wojtron Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Witam. Mam wirusa złapanego prawdopodobnie przez pobranie pliku z dość popularnej strony (blackdtools - boty do pewnej smiesznej gry hehe). Pierwsze co zauważyłem, to komunikat od ISP w przeglądarce o zablokowaniu przez nich moich portow poczty z powodu infekcji wirusem spamujacym. To byla dla mnie informacja ze cos jest nie tak. Po chwili zauważyłem, że wyniki w google przekierowywane są na stronę abnow.com, system nie chce się wyłączyć (napis zamykanie systemu windows trwa nieskonczoność), uszkodzona jest nawet klawiatura ekranowa (nie działa jak powinna) celem przejęcia haseł. Co zrobiłem : Zainstalowałem Comodo Internet Security bo miałem instalke na dysku, przeskanowałem cały system. Wywalilem wszystkie znalezione rzeczy ktore wykazal antywirus. (comodo log 1 skan, oryginalnie plik jest w formacie html, zmienilem na txt) Infekcja dalej nie znikla, sprawdzilem polaczenia i moja uwage zwrocily dziwne polaczenia bo wszystkie na te same porty (22292 i inne) z procesow explorer.exe oraz z "procesu" [system] widzianego przez comodo firewalla. Recznie usunąłem 2 klucze autostartu których dodanie wykrył Comodo (comodo log2 def, oryginalnie plik jest w formacie html, zmieniłem na txt) Z moich obserwacji wirus podmienia dane sterownikow sieciowych/dns. Wydaje mi się też, że możliwe jest że nawiązuje połączenia rownież przez svchost.exe, w skanowaniu Comodo wykryl troche malware w javie, wiekszosc w danych aplikacji. Usunąłem Daemon Tools i użyłem SPTDinst. Wyłączyłem Comodo IS Wykonałem skan OTL według instrukcji z forum. Przy próbie uruchomienia GMERa po chwili skanowania poczatkowego wyskakuje BSOD o treści MACHINE_CHECK_EXCEPTION STOP: 0x0000009C (0x00000004, 0x8054D5F0, 0xB2000000, 0x00070F0F) Dodatkowo spróbowałem uruchomic program Security Check. Po etapie preparing wyskoczył error netsh.exe - Nie znaleziono punktu wejścia Nie znaleziono punktu wejścia procedury MigrateWinsockConfiguration w bibliotece MSWSOCK.dll. Po czym wygenerował raport: Results of screen317's Security Check version 0.99.32 Windows XP Service Pack 2 x86 Out of date service pack!! Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! COMODO Internet Security ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Driver Cleaner 3 Java™ 6 Update 23 Java version out of date! Adobe Flash Player 11.2.202.228 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (11.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Comodo Firewall cmdagent.exe Comodo Firewall cfp.exe ``````````End of Log```````````` Mam nadzieję, że uda sie naprawic DNS, sterowniki sieciowe (o ile sa uszkodzone jak przypuszczam), systemowe pliki, klawiaturę ekranową i resztę wyrządzoną przez ten wirus. comodo log1 skan.txt comodo log2 def.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Dodatkowo spróbowałem uruchomic program Security Check. Po etapie preparing wyskoczył error netsh.exe - Nie znaleziono punktu wejścia Nie znaleziono punktu wejścia procedury MigrateWinsockConfiguration w bibliotece MSWSOCK.dll. Błąd jest wynikiem aktywnego rootkita. Aktualnie jest załadowany moduł rootkit i występuje przekierowanie Winsock, dlatego też nie jest możliwe wywołanie żadnych poleceń netsh kręcących się w tym obszarze. ========== Modules (No Company Name) ========== MOD - [2008-06-20 19:42:21 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dllMOD - [2004-08-04 14:00:00 | 002,953,216 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\xpsp2res.dllMOD - [2004-08-04 14:00:00 | 000,406,528 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\USP10.dllMOD - [2004-08-04 14:00:00 | 000,119,808 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\NTMARTA.DLLMOD - [2004-08-04 14:00:00 | 000,064,000 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\SAMLIB.dllMOD - [2004-08-04 14:00:00 | 000,033,280 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\kmddsp.tspMOD - [2004-08-04 14:00:00 | 000,022,016 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\LPK.DLLMOD - [2004-08-04 14:00:00 | 000,016,896 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\fltlib.dllMOD - [2004-08-04 14:00:00 | 000,014,336 | ---- | M] () -- \\.