marekj Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Witam Adminów i użytkowników. Po krótce: Do komputera taty, na którym zainstalowana jest Vista Basic (32) dobrała się wnuczka i odrobinę namieszała... Dziecko + Internet = TROJAN Przez kilka dni Windows Defender wyświetlał komunikat o obecności Win32/Sirefef.O Usunąć się drania nie dało; nie przeszkadzało to jednak w pracy. Do czasu. Od niedawna komputer można uruchomić jedynie w trybie awaryjnym. Przeglądając sieć wpadłem na tą stronę i widzę, że nie tylko ja (tata) ma problem z tym Trojanem. W załączeniu logi ComboFix, TDS i OTL. Czy na ich podstawie można przywrócić stabilność (działanie) systemu czy pozostaje instalacja? Pozdrawiam ComboFix.txt OTL.Txt Extras.Txt TDS.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Widzę, że się pośpieszyłeś zanadto z używaniem narzędzi, one mają przecież określoną sekwencję wykonawczą. Log z Kasperskiego = nie wiadomo czy tak samo wygląda sytuacja po restarcie. Log z ComboFix (on jest obcięty, nie ma spodu) = narzędzie kasowało komponenty rootkit, uzupełniało brakujący sterownik CD-ROM, próbowało także leczyć zarażone pliki programów, ale niestety nie wszystko miało kopie i skutki to uszkodzone oprogramowanie wymagające reinstalacji: C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe . . . jest zainfekowany!!C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe . . . was deleted!! You should re-install the program it pertains to C:\Program Files\LENOVO\HOTKEY\FNF5SVC.exe . . . jest zainfekowany!!C:\Program Files\LENOVO\HOTKEY\FNF5SVC.exe . . . was deleted!! You should re-install the program it pertains to C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe . . . jest zainfekowany!!C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe . . . was deleted!! You should re-install the program it pertains to W OTL widać dużo poszkodowanych usług: SRV - File not found [Auto | Stopped] -- -- (TwonkyMedia)SRV - File not found [Auto | Stopped] -- -- (TVT Scheduler)SRV - File not found [Auto | Stopped] -- -- (TVT Backup Service)SRV - File not found [Auto | Stopped] -- -- (TVT Backup Protection Service)SRV - File not found [Auto | Stopped] -- -- (TPHKSVC)SRV - File not found [Auto | Stopped] -- -- (SUService)SRV - File not found [Auto | Stopped] -- -- (SessionLauncher)SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer)SRV - File not found [Auto | Stopped] -- -- (RegSrvc)SRV - File not found [Auto | Stopped] -- -- (PMSveH)SRV - File not found [Auto | Stopped] -- -- (FNF5SVC)SRV - File not found [Auto | Stopped] -- -- (EvtEng)SRV - File not found [Auto | Stopped] -- -- (AcPrfMgrSvc) Ponadto, nie wszystko jest skasowane, jest np. plik z wadliwą nazwą, który rzekomo nie istnieje, oraz folder alfanumeryczny. 1. Po pierwsze, wykonaj diagnostykę narzędziem Webroot AntiZeroAccess. Przedstaw log wynikowy. 2. Następnie, wejdź do katalogu C:\Windows\system32\drivers i wypisz mi wszystkie pliki posiadające taką oto kłódkę (to pliki, którym rootkit wyzerował uprawnienia): . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Webroot AntiZeroAccess 0.8 Log File Execution time: 22/11/2011 - 15:48 Host operation System: Windows Vista X86 version 6.0.6002 Service Pack 2 15:48:22 - CheckSystem - Begin to check system... 15:48:22 - OpenRootDrive - Opening system root volume and physical drive.... 15:48:22 - C Root Drive: Disk number: 0 Start sector: 0x002EE000 Partition Size: 0x113A3000 sectors. 15:48:22 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys". 15:48:23 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084 15:48:29 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 15:48:29 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 15:48:29 - Execution Ended! Jeśli chodzi o pliki z kłódeczką... Nie widzę takowych w podanej lokalizacji :/ (nie wiem czy to dobrze czy źle) Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 1. Narzędzie Webroot nie działa, nie jestem pewna dlaczego (może wpływ Trybu awaryjnego). W takiej sytuacji sprawdź co widzi aktualnie Kaspersky TDSSKiller (jeśli nic, dołączanie tu raportu sobie daruj). 