Skocz do zawartości

Błąd Zapory systemu Windows 7 - kod błędu 0x8007042c


Rekomendowane odpowiedzi

Witam,

Mam nadzieje ze w dobrym miejscu zamieszczam swoj post? ( jestem nowym forumowiczem ), a jezeli nie to prosze administratora o przeniesienie go do odpowiedniego dzialu.

 

Moj problem jak w tytule zwiazany jest z problemem uruchomienia zapory, a kod bledu: 0x8007042c

 

Czytalem juz inne watki na tym forum z tym zwiazane i mimo analogicznych prob rozwiazania mojego problemu niestety nie udalo mi sie go pozbyc.

 

( https://www.fixitpc.pl/topic/9056-prawdopodobnie-skutki-inwazji-zeroaccess/page__k__bb2fe024f8a71424996db6d9af08c1fc__setlanguage__1__langurlbits__topic/9056-prawdopodobnie-skutki-inwazji-accesszero/__langid__10 )

 

Wykonalem wszystkie te czynnosci o jakich byla mowa w wymienionym watku, ale niestety... Prosze o pomoc jezeli ma ktos jeszcze jakis inny pomysl na rozwiazanie mojego problemu.

 

Poczatkowo komunikat nosil nazwe bledu ''0x80070424" po czym zmienil sie na "0x8007042c".

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat zostanie przeniesiony do działu pomocy doraźnej. System jest zainfekowany trojanem ZeroAccess w najnowszej wersji, jest też ślad starszej wersji tej infekcji w postaci linku symbolicznego oraz śmieci sponsoringowe. Także jest co robić i najpierw zaczniemy od ZeroAccess.

 

Wykonaj jeszcze jeden log dodatkowy - Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza

Ok, wrzucam SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:51 on 30/06/2012 by Jaroslaw Zeglen

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [23:11 29/06/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\system64\services.exe --a---- 328704 bytes [23:19 13/07/2009] [23:11 29/06/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\SysWOW64\services.exe --a---- 328704 bytes [23:00 29/06/2012] [23:00 29/06/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

Odnośnik do komentarza

1. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\%APPDATA%

 

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O4:64bit: - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [] File not found

O4 - HKCU..\Run: [] File not found

O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found

 

:Files

C:\Windows\SysNative\%APPDATA%

C:\Windows\Installer\{b13c78bc-e0ba-df82-bd64-d67d36d6586b}

C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 /C

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Prezentujesz nowy log ze skanowania OTL (bez ekstras) oraz log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza

Pomyliłem ścieżkę z tym %APPDATA% i się nie usunęło, więc to poprawisz i przejdziesz dalej.

 

1. do GrantPerms wklej:

 

C:\Windows\SysWow64\%APPDATA%

 

Klik w Unlock

 

2. Do OTL wklej ten skrypt:

 

:Files

C:\Windows\SysWow64\%APPDATA%

C:\Windows\system64

 

3. Jeszcze raz odbudujesz skasowane usługi Zapory. Robiłeś to wcześniej przy aktywnej infekcji więc to nie mogło się udać.

  • Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

4. Do wglądu nowy log z OTL i z FSS

Odnośnik do komentarza

graffstudio, proszę korzystaj z opcji Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Posty sklejam. A temat oczywiście migruje do działu wiruchów.

 

 

ale niestety problem nadal istnieje:-(

 

Z pewnością coś nie zostało wykonane do końca. Jedno z dwóch:

- Po pełnej odbudowie usług nie zresetowałeś systemu.

- Ograniczyłeś rekonstrukcję usług tylko do importu plików REG. Czy na pewno wykonałeś pełny zrzut uprawnień w SetACL usług BFE + MpsSvc + SharedAccess?

 

 

.

Odnośnik do komentarza

Cóż nie przychodzi mi nic innego do głowy jak po prostu wszystko od początku wykonać. A więc importy do rejestru i naprawa przez SetACL BFE + MpsSvc + SharedAccess. Nie chce mi się wierzyć, że mimo poprawnego (jak sugerujesz) wykonania nadal masz błąd. Jeśli wszystko przebiegłoby tak jak trzeba nie ma prawa być tego problemu.