\globalroot\SystemRoot\system32\svchost.exe O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000024 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000025 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000026 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000027 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000028 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000029 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000030 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000031 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000032 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000033 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000034 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000035 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000036 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000037 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000038 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000039 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000040 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000041 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000042 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000043 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000044 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000045 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000046 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000047 - mswsock.dll File not found Przy próbie uruchomienia GMERa po chwili skanowania poczatkowego wyskakuje BSOD o treściMACHINE_CHECK_EXCEPTION STOP: 0x0000009C (0x00000004, 0x8054D5F0, 0xB2000000, 0x00070F0F) Jest tu wymagany skan rootkit precyzyjnie pokazujący składniki ZeroAccess. Czy jest możliwe uruchomienie GMER z poziomu Trybu awaryjnego Windows? Zamiennie zrób skan za pomocą Kaspersky TDSSKiller. Nie podejmuj w narzędziu żadnych akcji, wszystkim wynikom przyznaj Skip i tylko raport zaprezentuj. . Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Dzięki za szybką odpowiedź. Po wyłączeniu komputera i przejsciu w tryb awaryjny, uruchomieniu z jego poziomu GMERa komputer zawiesił się szybciej niz z normalnego trybu Windowsa. Co dużo gorsze po wyłączeniu i ponownym uruchomieniu bios zwalnia/zawiesza się na "Detecting IDE drives ..." (Phoenix - AwardBios v6.00 PG). Mam nadzieje, że uda mi się odzyskać dane z dysku... #edit W sumie to bios od samego poczatku ładowania się chodzi niesamowicie mozolnie. Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 O ile nie ma tu złożenia przyczyn także sprzętowych, wykonaj raport z poziomu płyty startowej OTLPE. Płyta ta pozwoli także swobodnie operować na danych i je przenieść w bezpieczne miejsce. Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 W jakiej aplikacji mam wykonać raport z poziomu OTLPE? Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Przecież opis jest jednoznaczny, pokazuje uruchamianie narzędzia OTL zintegrowanego na płycie. Jako że narzędzie zostanie uruchomione z poziomu środowiska zewnętrznego, sekcja sterowników w skanie może wykazać który jest naruszony przez rootkita, a jeśli to nie będzie jawne, zadam skan dostosowany. Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Świeże skaniki. OTL.txt Extras.