arekk Opublikowano 2 Września 2010 Zgłoś Udostępnij Opublikowano 2 Września 2010 Witam. Przestała działać karta WiFI, niby wszystko jest włączone, ale nie widzę żadnej sieci, nawet nie zestawie połączenie, PC-PC system twierdzi że karta jest wyłączona. Postanowiłem przeskanować system NOD32 i napotkałem na takie cuda. Logi NOD32 Postanowiłem przeskanować system, przeglądając na szybko zauważyłem kilka wpisów które mnie zaniepokoiły, ale chciał bym aby zobaczyła to ktoś inny. W załączniki logi z OTL, oraz z GMER dodatkowo screen z programu MBRCheck Screen Akcję jaką podjąłem to "N" nie chciałem niczego namieszać. Oraz Results of screen317's Security Check version 0.99.5 Windows Vista Service Pack 2 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: ESET Smart Security WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 21 Java 6 Update 4 Java 6 Update 5 Out of date Java installed! Adobe Flash Player 10.0.12.36 Adobe Reader 8 - Polish Adobe Reader 8.1.2 Security Update 1 (KB403742) Out of date Adobe Reader installed! Mozilla Firefox (3.6.8) ```````````````````````````````` Process Check: objlist.exe by Laurent Windows Defender MSASCui.exe Windows Defender MSASCui.exe ```````````````````````````````` DNS Vulnerability Check: Unknown. This method cannot test your vulnerability to DNS cache poisoning. (Wireless connection?) ``````````End of Log```````````` OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
Landuss Opublikowano 2 Września 2010 Zgłoś Udostępnij Opublikowano 2 Września 2010 W tym wypadku zacznij od zastosowania ComboFix i wklej wynikowy log. Odnośnik do komentarza
arekk Opublikowano 2 Września 2010 Autor Zgłoś Udostępnij Opublikowano 2 Września 2010 Jutro z samego rana zostaną, przedstawione wyniki. Dodam jeszcze że podczas ładowania Systemu Windows Vista, 32 Bity SP2, nie reaguje na klawisz F8. Więc nie jestem wstanie uruchomić PC w trybie awaryjnym. ---EDIT 03.09.2010 9:32--- ComboFix został uruchomiony, w załączniku logi. Dodam, że po tym zabiegu system przestał uruchamiać pliki TXT. Podając komunikat "Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został oznaczony do usunięcia" ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2010 Zgłoś Udostępnij Opublikowano 3 Września 2010 ComboFix mało tu zrobił. Według wykazu usunął kilka pliczków i tyle. 1. Otwórz Notatnik i wklej w nim: Driver:: scdsfzct hudpktmn Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. [Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach] 2. Pokaż wynikowy log z ComboFix. Dodaj także aktualną serię z OTL + GMER, wytworzoną post factum. Dodam, że po tym zabiegu system przestał uruchamiać pliki TXT.Podając komunikat "Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został oznaczony do usunięcia" Nie widzę skąd to mogło się wziąźć. Może TXT zostało przekojarzone z czymś dziwnym. Wstępnie spróbuj tego: uruchom Unassoc i wyszukaj na liście TXT. Jeśli będzie czynna opcja Remove file association (User), wykorzystaj ją, a następnie zresetuj komputer dla pełnego zatwierdzenia zmian w rejestrze. . Odnośnik do komentarza
snemelk Opublikowano 3 Września 2010 Zgłoś Udostępnij Opublikowano 3 Września 2010 ComboFix został uruchomiony, w załączniku logi. Dodam, że po tym zabiegu system przestał uruchamiać pliki TXT. Podając komunikat "Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został oznaczony do usunięcia" Nie widzę skąd to mogło się wziąźć. Może TXT zostało przekojarzone z czymś dziwnym. Wstępnie spróbuj tego: uruchom Unassoc i wyszukaj na liście TXT. Jeśli będzie czynna opcja Remove file association (User), wykorzystaj ją, a następnie zresetuj komputer dla pełnego zatwierdzenia zmian w rejestrze. Błąd ten znika w 99% przypadków po restarcie systemu... Źródło: nieznane... Odnośnik do komentarza
