIR /A (czyli listowanie wszystkich atrybutów). . Ukryty katalog znaleziony i usunięty. Czy możemy uznać naprawę za zakończoną? Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Nie tak szybko. Jeszcze finalizacje. 1. Drobne poprawki na numeryczny plik po rootkicie (jakoś nie widzę, by został skasowany przez ComboFix), śmieci Gadu Temp*, swap Dr. Web LiveCD oraz szczątki w usługach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer) SRV - File not found [On_Demand | Stopped] -- -- (clr_optimization_v2.0.50727_32) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Files del /q C:\Windows\3602321021 /C del /q C:\REMOVE_THIS_FILE.livecd.swap /C C:\Users\Aguś\AppData\Local\Temp*.html :Commands [emptytemp] Klik w Wykonaj skrypt. Po tym przez SHIFT+DEL skasuj z dysku folder C:\_OTL. 2. Deinstalacja ComboFix czyszcząca także foldery Przywracania systemu. Z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej: C:\Users\Aguś\Desktop\ComboFix.exe /uninstall 3. Wymiana wszystkich haseł logowania w serwisach. 4. Krytyczny poziom aktualizacji Windows: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18999) Obowiązkowe Windows Update, a szczegóły tutaj: INSTRUKCJE. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ShockwaveFlash" = Adobe Flash Player 9 ActiveX To wszystko także do wymiany najnowszymi wersjami. . Odnośnik do komentarza
RobertM15 Opublikowano 6 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2011 Wszystkie kroki finalizacyjne wykonane. Bardzo dziękuję za pomoc! Pozdrawiam, Odnośnik do komentarza
Rekomendowane odpowiedzi