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Rootkit naruszył sterownik afd.sys: DRV - [2008/08/14 05:51:43 | 000,138,368 | ---- | M] () [Kernel | System] -- C:\WINDOWS\System32\drivers\afd.sys -- (AFD) Pierwsze podejście czyszczące z poziomu OTLPE: 1. Przesyłam plik afd.sys w wersji XP SP2: KLIK. W OTLPE wejdź do "My computer" i moją kopią pliku zamień: C:\WINDOWS\System32\drivers\afd.sys C:\WINDOWS\System32\dllcache\afd.sys 2. W OTL w oknie Custom Scans/Fixes wklej: :OTL SRV - [2004/08/04 08:00:00 | 000,005,120 | ---- | M] (Iomega) [Auto] -- C:\WINDOWS\system32\WDM_YAMAHAAC97.dll -- (oracleoradb10g_home1isql*plus) SRV - File not found [Disabled] -- -- (TunngleService) SRV - File not found [Disabled] -- -- (OMSI download service) SRV - File not found [Disabled] -- -- (Nero BackItUp Scheduler 3) SRV - File not found [Disabled] -- -- (mysql) SRV - File not found [Auto] -- -- (houdinilicenseserver) SRV - File not found [Disabled] -- -- (freenet_2) SRV - File not found [Disabled] -- -- (freenet) SRV - File not found [Disabled] -- -- (DiskMonitor) SRV - File not found [Auto] -- -- (DirMngr) SRV - File not found [Disabled] -- -- (Apache2.2) DRV - File not found [Kernel | On_Demand] -- -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand] -- -- (RadProbe) DRV - File not found [Kernel | On_Demand] -- -- (NLNdisPT) DRV - File not found [Kernel | On_Demand] -- -- (NLNdisMP) DRV - File not found [Kernel | On_Demand] -- -- (LLRING0) DRV - File not found [Kernel | On_Demand] -- -- (EagleXNt) DRV - File not found [Kernel | On_Demand] -- -- (EagleNT) O3 - HKU\wojtron_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] File not found O20 - HKU\wojtron_ON_C Winlogon: Shell - (C:\Documents and Settings\wojtron\Ustawienia lokalne\Dane aplikacji\2ef1754b\X) - File not found [2012/04/02 18:51:47 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\wojtron\Ustawienia lokalne\Dane aplikacji\2ef1754b [2012/04/03 13:16:51 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_log_ad13.cmd [2010/09/17 17:59:05 | 000,021,504 | ---- | C] () -- C:\WINDOWS\startup4.exe :Commands [emptytemp] Klik w Run Fix. Z tego działania powstanie log na dysku. 3. Sprawdź czy jesteś w stanie uruchomić Windows. Jeśli tak, wykonaj kolejne punkty 4 + 5: 4. Zresetuj Winsock, Start > Uruchom > cmd i wpisz komendę netsh winsock reset. 5. Wykonaj nowy log z OTL na warunku dostosowanym, w oknie Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj. netsvcs C:\Windows\*. /RP /s Dorzuć także logi z TDSSKiller (przypominam o Skip) + Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Jest poprawa, da się uruchomić system i nie ma tych dziwnych połączeń (już nie widać ich w firewallu) z tym ze internet nie działa (jeszcze resa nie robiłem już robie powiem zaraz jak jest) #edit Po restarcie systemu dalej nie działa net, ale wiem ze już normalnie się zamyka system. OTL.txt Extras.Txt 04032012_232829.txt tdss.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 To ciekawe, usuwałam pewne wpisy rejestru w skrypcie OTL i oznaczone jako "deleted successfully", a one nadal są widzialne w nowym skanie OTL tak jakby wszystko zostało odwrócone. Prócz szczątków, mamy jeszcze do usunięcia łącze symboliczne rootkita: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========[C:\Windows\$NtUninstallKB42053$] -> Error: Cannot create file handle -> Unknown point type Po restarcie systemu dalej nie działa net, ale wiem ze już normalnie się zamyka system. Wg Farbar Service Scanner połączenie jest: Connection Status:==============Localhost is accessible.LAN connected.Google IP is accessible.Yahoo IP is accessible. Przeładowaniem stosu TCP/IP zajmę się po wykonaniu poniższych czynności. 