Brak Wi-fi, nie działa antywirus i zapora Windows XP

[davoj]

proszę o pomoc, mój laptop asus nie łączy się aktywnie z siecią, połączenie wi fi pokazuje że jest podłączone tylko wysyła dane a nie odbiera więc nie mogę otwierać stron www w przeglądarkach, opcja napraw połączenie internetowe nie działa, ponowne wgranie płyty routera nie działa, mam program antywirusowy avast- działają osłony poza osłoną stron www, nie idzie uruchomić zapory systemu windows. czy da się coś z tym zrobić? list napisany z innego kompa,

wyjściowo był trojan rootkit acces zero

czy od razu instalować cały system na nowo z dysku instalacyjnego ze wstępnym formatowaniem dysku C

dziękuję

podpowiadam że jestem laikiem ale szybko się uczę

ComboFix.txt

TDSSKiller.2.6.21.0_26.11.2011_15.20.40_log.txt

[izaw]

Trochę bujasz z tym uczeniem się. Spróbuj przeczytać przyklejony temat o wymaganych logach.

[picasso]

davoj nie przeczytałeś zasad działu: KLIK. Obowiązkowe w tym dziale logi to OTL + GMER, a nie żadne ComboFix i TDSSKiller. ComboFix to nie jest narzędzie domowego użytku i nigdy się go nie uruchamia bez wstępnego sprawdzenia systemu (!): KLIK.

 

Użyłeś je, bo czuję, że najwyraźniej się wzorowałeś na innych tematach z infekcją ZeroAccess (która niewątpliwie tu była), skąd jednakże wiesz, że taka kombinacja zostałaby tu użyta? To jakie narzędzia są używane do usuwania tej infekcji wynika z tego co pokazują logi wstępne. Ponadto, to nie jest log z ComboFix z pierwszego uruchomienia, tylko drugiego, nie pokazuje wcale co narzędzie robiło. Na teraz proszę pokazać: log z ComboFix z pierwszego uruchomienia (z C:\Qoobox wyciągnij ComboFix2.txt) + logi z OTL (włącznie z Extras) i GMER.

 

 

 

.

[davoj]

czy umieściłem w tych plikach jakieś niebezpieczne dla mnie dane? poza tym chyba usunąłem combofix.exe za pierwszym razem i do drugiego skanowania użyłem nowego. chyba się ze wszystkim rozpędziłem, mój duży błąd, czekam na raport gmer. dziękuję za szybkie odpowiedzi

[picasso]

czy umieściłem w tych plikach jakieś niebezpieczne dla mnie dane?

 

Nie. Skąd taki pomysł?

 

 

poza tym chyba usunąłem combofix.exe za pierwszym razem i do drugiego skanowania użyłem nowego

 

To nie usuwa wszystkich składników ComboFix i to jest nieprawidłowa metoda usuwania tej aplikacji. Jeśli skasowałeś tylko ComboFix.exe, to nadal na dysku jest to o czym mówię i log z pierwszego uruchomienia dostępny (muszę go zobaczyć, by wiedzieć co było usuwane od infekcji ZeroAccess).

 

 

 

.

[davoj]

usunąłem przez uruchom combofix /uninstall

[picasso]

To, że log z pierwszego usuwania jest na dysku, pokazuje właśnie tu dostarczony log z ComboFix (jak rozumiem to już właśnie faza "do drugiego skanowania użyłem nowego"). Wejdź do Qoobox i sprawdź dokładnie to co mówię.

[davoj]

tylko nie ma na C: czegoś takiego jak Qoobox. gdzie tego szukać?

[picasso]

Log mówi:

 

Czas ukończenia: 2011-11-26  15:47:46
ComboFix-quarantined-files.txt  2011-11-26 14:47
ComboFix2.txt  2011-11-25 17:54

 

Ale skoro nie widzisz na C katalogu Qoobox, to musiałeś go usunąć już po uruchomieniu ComboFix, które podało log. Niestety nie dowiem się co narzędzie robiło, jakie komponenty tej infekcji były faktycznie usuwane i gdzie mogły powstać szkody (tak, mogły, jeśli narzędzie wykryło jako zainfekowane określone programy i nie mogło znaleźć ich kopii). Twoja samowola ma negatywne efekty dla analizy problemu.

 

W takim razie dostarcz logi z OTL + GMER.

 

 

 

.

[davoj]

gmer cały czas chodzi, a ja idę na imprezę andrzejkową o 19, jutro wrócę do tematu

mam pytanie czy nie prościej jest zainstalować system od nowa z formatem dysku C?

dziękuję za pomoc, nie byłem świadomy możliwości programu

[picasso]

mam pytanie czy nie prościej jest zainstalować system od nowa z formatem dysku C?

 

Skoro się kręcisz wokół tego, to po co uruchamiałeś ComboFix? Zmierzam do tego, że albo robimy tu sprawdzanie systemu, albo puszczasz lagę.

 

Na temat usterki: infekcja ZeroAccess na 100% tu była, a skoro nie ma sieci (w konsekwencji nie działa nic co jej używa, w tym Avast), to zapewne jest naruszony jeden ze sterowników systemowych. Do diagnostyki potrzebuję precyzyjne dane (m.in. też OTL Extras = Dziennik zdarzeń), by namierzyć usterkę po tej infekcji. Czyli raporty z wymienionych programów.

 

 

 

.

[davoj]

Logi:

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

I mamy przyczynę braku sieci. Została skasowana usługa sterownika IPSEC z rejestru, o czym prawi Dziennik zdarzeń:

 

Error - 2011-11-26 12:43:36 | Computer Name = POKÓJ | Source = Service Control Manager | ID = 7003
Description = Usługa Sterownik protokołu TCP/IP zależy od następującej nieistniejącej usługi: IPSec.

