anubis Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Witam Spacjalistów ! Dostałem laptopa do "zrobienia". Zainstalowany Windows 7 Professional SP1 32 Bit OEM. Objawy: Ani karta LAN ani bezprzewodowa nie potrafi połączyć się z żadną siecią czy to Wifi czy po Lan. Na kartach pakiety wychodzą (odebrane / wysłane) ale nic nie przychodzi... W usługach Klient DHCP nie daje się włączyć, pojawia się komunikat: "System Windows nie może uruchomić usługi Klient DHCP na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się." Komputer Acer Aspire 5520. W systemie nie działała też zapora systemowa, zwracała błędy przy uruchomieniu w panelu sterowania ale uporałem się z tym za pomocą tematu: http://www.fixitpc.p...ystemu-windows/ Pozostaje nadal problem z połączeniami internetowymi, Bardzo proszę o pomoc. Wklejam logi z OLT i Faber. ps. http://forum.dobrepr...wa-t464663.html tego też próbowałem. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Był w systemie rootkit ZeroAccess i brak sieci oraz Zapory systemowej to jego konsekwencje. W usługach Klient DHCP nie daje się włączyć, pojawia się komunikat:"System Windows nie może uruchomić usługi Klient DHCP na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się." Sieci nie ma, bo został wyłączony i naruszony (brak pliku) ważny sieciowy sterownik AFD (nadrzędna zależność dla usług typu DHCP): DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\afd.sys -- (AFD) Zapewne był zainfekowany przez ZeroAccess i coś go usunęło niestety. 1. Odbuduj usługę AFD. Uzupełnij plik za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Przedstaw log. Następnie włącz usługę AFD. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "Start"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Po restarcie sieć powinna wrócić do normy. 2. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 3. Doczyść szczątki infekcji i wpisy puste. Instrukcje w spoilerze. 1. Usunięcie linka symbolicznego rootkit: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\$NtUninstallKB18911$] -> Error: Cannot create file handle -> Unknown point type Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB18911$ Klik w Unlock. Następnie Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę: fsutil reparsepoint delete C:\Windows\$NtUninstallKB18911$ Jeśli komenda prawidłowo się wykona, możesz w bezpieczny sposób dokasować przez SHIFT+DEL już rozlinkowany folder C:\Windows\$NtUninstallKB18911$. 2. Usunięcie reszty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- c:\windows\system32\config\systemprofile\appdata\roaming\adobe\sp.dll -- (SPService) SRV - File not found [Disabled | Stopped] -- C:\Windows\TEMP\sjqwaf\setup.exe run -- (AMService) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [explorer] C:\Windows\BackUp\explorer.exe File not found O4 - HKLM..\Run: [TaskTray] File not found [2012-10-27 22:34:30 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_trash_log.cmd [2012-03-31 10:31:50 | 000,000,112 | ---- | C] () -- C:\ProgramData\1fDE886P2.dat :Commands [emptytemp] Klik w Wykonaj skrypt. W systemie nie działała też zapora systemowa, zwracała błędy przy uruchomieniu w panelu sterowania ale uporałem się z tymza pomocą tematu Pokaż raport z Farbar Service Scanner, bo wcale go nie załączyłeś. . Odnośnik do komentarza
anubis Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Bardzo dziękuję za pomoc. Zrobiłem wszystko po kolei. Udało mi się uruchomić usługę usługę Klient DHCP ale po małych problemach, miałem komunikat że hasło jest nie zgodnę czy coś takiego, w opcjach procesu "Logowanie" zaznaczyłem "To konto" a następnie wpisałem tam Usługa lokalna a hasło dałem administratora i ruszyło. Na razie nadal nie mam sieci, niby dhcp działa ale nie odbiera karta sieciowa pakietów i mam ograniczoną łączność. Wklejam logi z OLT i FSS. ps. przy odbudowywaniu usług AFD miałem w podsumowaniu że nie wszystko zostało odzyskane. FSS.txt OTL.Txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Podałeś nieprawidłowy log z SFC. Doczepiłeś cały CBS.LOG, a miałeś zrobić komendą findstr specjalny log filtrowany do wystąpień znaczników [sR]. Zrobiłam do za Ciebie i podstawiłam prawidłowy log w poście powyżej. 