Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Brak internetu, nie działający klient DNS oraz DHCP

kosa351

Przez kosa351
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

kosa351

kosa351

Opublikowano
Opublikowano

Witam,

w załączniku logi z OTL, GMERa podczepię jutro.

Komp mocno zasyfiony. Na początku zaczął pojawiać się BSOD, który powodował sterowniki do sstp wanminiport. Później infekcja - cdrom.sys. Jednak pozostało jeszcze trochę śmieci, które zapewne blokują sieć. Podczas połączenia pobierana jest adresacja z kosmosu, ręczne ustawienie też nie pomaga.

Uruchomienie ręczne usług Klienta DNS i DHCP kończy się fiaskiem błąd - 1075. Myślę, że tutaj jest gdzieś problem.

 

Pozdrawiam

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Posługujesz się mocno przestarzałym OTL, ten program musi być pobierany za każdym razem od początku. Od czasu wersji, którą dysponujesz, dużo zmian .... GMER tu był konieczny.

 

A problem poważny czyli rootkit ZeroAccess oznajmiany przez te wpisy:

 

SRV - [2008-01-19 08:33:32 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\bwsvc.dll -- (cpqrcmc)
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000031 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000032 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000033 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000034 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000035 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000036 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000037 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000038 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000039 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000040 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000041 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000042 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000043 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000044 -  File not found
 
[2012-02-21 16:16:35 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_trash_log.cmd

 

Wstępnie pobierz i uruchom ComboFix. Przedstaw wynikowy raport oraz zrobione już po ComboFix nowe logi z OTL + GMER + Farbar Service Scanner.

 

 

 

Uruchomienie ręczne usług Klienta DNS i DHCP kończy się fiaskiem błąd - 1075. Myślę, że tutaj jest gdzieś problem.

 

Rootkit ZeroAccess to odpowiedź (przekierowany Winsock, infekcje w sterownikach systemowych i inne mocne ingerencje, włącznie ze skutkami ubocznymi typu kasacje całych usług z rejestru). Tu nie będzie prosto ...

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jest niedobrze. ComboFix ruszył ZeroAccess, infekcja się jednak przerzuciła i aktualnie już jest zaprawiony sterownik i8042prt.sys. GMER również pokazuje dodatkową rzecz, czyli naruszenie pliku systemowego. Poza tym, skasowane pliki sieciowe oraz z rejestru cały układ Zapory systemu. Czyszczenie odbędzie się z poziomu środowiska zewnętrznego, tu też przekieruję komendę sfc /scannow w tryb "offline", w celu reperacji zainfekowanych plików systemowych.

 

1. Potrzebny dostęp do środowiska WinRE (płyta instalacyjna DVD Vista) + narzędzie FRST umieszczone na pendrive.

 

2. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim:

 

NETSVC: regmanserv
NETSVC: acmservice
NETSVC: cisvc
NETSVC: rsvchost
NETSVC: ASMMAP
NETSVC: dvd_2K
NETSVC: cpqrcmc
2 cpqrcmc; C:\Windows\System32\bwsvc.dll [5632 2008-01-19] (Oak Technology Inc.)
C:\Windows\System32\bwsvc.dll
C:\Windows\System32\dds_trash_log.cmd
Unlock: C:\Windows\$NtUninstallKB29254$
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB29254$
CMD: sfc /scannow /offbootdir=c:\  /offwindir=c:\windows

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. Zbootuj z DVD Vista do modułu "Napraw komputer" i w linii komend uruchom zgodnie z opisem narzędzie FRST. W FRST wybierz opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset i ponownie zresetuj system.

 

6. Do wykonania nowe logi: OTL + GMER. Dostarcz też Fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Komenda Winsock się nie wykonała, ponieważ rootkit jest czynny. Skrypt FRST nie przetworzył komendy sfc i sterownik nadal zainfekowany + braki. Spróbuj jeszcze raz z poziomu Windows uruchomić ComboFix, może dokończy sprawę i przerwie działanie rootkita na dobre. Po użyciu ComboFix od nowa logi z OTL + GMER. Jeżeli to się nie uda, ponowimy usuwanie z poziomu WinRE, ale w inny sposób.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

ComboFix jakoby zresetował Winsock, wyleczył i8042prt.sys oraz podstawił brakujące krytyczne sterowniki sieci:

 