 

Ponadto, ten sterownik klawiatur nie ma sygnatury:

 

DRV - [2008-11-03 15:03:28 | 000,013,880 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kbfiltr.sys -- (kbfiltr)

 

 

 

1. Rekonstrukcja usługi IPSEC. OtwÓrz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000005
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,70,00,73,00,65,00,63,00,2e,\
  00,73,00,79,00,73,00,00,00
"DisplayName"="IPSEC driver"
"Group"="PNP_TDI"
"Description"="IPSEC driver"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\Enum]
"0"="Root\\LEGACY_IPSEC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system. Sieć zacznie działać, przy założeniu, że na dysku nadal jest plik C:\Windows\system32\drivers\ipsec.sys i jest to plik niezainfekowany.

 

2. Poprawka na szczątki widoczne w logach (odpadki po infekcji + adware oraz wpisy puste). OtwÓrz OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Documents and Settings\dav\Ustawienia lokalne\Dane aplikacji\fb22e160
C:\Documents and Settings\dav\Dane aplikacji\Mozilla\Firefox\Profiles\xr5tvu9t.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
C:\Documents and Settings\dav\Dane aplikacji\Mozilla\Firefox\Profiles\xr5tvu9t.default\searchplugins\SearchResults.xml
C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://www.searchqu.com//web?src=ffb&appid=0&systemid=411&sr=0&q="
SRV - File not found [Auto | Stopped] --  -- (Secunia Update Agent)
SRV - File not found [On_Demand | Stopped] --  -- (fsssvc)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-919308857-2327625805-4068666003-1005\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Reg Error: Value error. File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Windows Search.lnk =  File not found
O9 - Extra Button: Wpis w blogu - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : &Wpis w blogu w Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Value error. File not found
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Value error. File not found
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Value error. File not found
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Value error. File not found
[2011-09-08 18:11:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\dav\Dane aplikacji\Windows Desktop Search
[2011-11-12 12:46:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\dav\Dane aplikacji\Windows Live Writer
[2011-09-08 18:30:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\dav\Dane aplikacji\Windows Search
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Dostarcz nowe materiały do oceny: log z wynikami usuwania pozyskany w punkcie 2 + nowy log z OTL (bez Extras), ale zrobiony na dostosowanym warunku, tzn. w sekcji Własne opcje skanowania / skrypt wklej:

 

dir /s /a "C:\Documents and Settings\All Users\Dane aplikacji\Plugins" /C

/md5start
kbfiltr.sys
/md5stop

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

.

[davoj]

logu z wynikami usuwania nie chce się tu wkleić

mam komunikat

nie masz uprawnień do wysyłania tego typu plików

OTL.Txt

[picasso]

logu z wynikami usuwania nie chce się tu wkleić

mam komunikat

nie masz uprawnień do wysyłania tego typu plików

 

W zasadach działu jest wyraźnie napisane, że Załączniki przyjmują tylko rozszerzenie *.TXT. A to plik *.LOG. Wystarczy zmienić nazwę. Dołącz ten log pro forma.

 

 

Nic się nie wypowiadasz na temat ożywienia sieci. Widzę, że w między czasie pozbyłeś się Avasta - powód? Zaś ten sterownik kbfiltr.sys ma dobrą sumę kontrolną i nie będę go ruszać. ostatnie poprawki na wpisy martwe:

 

1. Drobny skrypt kosmetyzujący, uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8064.0206: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKU\S-1-5-21-1084857120-3191613147-2597069689-1005\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O8 - Extra context menu item: Wyślij do interfejsu Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm File not found
O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm File not found

 

Klik w Wykonaj skrypt.

 

2. Tym razem przedstaw tylko log z wynikami przetwarzania skryptu.

 

 

.

[davoj]

sieć wi fi działa OK

nie ma avasta bo restart zrobiłem z przycisku F9 po włączeniu kompa i pojawiły się ustawienia fabryczne. czy znów coś spartaczyłem?

 

wyniki usuwania.txt

 

natomiast jeśli chodzi, że odinstalowano avasta przed przystąpieniem do tutejszej dyskusji- to moje celowe postępowanie- myślałem że ponowna instalacja i będzie działał

 

11272011_140056.txt

 

bardzo, bardzo dziękuję za pomoc. pozdr.

[picasso]

Dokończmy:

 

1. Uruchom Sprzątanie w OTL, co zlikwiduje z dysku OTL wraz z jego katalogiem.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

4. Zainstaluj oprogramowanie antywirusowe, czyli niech Avast wróci na miejsce.

 

5. W związku z użyciem fabrycznych ustawień uległo przetasowaniu zainstalowane software i nie mogę brać dostarczonego tu OTL Extras za odnośnik. W każdym razie masz zadbać, by oprogramowanie było zainstalowane w najnowszej z dostępnych wersji: INSTRUKCJE.

 

 

 

.

[davoj]

po skonfigurowaniu i wgraniu użytecznych programów pojawił się komunikat brak pliku w C:windows/system32 taskkill.ekse, przeniosłem ten plik z kopii zapasowej z cd i wszystko działa oki. czy jest w tym jakieś zagrożenie z mojego działania?

pozdrawiam

jeszcze raz dziękuję za pomoc

[picasso]

Plik taskkill.exe to konsolowa aplikacja do manipulacji na procesach. Nie wiem z jakiego powodu plik zniknął, ale to naprawiłeś.

 

Temat rozwiązany. Zamykam.

 

 

.