1. Wyniki SFC opowiadają, że te sterowniki zostały naprawione po ingerencji ZeroAccess: 2012-11-21 21:26:08, Info CSI 000001d1 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"csc.sys" by copying from backup2012-11-21 21:26:08, Info CSI 000001d2 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"csc.sys" from store2012-11-21 21:26:09, Info CSI 000001d3 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup2012-11-21 21:26:09, Info CSI 000001d4 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store Jest jednak jeden plik nie naprawiony (ieapfltr.dat filtra antyphishingowego Internet Explorer): 2012-11-21 21:25:11, Info CSI 000001ce [sR] Cannot repair member file [l:24{12}]"ieapfltr.dat" of Microsoft-Windows-IE-AntiPhishFilter, Version = 9.4.8112.16421, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-11-21 21:25:11, Info CSI 000001cf [sR] This component was referenced by [l:220{110}]"Microsoft-Windows-InternetExplorer-VistaPlus-Update~31bf3856ad364e35~x86~~9.4.8112.16421.Internet-Explorer-x86"2012-11-21 21:26:08, Info CSI 000001d0 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"ieapfltr.dat"; source file in store is also corrupted Na razie to zostawiam, nie wydaje mi się istotne. 2. Wprawdzie zdjąłeś link symboliczny ZeroAccess, ale wcale nie skasowałeś folderu docelowego C:\Windows\$NtUninstallKB18911$. Po przemianie linka w folder teraz log pokazuje: ========== ZeroAccess Check ========== [2012-10-27 23:54:30 | 000,002,048 | ---- | M] () -- C:\Windows\$NtUninstallKB18911$\989754145\@[2012-10-27 23:54:30 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB18911$\989754145\L[2012-10-27 23:54:28 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB18911$\989754145\U 3. Nie wszystkie usługi zostały odbudowane po ingerencji ZeroAccess. Farbar Service Scanner notuje całkowity brak Centrum zabezpieczeń i Windows Defender. Zastosuj automat ServicesRepair i zrób nowy log z Farbar Service Scanner. Na razie nadal nie mam sieci, niby dhcp działa ale nie odbiera karta sieciowa pakietów i mam ograniczoną łączność. ZeroAccess był, to jeszcze sprawdź kompletny reset Winsock. KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. . Odnośnik do komentarza
anubis Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Na chwilę obecną po krokach jakie wykonałem mam "Połączono" z moją siecią ale internetu nie ma, trwa cały czas identyfikowanie z komunikatem "brak dostępu do internetu". Zamieszczam logi z OLT i FSS poniżej. Z tego co widzę, po mimo że jest "połączono" nadal karta nie dostaje z rutera adresu IP chodź pakiety idą już w obie strony a usługa dhcp jest aktywna, na ruterze widzę laptop ale nie wyświetla się jego nazwa (puste pole). OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Usługi zrekonstruowane, folder rootkit skasowany. Na chwilę obecną po krokach jakie wykonałem mam "Połączono" z moją siecią ale internetu nie ma, trwa cały czas identyfikowanie z komunikatem "brak dostępu do internetu". Wykonaj jeszcze te klasyczne operacje (w wielu przypadkach na forum rozwiązywało to sprawę uszkodzeń po ZeroAccess): 1. Reset ustawień sieciowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh int ip reset c:\resetlog.txt i zresetuj system. 2. Przeinstalowanie urządzeń sieciowych. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > odinstaluj składniki sieciowe i zresetuj system. . Odnośnik do komentarza
anubis Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Na chwilę obecną nic to nie dało, log nie został utworzony chodź robiłem to kilka razy, karty sieciowe odinstalowałem, po restarcie są instalowane ponownie. Po połączeniu z siecią Wifi mam to samo. Będę jeszcze próbować. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się