2. Kolejna rzecz do wykonania, to weryfikacja poprawności plików systemowych. Uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. Przedstaw ten log. Nie widzę takowych w podanej lokalizacji :/ (nie wiem czy to dobrze czy źle) To dobrze (brak naruszeń w uprawnieniach). . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 1. Kaspersky TDSSKiller nic nowego nie ujawnił. 2. Podczas wykonywania sfc /scannow skanowanie stanęło na 47% i wyskoczył komunikat: Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. :/ (poprawka: weryfikowanie skanowania stanęło na 47%) Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. Dostarcz cały (niefiltrowany) plik C:\Windows\Logs\CBS\CBS.log do analizy. Plik zzipuj i umieść na jakimś serwisie hostingowym podając mi tu link. Prawdopodobnie ten log pokaże miejsce, na którym komenda SFC ulega zablokowaniu (a przypuszczalnie jest to miejsce uszkodzone wymagające ręcznej naprawy). Analiza tego pliku może mi zająć więcej czasu. . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 link Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Komenda SFC wywala się na następującym (zapewne ingerencja infekcji ZeroAccess) pliku: 2011-11-22 16:18:06, Info CSI 000000b6 [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2011-11-22 16:18:11, Error CSI 000000b7 (F) STATUS_ACCESS_DENIED #2013258# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowFileNotFound), handle = {provider=NULL, handle=0}, da = (FILE_GENERIC_READ), oa = @0x107e264->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[113]"\SystemRoot\WinSxS\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0x107e21c, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid)[gle=0xd0000022]2011-11-22 16:18:11, Error CSI 000000b8@2011/11/22:15:18:11.438 (F) d:\longhorn\base\wcp\sil\merged\ntu\ntsystem.cpp(1849): Error STATUS_ACCESS_DENIED originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null)[gle=0x80004005]2011-11-22 16:18:21, Error CSI 000000b9 (F) STATUS_ACCESS_DENIED #2013257# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingFile(...)[gle=0xd0000022]2011-11-22 16:18:21, Error CSI 000000ba (F) STATUS_ACCESS_DENIED #2013256# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingFile(flags = (MissingFileIsOk), da = (FILE_GENERIC_READ), oa = @0x107e40c->SIL_OBJECT_ATTRIBUTES {s:20; on:"dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = Invalid)[gle=0xd0000022]2011-11-22 16:18:21, Error CSI 000000bb (F) STATUS_ACCESS_DENIED #2013221# from PrimitiveInstaller::CCoordinator::RepairComponent(Component = Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral)[gle=0xd0000022]2011-11-22 16:25:24, Info CBS Scavenge: Package store indicates there is no component to scavenge, skipping. STATUS_ACCESS_DENIED (file cannot be checked) = brak uprawnień. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\system32\drivers\dfsc.sys Zastosuj opcję Unlock. 2. Wdróż ponownie komendę sfc /scannow, a jeśli tym razem ukończy pomyślnie, stwórz log filtrowany do znaczników [sR] i jako Załącznik tekstowy forum przedstaw. . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 C:\Windows\system32\drivers\dfsc.sys (??) Zerkam i zerkam, ale pliku dfsc.sys w tej lokalizacji nie posiadam :/ Kazałem przeszukać dysk C... i nigdzie go nie ma :/ sfc /scannow staje w tym samym miejscu (47%) i poczytałem: Because the dfsc.sys file is a Windows Operating System file it is not recommend you download this file from any website. If this file is missing, it is likely other Windows related files are also missing, we suggest re-installing Windows to make sure your issue is correctly resolved. Ehhhh :/ Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Na pewno taka nazwa, jest przecież w logu SFC wyszczególniana. Plik powinien być conajmniej w tych oto dwóch miejscach (źródło + repozytorium): C:\Windows\system32\drivers\dfsc.sys C:\Windows\WinSxS\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys Skoro go nie ma w żadnej, to jest to nieprawidłowe, musisz go wstawić w obie podane wyżej lokalizacje. 