Odnośnik do komentarza

Wczoraj troche siedzialem jeszcze nad tym wykonujac po kolei wszystko od nowa - po wpisaniu do OTL tego skryptu:

 

:Files

C:\Windows\SysWow64\%APPDATA%

C:\Windows\system64

 

OTL wyrzucal mi takie info:

 

File\Folder C:\Windows\SysWow64\%APPDATA% not found.

File\Folder C:\Windows\system64 not found.

 

Dodatkowo wklejam swiezo zrobiony skan z OTL

Odnośnik do komentarza

graffstudio, ale jedyne co miałeś powtarzać to KLIK, ten skrypt do OTL jest już nieważny (! zadanie wykonane), jak również log z OTL zbędny (usuwam).

 

Zgodnie z odczytem z Farbar Service Scanner w rejestrze już są usługi BFE+MpsSvc, ale są zatrzymane. Zapora (MpsSvc) nie startuje, bo nie startuje również jej zależność, czyli usługa Podstawowy aparat filtrowania (BFE). Ten objaw sugeruje, że być może są naruszone uprawnienia BFE i coś jednak niedokładnie odbudowałeś. W services.msc dwukliknij na usługę Podstawowy aparat filtrowania i podaj jaki błąd zwraca próba jej uruchomienia.

 

 

PS. Apropos pisałeś > pisałam.

 

 

 

.

Odnośnik do komentarza

Tak jak podejrzewałam = uprawnienia. Kieruję Cię ponownie do tego: KLIK. Czyli operacja z SetACL i nakładaniem uprawnień na BFE + MpsSvc + SharedAccess. W związku z tym, że już to jakoby robiłeś poproszę o przeklejenie z okna cmd wyników przetwarzania skryptu SetACL dla każdej z wymienionych usług, w celu weryfikacji że prowadzisz operację poprawnie i nie ma żadnych błędów.

 

 

Odnośnik do komentarza

Sprawa rozwiązana, przejdźmy do dalszej fazy czyszczącej:

 

1. Coś mi się tu nie zgadza z plikiem services.exe. Jest w OTL jako odświeżony:

 

[2012-06-30 00:11:32 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe

 

W SystemLook zaś głupoty, pliki 32-bit i 64-bit pokazane z tą samą sumą kontrolną (co jest nieprawidłowe):

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [23:11 29/06/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\SysWOW64\services.exe --a---- 328704 bytes [23:00 29/06/2012] [23:00 29/06/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

 

Wygląda na to, że ktoś omyłkowo przekopiował plik 64-bitowy do katalogu 32-bitowego SysWOW64. Skasuj plik C:\Windows\SysWOW64\services.exe, w oryginale nie ma takowego.

 

2. Przez Panel sterowania odinstaluj adware: Incredibar Toolbar on IE, NCH EN Toolbar, QuickStores-Toolbar 1.1.0, uTorrentBar Toolbar, Web Assistant 2.0.0.430. Powtórz deinstalacje w menedżerze dodatków Firefox.

 

3. Otwórz Google Chrome. W menedżerze rozszerzeń odinstaluj Web Assistant. Następnie wejdź do zarządzania wyszukiwarkami. Aktualnie jest ustawiony śmieć:

 

========== Chrome  ==========

 

CHR - default_search_provider: Search Results (Enabled)

CHR - default_search_provider: search_url = "http://dts.search-results.com/sr?src=crb&appid=394&systemid=406&sr=0&q={searchTerms}"

CHR - default_search_provider: suggest_url =

 

Przestaw domyślną wyszukiwarkę na cokolwiek innego (np. Google), następnie usuń z listy "Search Results".