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB42053$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB42053$ /C C:\Windows\$NtUninstallKB42053$ :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\WDM_YAMAHAAC97.dll -- (oracleoradb10g_home1isql*plus) SRV - File not found [Disabled | Stopped] -- D:\SE PC Suite\SupServ.exe -- (OMSI download service) SRV - File not found [Disabled | Stopped] -- D:\TFS 8.4\xampp\mysql\bin\mysqld-nt -- (mysql) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PciBus.dll -- (houdinilicenseserver) SRV - File not found [Disabled | Stopped] -- D:\Freenet\bin\wrapper-windows-x86-32.exe -- (freenet_2) SRV - File not found [Disabled | Stopped] -- D:\Freenet\bin\wrapper-windows-x86-32.exe -- (freenet) SRV - File not found [Disabled | Stopped] -- C:\repair\smart diskmonitor\diskmntr.exe -- (DiskMonitor) SRV - File not found [Disabled | Stopped] -- D:\TFS 8.4\xampp\apache\bin\apache.exe -- (Apache2.2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RadProbe.sys -- (RadProbe) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\InfinityMU\MuGuard\llck.sys -- (LLRING0) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\wojtron\USTAWI~1\Temp\catchme.sys -- (catchme) NetSvcs: oracleoradb10g_home1isql*plus - %systemroot%\system32\WDM_YAMAHAAC97.dll File not found NetSvcs: houdinilicenseserver - %systemroot%\system32\PciBus.dll File not found O20 - HKU\S-1-5-21-1757981266-2146144695-839522115-1004 Winlogon: Shell - (C:\Documents and Settings\wojtron\Ustawienia lokalne\Dane aplikacji\2ef1754b\X) - File not found O3 - HKU\S-1-5-21-1757981266-2146144695-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found Klik w Wykonaj skrypt. 3. Odinstaluj adware YouTube Downloader Toolbar v4.5. 4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) oraz AdwCleaner z opcji Search. . Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Po wykonaniu skryptu OTL zauwazylem, ze nie poszlo to usuwanie raczej(chyba ze mam kolejny raz uruchomic ponownie) wiec zgodnie z regulaminem porzuciłem dalszą instrukcje (nie robiłem kolejnego skanu OTL). AdwCleanerR1.txt wykonany skrypt otl.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 OTL wykonał 99% (nie sugeruj się zwrotami "not found", bo to ma inną przyczynę), rozlinkował łącze symboliczne przemieniając je w zwyczajny katalog i usunął prawie wszystkie składniki, za wyjątkiem głównego folderu ex-łącza (Folder move failed. C:\Windows\$NtUninstallKB42053$ scheduled to be moved on reboot.). Co z nim zrobić, powiem jak dostanę komplet danych. Log z OTL z opcji Skanuj nadal aktualny. Odnośnik do komentarza
wojtron Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Skan OTL najnowszy. otl.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Ponów akcję z GrantPerms wklejając to co poprzednio i klik w Unlock. Po tym spróbuj przez SHIFT+DEL ręcznie usunąć z dysku katalog C:\Windows\$NtUninstallKB42053$. 3. To na pewno log po deinstalacji adware YouTube Downloader Toolbar? Ciągle widzę wpisy Spigot, zbyt kompletne jak na deinstalację. Deinstalację należy przeprowadzić. Gdy to zrobisz, zastosuj w AdwCleaner opcję Delete, wykończy resztki po tym śmieciu. 4. Wykonaj reinstalację TCP/IP wg tej metody: KLIK. . Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 (edytowane) Kontynuuję jutro bo dzisiaj wysiadam, dzięki za dotychczasową pomoc. #edit Jednak nie dałem za wygraną i pomyślnie wykonałem wszystkie podpunkty z wyjątkiem ostatniego polecenia z instrukcji odnawiania TCP/IP. Podczas dodawania TCP/IP do połączenia wyskakuje błąd o treści: Połączenia sieciowe Nie można dodać żądanego składnika. Wystąpił błąd: Wystąpił błąd rozszerzony. Edytowane 4 Kwietnia 2012 przez wojtron Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Podczas dodawania TCP/IP do połączenia wyskakuje błąd o treści: Połączenia sieciowe Nie można dodać