Zainfekowana kopia c:\windows\system32\drivers\i8042prt.sys została znaleziona. Problem naprawiono 
Plik odzyskano z - The cat found it :) 
c:\windows\system32\drivers\afd.sys - brakowało pliku 
Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.22629_none_da4bc33774b91967\afd.sys
.
c:\windows\system32\drivers\netbt.sys - brakowało pliku 
Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6001.18000_none_6064c861f7442765\netbt.sys
.
c:\windows\system32\drivers\tdx.sys - brakowało pliku 
Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6001.18000_none_ea3dc84bdc15a8b7\tdx.sys

 

Jednakże, nie potrafił usunąć do końca katalogu ex-łącza (c:\windows\$NtUninstallKB29254$ . . . . nie udało się usunąć), oraz nadal jest coś nie tak z i8042prt.sys, wg GMER i OTL sterownik jest nadal zainfekowany.

 

1. Z poziomu Trybu awaryjnego Windows przeprowadź procedurę sfc /scannow, za pomocą kolejnej komendy stwórz log przefiltrowany do znaczników [sR]: KLIK.

 

2. Restart systemu. Do oceny: log z wynikami SFC oraz nowe logi z OTL +GMER.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Chyba dałeś mi poprzednio logi GMER+OTL nie korespondujące do sytuacji lub coś robiłeś z i8042prt.sys ręcznie. Otóż teraz już nie widać tego naruszenia, a SFC naprawiał zupełnie inne pliki poszkodowane przez rootkita:

 

2012-02-27 16:00:45, Info    CSI    000001e4 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup
2012-02-27 16:00:45, Info    CSI    000001e6 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store
2012-02-27 16:00:45, Info    CSI    000001e7 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"smb.sys" by copying from backup
2012-02-27 16:00:45, Info    CSI    000001e8 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"smb.sys" from store
2012-02-27 16:00:45, Info    CSI    000001e9 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup
2012-02-27 16:00:45, Info    CSI    000001eb [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store
2012-02-27 16:00:45, Info    CSI    000001ec [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup
2012-02-27 16:00:45, Info    CSI    000001ee [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:18{9}]"netbt.sys" from store
2012-02-27 16:00:45, Info    CSI    000001ef [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup
2012-02-27 16:00:45, Info    CSI    000001f0 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:16{8}]"dfsc.sys" from store

 

W bieżących logach nie widzę już znaków aktywności ZeroAccess. Przechodzimy dalej:

 

1. Usunięcie rozlinkowanego folderu-resztki (w ComboFix: c:\windows\$NtUninstallKB29254$ . . . . nie udało się usunąć). W GrantPerms wklej co poniżej i klik w Unlock.

 

C:\Windows\$NtUninstallKB29254$

 

Jeżeli akcja będzie pomyślna, sprawdź czy jesteś w stanie skasować przez SHIFT+DEL folder C:\Windows\$NtUninstallKB29254$.

 

2. Podaj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wg Farbar Service Scanner brak już jakichkolwiek naruszeń + jest połączenie z siecią. Potwierdź to. Sprawdź także czy działa Windows Update i nie ma innych widzialnych usterek. I czynności końcowe:

 

1. Usuń szczątki po wtyczce WebRep Avasta. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"wrc@avast.com"=-

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj ComboFix (co wyczyści także foldery Przywracania systemu). Klawisz z flagą Windows + R i wklej komendę:

 

"C:\Users\Admin\Desktop\Nowy folder\ComboFix.exe" /uninstall

 

Po tym możesz użyć Sprzątanie w OTL. Z katalogu C:\FRST skasuj całą kwarantannę. Na razie kopię rejestru sprzed działań FRST zostaw, bo nie mam jeszcze potwierdzenia czy wszystko działa i kopia owa może być materiałem porównawczym.

 

3. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jako zakończenie:

 

1. Prewencyjna wymiana haseł logowania w serwisach.

 

2. Aktualizacje oprogramowania: KLIK. Na liście zainstalowanych widoczne m.in.:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przenoszenie logów nie powinno mieć niż do rzeczy. ZeroAccess to nie jest infekcja "skacząca" po USB, nie wspominając już o tym, że bity są rozbieżne. W logach nie widać oznak infekcji, ale brakuje pliku HOSTS:

 

Hosts file not found

 

Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

 

Temat jako ukończony zamykam.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...