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb143/?search={searchTerms}&loc=IB_DS&a=6PQwQFFrBp&i=26"
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=394&systemid=406&sr=0&q="
[2012-06-21 18:22:47 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
[2012-06-21 18:22:47 | 000,002,519 | ---- | M] () -- C:\Users\Jaroslaw Zeglen\AppData\Roaming\Mozilla\Firefox\Profiles\62dzxv7i.default\searchplugins\Search_Results.xml
[2012-05-09 10:54:31 | 000,002,203 | ---- | M] () -- C:\Users\Jaroslaw Zeglen\AppData\Roaming\Mozilla\Firefox\Profiles\62dzxv7i.default\searchplugins\MyStart Search.xml
[2012-05-31 10:06:07 | 000,003,915 | ---- | M] () -- C:\Users\Jaroslaw Zeglen\AppData\Roaming\Mozilla\Firefox\Profiles\62dzxv7i.default\searchplugins\sweetim.xml
[2012-06-29 13:25:26 | 000,172,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\temp.000
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Znajoma sekwencja: restart systemu i log z wynikami.

 

5. Zastosuj AdwCleaner z opcji Delete. Z tego powstanie na dysku C log.

 

6. Wykonaj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania pozyskane w punktach 4+5.

 

 

 

.

Odnośnik do komentarza

Podałeś mi duplikat logów z OTL (nadwyżkę obcinam). Chodziło mi w punkcie 4 o log z usuwania a nie skanowania, czyli log tworzony automatycznie przy wykonywaniu skryptu. Jeśli nie otworzył się samodzielnie, jest w katalogu C:\_OTL. Niemniej możemy sobie go podarować, gdyż log ze skanowania OTL pokazuje, iż wszystko musiało się wykonać.

 

1. Jeszcze drobne poprawki na poziomie rejestru po adware. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{37483B40-C254-4A72-BDA4-22EE90182C1E}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{37483b40-c254-4a72-bda4-22ee90182c1e}"=-
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz Scal

 

2. Porządki po narzędziach: w AdwCleaner użyj opcję Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine. Resztę używanych też oczywiście możesz usunąć.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie znalezione. MBAM może wykryć KMService (to ... ehkm ... "cukierek" do Office), i to będzie do zignorowania.

 

 

Wykonałem wiec wszystkie czynności o których pisał

 

Nieśmiało się przypominam, że nie jestem facetem. :P

 

 

.

Odnośnik do komentarza

Hmmm... przepraszam ze nie zauważyłem, zwłaszcza ze już poprzednio zwracałaś mi uwagę ;-) Chyba bylem zbytnio przejęty stanem swojego komputerka, a poza tym chyba jakoś stereotypowo potraktowałem Ciebie jako mężczyznę ;) Zadko kiedy można porozmawiać o takich sprawach na forach z kobietami .. tym bardziej jestem pod ogromnym wrażeniem i raz jeszcze wyrażę swój szacunek dla Twojej wiedzy :thumbsup:

 

Poniżej przedstawię wyniki skanowania, chyba coś więcej wykrył Anti-Malware niż przypuszczałaś ;)

mbam-log-2012-07-03 (17-55-09).txt

Odnośnik do komentarza
chyba coś więcej wykrył Anti-Malware niż przypuszczałaś

 

Dla klarowności: tu nie było przypuszczeń tego rodzaju, KMService jest po prostu widziany w logach z OTL i było pewne, że to zostanie wykryte. Zaznaczyłam to, by ten konkretny wynik nie był brany pod uwagę. Skanowanie w MBAM było prowadzone właśnie pod kątem rzeczy utajonych, których logi z OTL nie są w stanie pokazać.

 

1. Wracając do wyników, to liczą się tylko te dwa:

 

Wykrytych kluczy rejestru: 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Nie wykonano akcji.

 

Wykryte wpisy rejestru systemowego: 4

HKCR\.exe| (Hijacked.exeFile) -> Złe: (B7E85) Dobre: (exefile) -> Nie wykonano akcji.

 

Usuń za pomocą programu, resztę zignoruj. Ponów czyszczenie folderów Przywracania systemu.

 

2. Wykonaj weryfikację / aktualizację podstawowych aplikacji: KLIK. Tu porównawczo wyciąg z Twojej listy zainstalowanych o które mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

 

========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome ----> wg głównego OTL wersja 16.0.912.77

 

3. Prewencyjna wymiana haseł logowania w serwisach.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...