1. Pobierz plik w wersji dopasowanej do Vista SP2 i widzianego tu buildu: KLIK. Plik wstaw w oba podane wyżej miejsca, z tym że dla tego drugiego katalogu (x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f) jest wymagane tymczasowe przestawienie uprawnień, byś mógł zapisać tam plik: KLIK. 2. Ponów operację z sfc /scannow, jak mówiłam wyżej. i poczytałem:Because the dfsc.sys file is a Windows Operating System file it is not recommend you download this file from any website. If this file is missing, it is likely other Windows related files are also missing, we suggest re-installing Windows to make sure your issue is correctly resolved. Ehhhh :/ Bez przesady. Ode mnie masz plik w wersji identycznej z wskazywaną, wszystkie pliki ekstraktuję z czystych wirtualnych maszyn i trzymam się buildów 1:1. . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 I tak: Plik dfsc.sys dodałem do katalogu drivers za nic jednak nie mogę dodać go do tego x86.......... (już w tym katalogu takowy siedzi; może nie ma potrzeby go 'nadpisywać' (??) sfc /scannow -----> ciągle wywala się przy 47% ---------------------------------------------------------------------------------------------------------------------------------------- 2011-11-22 20:30:40, Info CSI 00000169 [sR] Verify complete 2011-11-22 20:30:40, Info CSI 0000016a [sR] Verifying 100 (0x00000064) components 2011-11-22 20:30:40, Info CSI 0000016b [sR] Beginning Verify and Repair transaction 2011-11-22 20:30:40, Info CSI 0000016c [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked 2011-11-22 20:30:42, Error CSI 0000016d (F) STATUS_ACCESS_DENIED #4027037# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowFileNotFound), handle = {provider=NULL, handle=0}, da = (FILE_GENERIC_READ), oa = @0xf9e72c->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[113]"\SystemRoot\WinSxS\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0xf9e6e4, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid) [gle=0xd0000022] 2011-11-22 20:30:42, Error CSI 0000016e@2011/11/22:19:30:42.400 (F) d:\longhorn\base\wcp\sil\merged\ntu\ntsystem.cpp(1849): Error STATUS_ACCESS_DENIED originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null) [gle=0x80004005] 2011-11-22 20:30:46, Error CSI 0000016f (F) STATUS_ACCESS_DENIED #4027036# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingFile(...)[gle=0xd0000022] 2011-11-22 20:30:46, Error CSI 00000170 (F) STATUS_ACCESS_DENIED #4027035# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingFile(flags = (MissingFileIsOk), da = (FILE_GENERIC_READ), oa = @0xf9e8d4->SIL_OBJECT_ATTRIBUTES {s:20; on:"dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = Invalid) [gle=0xd0000022] 2011-11-22 20:30:46, Error CSI 00000171 (F) STATUS_ACCESS_DENIED #4027000# from PrimitiveInstaller::CCoordinator::RepairComponent(Component = Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral)[gle=0xd0000022] 2011-11-22 20:32:16, Info CBS Scavenge: Package store indicates there is no component to scavenge, skipping. ------------------------------------------------------- Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 za nic jednak nie mogę dodać go do tego x86.......... (już w tym katalogu takowy siedzi; może nie ma potrzeby go 'nadpisywać' (??) Czy przestawiłeś uprawnienia katalogu x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f (czyli tymczasowo Właściciel zmieniony z TrustedInstaller na Twoje konto + Twoje konto dodane na listę z Pełną kontrolą)? A w związku z tym, że jest w SFC odczyt STATUS_ACCESS_DENIED (to nie jest normalne), spróbuj w GrantPerms wkleić to: C:\Windows\WinSxS\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys Po tym opcja Unlock. I spróbuj pliki zamienić moją kopią. . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Postęp jest... teraz wywala się przy 87% --------------------------------------------------------------- 2011-11-22 21:20:38, Info CSI 0000018e [sR] Verify complete 2011-11-22 21:20:38, Info CSI 0000018f [sR] Verifying 100 (0x00000064) components 2011-11-22 21:20:38, Info CSI 00000190 [sR] Beginning Verify and Repair transaction 2011-11-22 21:20:42, Info CSI 00000191 [sR] Cannot repair member file [l:14{7}]"afd.sys" of Microsoft-Windows-Winsock-Core, Version = 6.0.6002.18457, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked 2011-11-22 21:20:45, Error CSI 00000192 (F) STATUS_ACCESS_DENIED #3732703# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowFileNotFound), handle = {provider=NULL, handle=0}, da = (FILE_GENERIC_READ), oa = @0x145e35c->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[115]"\SystemRoot\WinSxS\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.18457_none_d99fb42e5bb59d9b\afd.sys"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0x145e314, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid) [gle=0xd0000022] 2011-11-22 21:20:45, Error CSI 00000193@2011/11/22:20:20:45.540 (F) d:\longhorn\base\wcp\sil\merged\ntu\ntsystem.cpp(1849): Error STATUS_ACCESS_DENIED originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null) [gle=0x80004005] 2011-11-22 21:20:54, Error CSI 00000194 (F) STATUS_ACCESS_DENIED #3732702# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingFile(...)[gle=0xd0000022] 2011-11-22 21:20:54, Error CSI 00000195 (F) STATUS_ACCESS_DENIED #3732701# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingFile(flags = (MissingFileIsOk), da = (FILE_GENERIC_READ), oa = @0x145e504->SIL_OBJECT_ATTRIBUTES {s:20; on:"afd.sys"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = Invalid) [gle=0xd0000022] 2011-11-22 21:20:54, Error CSI 00000196 (F) STATUS_ACCESS_DENIED #3732646# from PrimitiveInstaller::CCoordinator::RepairComponent(Component = Microsoft-Windows-Winsock-Core, Version = 6.0.6002.18457, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral)[gle=0xd0000022] --------------------------------------------------------------------------- Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Robimy powtórkę: 1. Na wszelki wypadek dosyłam zgodny z Twoim systemem plik afd.sys: KLIK. 2. W GrantPerms przepuszczaj: C:\Windows\system32\drivers\afd.sys C:\Windows\WinSxS\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.18457_none_d99fb42e5bb59d9b\afd.sys Przed operacją potwierdź, że istnieje ten pierwszy plik, w przeciwnym wypadku uzupełnij moją kopią i nie wklejaj tej ścieżki w GrantPerms. 3. Na koniec (o ile znów się nie zatnie SFC), stwórz ten log filtrowany do wystąpień znaczników [sR] i zaprezentuj, by było wiadome co w sumie zostało wykonane. PS. Nawiasem mówiąc, przy poprzednim pliku mówiłeś "Kazałem przeszukać dysk C... i nigdzie go nie ma", a potem wyszło "już w tym katalogu takowy siedzi". To jak Ty szukałeś plików? . Odnośnik do komentarza
marekj Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 OK. Plik w załączniku. Co do szukania... Moim pierwszym systemem był OS 7.5 na Macu. Z biegiem czasu nastąpiła zmiana na 10.7... Za Chiny bym nie wpadł, że trzeba gdzieś tam odhaczać żeby wyświetlało jakieś ukryte pliki, etc. Windows jest i będzie dla mnie czarną magią... Całe szczęście, że istnieją mocne umysły sfc.