żądanego składnika. Wystąpił błąd: Wystąpił błąd rozszerzony. Cytowany błąd może się zdarzyć przy tej procedurze, oznacza on niezgodność z bazą zabezpieczeń. Baza musi zostać zaktualizowana: Start > Uruchom > cmd i wpisz komendę weryfikacji: esentutl /g c:\windows\security\Database\secedit.sdb Gdy zostanie zwrócony komunikat o przestarzałej bazie, wykorzystaj komendę odzyskiwania: esentutl /r c:\windows\security\Database\secedit.sdb Ponów pierwszą komendę, gdy komunikat będzie równy "Integrity check successful", wróć do operacji instalacji protokołu TCP/IP. Jeśli nie, kolejna komenda naprawcza: esentutl /p c:\windows\security\Database\secedit.sdb Ponów pierwszą komendę, gdy komunikat będzie równy "Integrity check successful", wróć do operacji instalacji protokołu TCP/IP. . Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Bylem zmuszony użyć obu komend naprawczych po czym udało mi się zainstalować protokół TCP/IP do połączenia. Problem jednak nie ustąpił. Dalej nie da się połączyć z zewnętrznymi adresami. O dziwo działa połączenie z routerem, mogę wejść do jego panelu, odpowiada ping routera i laptopa na którym piszę na waszym forum i wszystko działa, jest on połączony z tym samym routerem co komputer na którym są problemy więc to chyba nie wina routera. Dodatkowo zainteresowała mnie rozbieżność danych po wpisaniu polecenia ipconfig na obu urządzeniach (laptopie z działającym internetem i stacjonarnym na którym to są problemy). Wrzucam w załączniku logi z polecen ipconfig. ipconfig z laptopa.txt ipconfig ze stacjonarnego.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Wykonaj deinstalację wszystkich interfejsów sieciowych. Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych. Odinstaluj wszystko co związane z siecią oraz urządzenia z oznaczeniem wykrzyknika (o ile takie są). Zresetuj system. Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Pamiętam jak podmieniałem plik afd.sys. Teraz widnieje on na liscie sterowników niezgodnych z Plug and Play. #edit Nie dało się odinstalować żadnego z ukazanych na poniższym obrazku. Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 On tam jest i będzie, każdy XP tym dysponuje. To jest sterownik niezgodny z Plug and Play. Obrazek dwa: odinstaluj wszystkie pozycje w Kartach sieciowych, niektórych zapewne nie będzie się dało, ale przeprowadź tyle ile możliwe. EDIT: Jak mówiłam: "niektórych zapewne nie będzie się dało" (są pewne uprawnienia w rejestrze temu zapobiegające). Zresetuj system i sprawdź co się dzieje. Poza tym, jeszcze dokładnie się upewnij, że nie bruździ COMODO Internet Security, mógł zostać poddany niepożądanemu działaniu rootkita ZeroAccess i w konsekwencji szwankuje. . Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Już w poprzednim poście ukazałem listę po usunięciu wszystkich które było możliwe urządzeń sieciowych (obrazek 3). Comodo ma przez cały czas wyłączone wszystkie ochrony włącza się wyłącznie jego "panel sterujący", wywaliłem go teraz dodatkowo z autostartu. Bez zmian, dalej internet nie działa, ubyło tylko kilka połączeń np loopback i hamachi z Połączeń sieciowych. Zastanawia mnie cały czas dlaczego w ipconfig w połączeniu wskazuje dwa adresy ip z czego jeden jest poprawny a w drugim zamiast wartości jest pytajnik, w laptopie gdzie wszystko działa i ipconfig tego drugiego ip nie wyświetla. : Karta Ethernet NEt: Sufiks DNS konkretnego połączenia : Opis . . . . . . . . . . . . . . : Karta Realtek RTL8139 Family PCI Fast Ethernet NIC Adres fizyczny. . . . . . . . . . : 00-30-4F-27-98-59 DHCP włączone . . . . . . . . . . : Tak Autokonfiguracja włączona . . . . : Tak Adres IP. . . . . . . . . . . . . : 192.168.1.100 Maska podsieci. . . . . . . . . . : 255.255.255.0 Adres IP. . . . . . . . . . . . . : ? Brama