Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z dostępem do sieci

kosa351

Przez kosa351
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

kosa351

kosa351

Opublikowano
Opublikowano

Witam,

dostałem mocno zainfekowanego laptopa. Standardowo na początku zainstalowałem i przeskanowałem NODem, Spybootem, Malwarebytes. Usunęło trochę syfu, następnie próbuje się dobić do internetu, ale jest problem. Otóż gdy listuje listę połączeń (załącznik) wyskakuje mi mnóstwo kart tunelowych. Jak widać na załączonym obrazku (mam wyłączoną kartę LAN i WiFi), w menedżerze urządzeń brak jakichkolwiek dodatkowych kart sieciowych, a ipconfig wywala mi jakieś 10 kart tunelowych. Myślę, że to one powodują ten problem. Jednak nie mogę ich nigdzie znaleźć, aby usunąć.

Problem z dostępem na kablu i wifi jest taki, że po połączeniu do sieci łączy się z nią, ale nie może wyjść na zewnątrz do internetu. Ponadto jest połączenie lokalne, ale pobiera jakiś adres sieciowy z kosmosu i np. do routera się już nie dostanę. Wpisanie na sztywno adresu IP, bramy, maski mojej sieci również nie skutkuje (niby jest połączony, ma adres bramy 192.168.1.1 czyli mojego routera, ale dostać się do niego nie mogę).

Wiem, że najprościej byłoby przeinstalować, ale jestem ciekaw jak rozwiązać ten problem.

System Vista Home Premium SP2 32bit

post-385-1281077907152_thumb.jpg

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Są tu ślady zatajonego stosowania ComboFix. Zaprezentuj co on w ogóle robił, o ile masz jeszcze log z jego poprzedniego uruchomienia....

 

2. W logach nie widzę znaków aktywnej infekcji i nie mam co usuwać pod tym kątem. Są tylko, bez znaczenia w aktualnej sytuacji, drobne śmietki w preferencjach Firefox od rozszerzenia Babylon. Nie warto się tym zajmować nie mając rozwiązanego problemu głównego. Dopiero jak dojdziemy do czegoś w obszarze głównym można się bawić w kosmetyki.

 

Problem z dostępem na kablu i wifi jest taki, że po połączeniu do sieci łączy się z nią, ale nie może wyjść na zewnątrz do internetu. Ponadto jest połączenie lokalne, ale pobiera jakiś adres sieciowy z kosmosu i np. do routera się już nie dostanę. Wpisanie na sztywno adresu IP, bramy, maski mojej sieci również nie skutkuje (niby jest połączony, ma adres bramy 192.168.1.1 czyli mojego routera, ale dostać się do niego nie mogę).

 

Pierwsze co mi się kojarzy po wyglądzie loga to wyrwany na chama Symantec, prawdziwa rzeźnia Norton Internet Security, który pozostawił masę usług. Symantec także posługuje się filtrami na kartach sieciowych, a przy braku pliku może to być krytyczne. Rozpocznij od:

 

1. Porządnego usunięcia Symantec przez Norton Removal Tool.

 

2. Reinstalacji stacku TCP/IP i resetu Winsock przez narzędzia Fix it z artykułów MS: KB299357 + KB811259.

 

Otóż gdy listuje listę połączeń (załącznik) wyskakuje mi mnóstwo kart tunelowych. Jak widać na załączonym obrazku (mam wyłączoną kartę LAN i WiFi), w menedżerze urządzeń brak jakichkolwiek dodatkowych kart sieciowych, a ipconfig wywala mi jakieś 10 kart tunelowych. Myślę, że to one powodują ten problem. Jednak nie mogę ich nigdzie znaleźć, aby usunąć.

 

To jest normalne zjawisko. Tu masz więcej informacji: KLIK. Te połączenia tunelowe są w Menedżerze urządzeń, tylko należy sobie z menu Widok przestawić na Pokaż ukryte urządzenia i one się ujawnią w gałęzi Kart sieciowych. Urządzenia te nawet mogą mieć wykrzykniki i jest to także normalne i wyjaśnione w artykule MS. Oto moja Vista i wyniki ipconfig /all + widok Menedżera urządzeń:

 

ipconfigtunel.th.gif devmgmttunel.th.gif

 

To nie stanowi tu clou problemu.

 

 

 

.

Odnośnik do komentarza
kosa351

kosa351

Opublikowano
  • Autor
Opublikowano

Jak zawsze strzał w dziesiątkę Picasso :) Norton Removal + dwie porady z MS pomogło. Sieć odzyskana.

Combofix był użyty przed dostarczeniem laptopa. Znajomy jak to argumentował - "w internecie napisali, że jest to dobry program więc go wypróbowałem, ale nic nie dało".

 

Teraz jeszcze jakieś porady, co do wyczyszczenia?

 

W załączniku info z combo.

ComboFix.txt

Add-Remove Programs.txt

ComboFix-quarantined-files.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To teraz przedstaw nowy set logów z OTL, by było widać różnice przed i po akcji ożywiającej.

 

Combofix był użyty przed dostarczeniem laptopa. Znajomy jak to argumentował - "w internecie napisali, że jest to dobry program więc go wypróbowałem, ale nic nie dało".

 

I ComboFix okazał się bezużyteczny. Nic w zasadzie nie zrobił, nic kluczowego, bo usuwanie jednego pliku TMP oraz pustych wpisów to można wykonać byle czym, włączając w to rękę. Postrasz go, by się więcej nie brał za takie mocarne rzeczy. Inna sprawa, jak to się stało, że Norton został w taki sposób "wyeliminowany" z systemu, czy tu był jakiś błąd deinstalacji, czy użytkownik myślał, że wolno to robić na żywca.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Jak mówiłam, pierdułki do usunięcia. Zamknij przeglądarki internetowe. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ASUS\ASUS Live Update\SYS64\lvupdtio.sys -- (lvupdtio)
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
[2010-08-06 13:46:27 | 000,001,196 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\4izlsh4b.default\searchplugins\winamp-search.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Otrzymany log wynikowy z usuwania pokaż. I kończymy z OTL. Wywołaj w nim opcję Sprzątanie.

 

2. Drobnostki programowe: odinstaluj pozycję Winamp Toolbar for Firefox. Zaktualizuj przeglądarki Opera + Internet Explorer: INSTRUKCJE. Nie jest mi tu znana wersja ESET, czy on jest dostatecznie świeży? Poza tym w nagłówku ComboFix, gdzie był pobrany status z WMI, figuruje następujący wykaz sugerujący, że Windows Defender nie jest aktualizowany:

 

SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

 

3. Na koniec sprowadź do postaci świeżej katalogi Przywracania systemu poprzez ich wyczyszczenie: INSTRUKCJE.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...