arekk Opublikowano 3 Września 2010 Autor Zgłoś Udostępnij Opublikowano 3 Września 2010 Więc tak. Po dokonaniu pierwszej podanej czynności, czyli stworzeniu pliku CFScript.txt i go uruchomieniu, wszystko wykonało się prawidłowo. Kiedy ComboFix ponownie uruchomił komputer, i wyświetlił loga, zapisałem go na dysk. Chcąc uruchomić dalsze narzędzie czyli OTL i GMER z prawami Administratora, dostaję taki sam komunikat jak przy próbie otwarcia plików txt. Uruchomiłem ponownie laptopa, i mogłem już otwierać pliki txt jak i uruchomić OTL i GMER. Praca OTL przebiegła prawidłowo. GMER przestał działać, komunikując to "Program bew6bp2v.exe" przestał działać. Zamknąłem program, i uruchomiłem ponownie, podczas skanowania niebieski ekran śmierci, zrzut błędu do pliku, i restart komputera. Uruchomiłem w trybie awaryjnym. Po czym dałem restart i uruchomiłem ponownie. 3 już próba uruchomienia, GMER ponownie przestał działać, pojawił się ten sam komunikat. Ponownie uruchomienie ComboFix używając podanego skryptu. Takie same błędy jak poprzednio z otwarciem txt oraz OTL, restart PC, 2 skan OTL, pobranie jeszcze raz GMER i uruchomienie, tak samo przestał działać, dodam że przy pierwszym skanowaniu nie pokazał, obecności rootkita, tak to to bywało za pierwszym i drugim razem. Przedstawiam skan z programy RootRepeal W załącznikach przedstawiam, dwa podejścia skanowania. 1_ComboFix - log z pierwszego użycia 1_OTL - log z pierwszego użycia 1_ Extras - log z pierwszego użyca GMER - nie skończył swojego działania 2_ComboFix - log z drugiego użycia programu 2_OTL - log z frugiego użycia programu 2_Extras log z drugiego użyca GMER - nie skończył swojego działania 1_ComboFix.txt 2_ComboFix.txt 1_OTL.Txt 2_OTL.Txt 1_Extras.Txt 2_Extras.Txt RootRepeal report 09-03-10 (15-54-42).txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2010 Zgłoś Udostępnij Opublikowano 3 Września 2010 arekk Ujawnił się plik na dysku po usłudze rootkita, te dwa są na kasację: [2010-03-01 22:56:22 | 000,741,376 | ---- | C] () -- C:\Windows\System32\drivers\scdsfzct.sys[2010-03-01 22:55:36 | 000,000,012 | ---- | C] () -- C:\Users\Marek\AppData\Roaming\rbuwzv.dat Usługa została zdjęta, toteż sprawdź czy ten plik można usunąć zwyczajnie ręcznie przez SHIFT+DEL. Jeśli nie, podam sposób przy wykorzystaniu któregoś z narzędzi skryptowych. Podsumuj także kondycję ogólną systemu, bo ja tu więcej nic nie widzę i chcę dostać zielone światło do kroków finalizujących. Ponownie uruchomienie ComboFix używając podanego skryptu. Wyraźnie jest napisane w ogłoszeniu: 3. Jeśli temat jest w toku, podane instrukcje mają być wykonywane 1:1: Wdrażamy procesy, których wystąpienia mają ściśle ustaloną kolejność i konsekwencje. Ta kolejność obowiązuje i nie wolno jej przestawiać. Jeżeli jeden z podanych punktów jest niejasny lub zachodzi zjawisko niemożności jego wykonania, STOP, proszę nie przechodzić do dalszych wytycznych, ani tym bardziej wznawiać nieudany punkt, tylko zgłosić się na forum i: przedstawić na czym polega problem + dodać nowy zestaw logów wykonanych po nieudanej próbie wykonania zadania. Jeżeli w instrukcjach dezynfekcyjnych figuruje skrypt wykonawczy, nie wolno go ponawiać, to skrypt jednorazowego użytku.(...) Nie wolno takich rzeczy robić jak bezmyślne ładowanie wielokrotne skryptu, który nie może się wykonać podwójnie. Takie same błędy jak poprzednio z otwarciem txt oraz OTL snemelk to wyjaśnił wyżej. To pochodna ComboFixa i błąd samoczynnie znika po zatoczeniu koła z resetem komputera. Nigdy tego błędu wcześniej nie widziałam u nikogo. snemelk Dzięki za informację! . Odnośnik do komentarza