domyślna. . . . . . . . . . : 192.168.1.1 Serwer DHCP . . . . . . . . . . . : 192.168.1.1 Serwery DNS . . . . . . . . . . . : 192.168.1.1 Dzierżawa uzyskana. . . . . . . . : 4 kwietnia 2012 15:13:18 Dzierżawa wygasa. . . . . . . . . : 19 stycznia 2038 05:14:07 Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Jest możliwe, że będzie wymagana reinstalacja Windows. Nie zawsze da się naprawić sieć po ingerencji ZeroAccess, jest to bardzo paskudny rootkit, który tworzy silne modyfikacje stosu. Comodo ma przez cały czas wyłączone wszystkie ochrony włącza się wyłącznie jego "panel sterujący", wywaliłem go teraz dodatkowo z autostartu. Ale to za mało. Sterowniki COMODO to clou i tego sobie tak po prostu nie wyłączysz. 1. Deinstalacja COMODO do przeprowadzenia. Po deinstalacji wykonaj jeszcze: 2. Deinstalację protokołu IPv6. Start > Uruchom > cmd i wpisz komendę ipv6 uninstall. 3. Reset ustawień sieciowych. Otwórz Notatnik i wklej: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh firewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom plik i zresetuj system Jeśli to nie pomoże, sugeruję od razu robić reinstalację systemu. . Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Dalej nie działa, ale tak łatwo się nie poddam. Jakieś sugestie? Na laptopie mam dokładnie ten sam system, mogę podmienić wszystkie uszkodzone sterowniki sieciowe, jakieś dllki itd. Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Na laptopie mam dokładnie ten sam system, mogę podmienić wszystkie uszkodzone sterowniki sieciowe, jakieś dllki itd. Sterowniki i DLL to ja też posiadam (w końcu wysyłałam plik afd.sys, czyż nie), nie przesyłam żadnych z wyraźnych przyczyn: przeprowadzona diagnostyka (popatrz m.in. w log z Farbar Service Scanner) + wykonane akcje. Zdaj sobie sprawę co tu za operacja została wykonana, reinstalowałeś cały protokół TCP/IP metodą inwazyjną kategorii ostatecznej, gdy nie działają procedury wewnętrzne Windows, która przeładowuje brutalnie ustawienia, usługi i pliki sterowników. Po tym metodą naprawy jest już tylko reperacja nakładkowa / reinstalacja Windows. Są na forum takie przypadki, gdzie tak się kończy infekcja ZeroAccess. Ostatecznie jeszcze podaj pełne Dzienniki zdarzeń do wglądu, czy nie ma jakiegoś rzucającego się w oczy błędu, ale wątpię, by coś z tego wyszło. Start > Uruchom > eventvwr.msc, z prawokliku na gałęzie SYSTEM + Aplikacji zapisz je do nowych plików EVT, pliki zapakuj do ZIP, wyślij na jakiś hosting i podaj link. Poza tym (komentarz był przeznaczony na koniec po usunięciu infekcji, ale może czas i o tym wspomnieć), system jest w fatalnym stanie aktualizacji, status SP2 to nie w dzisiejszych czasach. Jedno wielkie sito, kompletny brak wsparcia dla krytycznych łat. Instalacja SP3 jest obowiązkowa: KLIK. Ta instalacja nadpisze wszystkie pliki sieciowe. I gdy tu nie będzie żadnych wyników, problemem nie są pliki na dysku tylko inny obszar. . Odnośnik do komentarza
wojtron Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Zdaję sobie sprawę z przestarzalności SP 2 ale dotychczas nie miałem żadnych najmniejszych problemów od lat w związku z tym. Wiem jaką tu operacje wykonałem w związku z TCP/IP, ale zdaję sobie sprawę, że dane wykorzystane do naprawy w owym procesie także mogły zostać uszkodzone. Wcale nie odrzucam np. naprawy metodą nakładkową, bo od dawna mam poustawiany system dokładnie tak jak mi odpowiada i nie chcę od nowa kompletować wszystkiego bo jest to praktycznie niemożliwe. I tak nie mam wiele do stracenia w związku z systemem, jeżeli stoję w obliczu reinstalacji systemu, czyż nie? Ściągam SP3 co zajmie jeszcze około godziny, narazie wrzucam dziennik zdarzeń (uznałem że na google docs będzie najwygodniej sciągnąć) Klik Odnośnik do komentarza
Rekomendowane odpowiedzi