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2011 Zgłoś Udostępnij Opublikowano 23 Listopada 2011 W porządku, SFC wykonał to o co mi chodziło, czyli naprawił uszkodzenia po rootkicie: 2011-11-23 00:07:26, Info CSI 000001db [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-11-23 00:07:27, Info CSI 000001df [sR] Cannot repair member file [l:14{7}]"afd.sys" of Microsoft-Windows-Winsock-Core, Version = 6.0.6002.18457, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-11-23 00:07:27, Info CSI 000001e0 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup2011-11-23 00:07:27, Info CSI 000001e4 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup W sumie: były aż 4 naprawcze akcje w sterownikach (TDSSKiller leczył tdx.sys, ComboFix uzupełniał brakujący cdrom.sys, SFC z pomocą mojej ręki naprawił afd.sys i dfsc.sys). W związku z tym nasuwa się pytanie: czy system nadal startuje tylko w Trybie awaryjnym, czy może już jest zdolny przejść w Tryb normalny? Przechodzimy do zaległych operacji: 1. Usuwanie szczątków po rootkicie i wątpliwym programie STOPZilla oraz rekonfiguracja usługi Roxio (SessionLauncher) na wyłączoną (ta poszkodowana usługa to wyjątek i winą jest konstrukcja Roxio kierująca tę usługę do Temp). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\x\AppData\Local\3e3851e3 del "\\?\C:\Windows\System32\drivers\ " /C C:\Program Files\Common Files\iS3 C:\ProgramData\STOPzilla! :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SessionLauncher] "Start"=dword:00000004 :Commands [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany. 2. Operacje z de/reinstalacjami: ----> Reperacja uszkodzonych programów (których pozycje są na liście zainstalowanych, a są jawne braki w raportach wykazane). Aplikacji Lenovo szukaj na stronie producenta: KLIK. Możesz też skorzystać z widocznego tam diagnostyka Self Diagnostic Tool. Ogólnie do przeinstalowania są: Lenovo Hotkey (to pewnie należy do pozycji "On Screen Display" widocznej na liście zainstalowanych) SRV - File not found [Auto | Stopped] -- -- (FNF5SVC)SRV - File not found [Auto | Stopped] -- -- (TPHKSVC) ThinkVantage Access Connections SRV - File not found [Auto | Stopped] -- -- (AcPrfMgrSvc) Lenovo Rescue and Recovery SRV - File not found [Auto | Stopped] -- -- (TVT Scheduler)SRV - File not found [Auto | Stopped] -- -- (TVT Backup Service)SRV - File not found [Auto | Stopped] -- -- (TVT Backup Protection Service) Lenovo PM Driver SRV - File not found [Auto | Stopped] -- -- (PMSveH) Lenovo System Update SRV - File not found [Auto | Stopped] -- -- (SUService) Intel Wireless SRV - File not found [Auto | Stopped] -- -- (EvtEng)SRV - File not found [Auto | Stopped] -- -- (RegSrvc) Nokia PC Connectivity Solution SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer) TwonkyMedia SRV - File not found [Auto | Stopped] -- -- (TwonkyMedia) ----> Odinstaluj podejrzany reputacją SpyNoMore 2.98. 3. Po wykonaniu wszystkich operacji stwórz nowy log z OTL opcją Skanuj (Extras już nie potrzebuję po raz drugi). . Odnośnik do komentarza
marekj Opublikowano 23 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Niestety system uruchamia się nadal w trybie awaryjnym. Drugie niestety... narzędzia diagnostyczne Lenovo nie działają w tym trybie. Podany skrypt uruchomiłem. Niczego to nie zmienia :/ Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2011 Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Niestety system uruchamia się nadal w trybie awaryjnym. Ale co to właściwie oznacza? Co widzisz przy starcie systemu (błąd / BSOD / a może samoczynnie wchodzi bez pytania w awaryjny)? Na czym polega niemożność przejścia w normalny? Podany skrypt uruchomiłem. Niczego to nie zmienia :/ To nie ta sfera ingerencji. Skrypt tylko porządkował odpadki. . Odnośnik do komentarza
marekj Opublikowano 23 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Przy starcie praktycznie ciężko cokolwiek zobaczyć oprócz 'niebieskiego ekranu'... Po pięknym komunikacie "ZAPRASZAMY' pojawia się BlueScreen, którego fotkę widać niżej. Po kilku sekundach automatycznie się resetuje pokazując ekran wyboru trybu pracy. Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2011 Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Skopiuj na Pulpit folder C:\Windows\Minidump, do ZIP i prześlij do analizy. Odnośnik do komentarza
marekj Opublikowano 23 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2011 link Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2011 Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Wszystkie zrzuty pamięci należące do tego typu BSOD IRQL_NOT_LESS_OR_EQUAL (od 16 listopada do dziś) mają w stacku ten sam sterownik raspptp.sys. Trudno mi powiedzieć jaka może być przyczyna, ale skoro to się zaczęło podczas infekcji ZeroAccess, budzi to pewne podejrzenia naruszeń sterownika. Wstępnie podaj spis kopii systemowych tego pliku. Uruchom OTL, ustaw wszystkie opcje na Brak+Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej: /md5start raspptp.sys /md5stop Klik w Skanuj (a nie Wykonaj skrypt). Przedstaw log wynikowy. . Odnośnik do komentarza
marekj Opublikowano 23 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2011 OTL logfile created on: 2011-11-23 15:26:53 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\x\Desktop Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 7.0.6002.18005) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 1,96 Gb Total Physical Memory | 1,52 Gb Available Physical Memory | 77,53% Memory free 4,15 Gb Paging File | 3,87 Gb Available in Paging File | 93,23% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 137,82 Gb Total Space | 69,69 Gb Free Space | 50,57% Space Free | Partition Type: NTFS Drive Q: | 9,77 Gb Total Space | 3,73 Gb Free Space | 38,18% Space Free | Partition Type: NTFS Drive S: | 1,46 Gb Total Space | 0,65 Gb Free Space | 44,46% Space Free | Partition Type: NTFS Computer Name: X-PC | User Name: x | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < End of report > Uuups. Chyba zjadłem literkę.... Robię jeszcze raz :/ i doszły takie wpisy: < MD5 for: RASPPTP.SYS > [2008-01-21 03:34:44 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1 -- C:\Windows\System32\drivers\raspptp.sys [2008-01-21 03:34:44 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1 -- C:\Windows\winsxs\x86_microsoft-windows-rasbase-raspptp_31bf3856ad364e35_6.0.6001.18000_none_99ef1ed8e7d6dd1c\raspptp.sys Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2011 Zgłoś Udostępnij Opublikowano 23 Listopada 2011 Ten plik ma dobre parametry (przy założeniu, że OTL nie został oszukany). W związku z jego funkcją (relatywne do działań sieciowych), spróbuj przeładować urządzenia sieciowe. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych. Odinstaluj wszystko co związane z siecią (tu przy okazji pytanie czy widać tam jakieś wykrzykniki / pytajniki?) + restart komputera, przy restarcie powinna nastąpić przebudowa istotnych urządzeń. Odnośnik do komentarza
marekj Opublikowano 24 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2011 Odinstalowałem wszystko co się dało z "Karty sieciowe". Przed odinstalowaniem nie było żadnych wykrzykników / pytajników. Odinstalowałem sterownik DVD... Był wykrzyknik i komentarz, że sterownik może być uszkodzony. Po restarcie niestety komputer znowu się uruchomić daje w trybie awaryjnym. Po uruchomieniu wyszukał sobie urządzenia sieciowe i wgrał odpowiednie sterowniki. Z napędem DVD podobni. Już wykrzyknika nie ma. Jedyny wykrzyknik jaki widzę jest w "Sterowniki niezgodne z PnP" i jest to Security Processor Loader Driver Po restarcie znowu niebieski ekran ale już nie po komunikacie Zapraszamy. Pokazał się pulpit i system zaczął ładować jakieś programiki (?)... Na belce w prawym dolnym rogu zaczęły się pojawiać ikonki... Wiem, że nadgorliwość gorsza od faszyzmu ale pokusiłem się o uruchomienie OTL w konfiguracji jak do sprawdzenia poprzedniego sterownika raspptp.sys (oczywiście ze zmodyfikowanym skryptem - wstawiając spldr.sys). Sterownik jest w dwóch lokalizacjach... ich MD5 jest taki sam; tak samo rozmiar jak i data utworzenia) Nie wiem czy dobrze zrobiłem, ale zawsze to jakaś wskazówka... Odnośnik do komentarza
Rekomendowane odpowiedzi