arekk Opublikowano 3 Września 2010 Autor Zgłoś Udostępnij Opublikowano 3 Września 2010 ... Nie wolno takich rzeczy robić jak bezmyślne ładowanie wielokrotne skryptu, który nie może się wykonać podwójnie. ... Przepraszam moja wina. Czytałem regulamin oraz wszystkie ogłoszenia, na "śmierć" zapomniałem. Człowiek się uczy na błędach... Więc tak tego pliku nie mogę się doszukać w podanej lokalizacji drugi podany plik został usunięty. [2010-03-01 22:56:22 | 000,741,376 | ---- | C] () -- C:\Windows\System32\drivers\scdsfzct.sys Mimo że oto nie prosiłeś, po usunięciu pliku [2010-03-01 22:55:36 | 000,000,012 | ---- | C] () -- C:\Users\Marek\AppData\Roaming\rbuwzv.dat Jeszcze raz puściłem skan OTL + GAMER został uruchomimy, poprzez dwukrotne kliknięcie, przy uruchomieniu z prawami Administratora, skan się wysypywał. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 4 Września 2010 Zgłoś Udostępnij Opublikowano 4 Września 2010 Na podstawie raportów wygląda na to, że rootkit został pomyślnie usunięty. Nie widzę do niego żadnych odnośników w GMER, ani też owego powiązanego pliku na dysku. Nie podałeś informacji o ogólnej kondycji systemu, czy jest poprawa. 1. Sprzątanie po narzędziach: klawisz Windows + R i wpisz komendę C:\Users\Marek\Desktop\ComboFix.exe /uninstall. Ten proces usunie składniki ComboFix oraz zresetuje punkty Przywracania systemu. Możesz także usunąć wszystkie inne aplikacje, którymi się tu posługiwałeś. One i tak zawsze powinny być pobierane od nowa, co ma gwarantować posiadanie najnowszej wersji. 2. Dodatkowo przeczyść wszystkie lokalizacje tymczasowe, wykorzystując do tego program TFC - Temp Cleaner. 3. Sięgnij po alternatywną opinię skanera Malwarebytes' Anti-Malware. Jeśli coś zostanie wykryte, przedstaw raport do wglądu. 4. Odnosząc się do zastrzeżeń Security Check: UAC jest wyłączony, radzę przestawić, a tu jeszcze są dodatkowe materiały na ten temat: KLIK Geneza komunikatu z Java to przypuszczalnie wynik, że program prócz najnowszej Java widzi i kolekcję starszych. Mógłbyś sobie posprzątać przez JavaRa i zaaplikować tylko jedną najnowszą wersję. Do aktualizacji także Adobe Reader (instalowany z ominięciem sponsora McAfee). . Odnośnik do komentarza
arekk Opublikowano 4 Września 2010 Autor Zgłoś Udostępnij Opublikowano 4 Września 2010 (edytowane) 1. ComboFix został odinstalowany zgodnie z poleceniem 2. TMP został wyczyszczony podanym programem (Bardzo fajna aplikacja) 3. Skanowanie właśnie leci, ale z trochę starą baza ale o tym później 4. JavaRa została pobrana i uruchomiona. Też przydatna aplikacja. 5. Co do UAC jeszcze nie dokonałem czynności naprawczych czekam na zakończenie skanowania Malwarebytes' Anti-Malware Powracając do twojego pytania na temat kondycji systemu, oraz starej bazy. Pozostał problem nie działającej sieci WLAN, Vista nie wykrywa, żadnych sieci, zachowuje się tak jak by karta była wyłączona. Pomimo włączenia karty, poprzez przełącznik na panelu, oraz włączonego urządzenia w systemie. Co do innych rzeczy, zostanie przeprowadzona aktualizacja Oo oraz, odinstalowanie zbędnych aplikacji. Można jeszcze, przeskanować rejestr. Nie wybrałem jeszcze, aplikacji do tego. Możecie coś polecić? Przyczyną, takiego zachowania (nie działającej karty WiFI) mogła być infekcja w systemie. Jedynie co mi na teraz przychodzi do głowy to odinstalowanie karty, zrestartowanie komputera i poczekanie, aż zostanie wykryte nowa urządzanie, i system zainstaluje od nowa sterowniki. Daję to tylko 30% szans na powodzenie, po takiej infekcji. Jeśli nie to zostaje uruchomianie, instalacji Visty z partycji HP_RECOVERY i przeprowadzenie naprawy systemu. Chyba że macie jakieś inne propozycję. Na chwilę obecną dziękuje za pomoc. Zdobyłem trochę doświadczenia i cennej wiedzy, oraz dowiedziałem się o kilku przydatnych narzędziach. PS. Przeprowadzę jeszcze raz skanowanie, Malwarebytes' Anti-Malware, ale dopiero kiedy naprawię WiFi, i będę miał dostęp do internetu. PS2. Jeśli temat nie działającej karty WiFi nadaję się do innego działu proszę o przeniesienie. A ten wątek "chyba" można uznać za zamknięty, dziękuje za wszelką pomoc. --EDIT 04.09.10 22:23-- Sieć WiFI działa pomogło odinstalowanie i ponowna instalacja urządzenia. Dziękuje jeszcze raz za pomoc. Do przeczyszczenia rejestru użyję programu Erunt, polecony przez użytkownika Belfegor Miłej nocy. Temat do zamknięcia. TweakUAC został użyty, ochrona została pomyślnie aktywowana. Edytowane 14 Października 2011 przez picasso Widzę edycję, temat wygląda na rozwiązany, toteż zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi