Brak internetu i zapory

[onufree]

Witam,

 

Na moim laptopie z windows XP utraciłem dostęp do internetu (zarówno przez wifi jak i kabel).

 

Pojawiają mi się komunikaty o braku sterowników karty sieciowej. Ponowna instalacja sterowników nic nie dała.

 

Problem pojawił się z dnia na dzień. Jedyną przyczyną, która przychodzi mi do głowy to aktualizacja avasta, która z jakiś powodów nie została ukończona dzień wcześniej. W tej chwili avast wyświetla mi komunikat braku uruchomionej zapory.

 

Chcąc uruchomić zaporę z panelu sterowania pojamia mi się komunikat, że skojarzona usługa nie jest uruchomiona.

 

Przygotowałem logi net-log i OTL (w załączniku).

Proszę o informację jeśli potrzebne będą dodatkowe dane.

 

Proszę o pomoc.

 

Pozdrawiam

net-log.txt

OTL.Txt

Extras.Txt

[muzyk75]

Wykonaj i zalącz logi z FRST ( zaznacz Addition ) i załącz oba logi do posta. Zobacz tu: https://www.fixitpc.pl/forum-38/announcement-3-ważne-zakładanie-tematu-obowiązkowe-logi/

 

Napisz dokładnie w czym problem. Poprzedni opis pochodzi z listopada ubiegłego roku.

[onufree]

Załączam logi zgodnie z prośbą.

Od czasu założenia tematu nic się nie zmieniło. Nie podejmowałem też żadnych działań.

Po prostu z dnia na dzień straciłem dostęp do internetu.

Narzędzie Intel do rozwiązywania problemów z siecią bezprzewodową podaje komunikat o braku sterownika karty sieci bezprzewodowej.

Podejmowałem próby ponownego zainstalowania sterowników ale nic to nie dało.

"Po kablu" też nie mogę połączyć się z internetem.

Oczywiście problem występuje tylko na tym laptopie.

FRST.txt

Addition.txt

[muzyk75]

Masz zainstalowany przestarzały Ad-Aware SE Personal (Version: 1.06), HijackThis 1.99.1- odinstalui poprzez Panel Sterowania-->Dodaj / usuń programy.

 

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 24-11-2013 (ATTENTION: ====> FRST version is 43 days old and could be outdated)

Wersja FRST jest przestarzała i nie adresuje wszystkiego. Pobierz najnowszy FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ i wykonaj logi tak jak napisałem wcześniej.

[onufree]

Usunąłem Ad-Aware SE Personal ale w liście programów nie mam HijackThis (pewnie kiedyś go usuwałem).

Podczas skanowania systemu przez FRST kilka razy wyskoczył mi komunikat o braku MSVCP70.dll

Addition.txt

FRST.txt

[muzyk75]

Akcje dodatkowe:

 

 

 

Panel Sterowania-->Dodaj / usuń programy - odinstaluj: Ask Toolbar, LiveVDO plugin 1.3, HijackThis 1.99.1 ( cały czas jest na liście zainstalowanych programów ), stare Javy: Java 6 Update 3 (Version: 1.6.0.30, Java 6 Update 31, Java 6 Update 7

 

Otwórz notatnik i wklej:

 

HKU\Gość\...\Run: [internet Security Manager] - C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe

MountPoints2: {0f6bdf46-aca6-11e2-8208-0017c4161d42} - F:\Install_Nokia_Ovi_Suite.exe

MountPoints2: {669a5f7b-2083-11e0-bfe9-0017c4161d42} - rfg.exe

MountPoints2: {699af72c-b02b-11df-bf56-0017c4161d42} - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe

MountPoints2: {8afd6ded-22ce-11e3-825d-0017c4161d42} - F:\AutoRun.exe

MountPoints2: {8f6334c9-ce01-11e2-8217-0017c4161d42} - F:\InstallTomTomHOME.exe

MountPoints2: {94d2812f-21a0-11e2-818f-0017c4161d42} - Toshiba\Launcher\start.exe

MountPoints2: {a24b532b-b013-11de-be83-0017c4161d42} - H:\hx.exe

MountPoints2: {aedb806c-c363-11e1-8146-0017c4161d42} - F:\AutoRun.exe

MountPoints2: {b1ac222c-b97c-11de-be9f-0017c4161d42} - I:\USBNB.exe

MountPoints2: {b2a91c1a-af33-11e2-8209-0017c4161d42} - J:\Install_Nokia_Ovi_Suite.exe

MountPoints2: {f7e5a69c-4063-11de-bda2-0017c4161d42} - H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

HKU\Gość\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

AppInit_DLLs: cijzfd.dll [ ] ()

ShortcutTarget: runctf.lnk -> C:\DOCUME~1\ADMIN~1.TAD\wgsdgsdgdsgsd.dll (No File)

ShortcutTarget: OpenOffice.org 3.0.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe (No File)

ShortcutTarget: OpenOfficeT7 2.3.1.lnk -> C:\Program Files\OpenOfficeT7 2.3.1\program\quickstart.exe (No File)

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=f0e20b34-1abd-11e1-80cb-0017c4161d42

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=f0e20b34-1abd-11e1-80cb-0017c4161d42

SearchScopes: HKLM - {2A5D1C44-CD3F-4514-A15B-B0BF238447B2} URL = http://www.easypowersearch.com/Results.aspx?cx=partner-pub-8885210189291163:1mftqmofsk1&UDSideSiteVacuumID=f64a0d68-d9f6-493b-8936-c8f97de55958&WSHostingSiteURL=vlnet3.com&WSLang=EN&SelectedSearchLang=PL&cof=FORID%3A10&sa=Search&SV_SRC=IE7SearchBox&oe=utf-8&ie=utf-8&q={searchTerms}

SearchScopes: HKLM - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://startsear.ch/?aff=2&src=sp&cf=f0e20b34-1abd-11e1-80cb-0017c4161d42&q={searchTerms}

SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=CA0D6259-85D9-47E1-9783-0A35C8D9664A&apn_sauid=846069BF-819F-4E13-A4CA-44D5EE8BF312

SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=CA0D6259-85D9-47E1-9783-0A35C8D9664A&apn_sauid=846069BF-819F-4E13-A4CA-44D5EE8BF312

SearchScopes: HKCU - {2A5D1C44-CD3F-4514-A15B-B0BF238447B2} URL = http://www.easypowersearch.com/Results.aspx?cx=partner-pub-8885210189291163:1mftqmofsk1&UDSideSiteVacuumID=f64a0d68-d9f6-493b-8936-c8f97de55958&WSHostingSiteURL=vlnet3.com&WSLang=EN&SelectedSearchLang=PL&cof=FORID%3A10&sa=Search&SV_SRC=IE7SearchBox&oe=utf-8&ie=utf-8&q={searchTerms}

SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://startsear.ch/?aff=2&src=sp&cf=f0e20b34-1abd-11e1-80cb-0017c4161d42&q={searchTerms}

SearchScopes: HKCU - {D547C666-CEC4-46A3-9930-877E51AF71F4} URL = http://www.daemon-search.com/search/web?q={searchTerms}

SearchScopes: HKCU - {F2F61099-DFD0-4ad0-AB3B-EEC574E9D21F} URL = http://search.duhiki.com/results.html?cx=002339168288027202941%3Ah6qetdju5sc&cof=FORID%3A10&q={searchTerms}&sa=Search

FF user.js: detected! => C:\Documents and Settings\Admin.TADEK\Dane aplikacji\Mozilla\Firefox\Profiles\mykgs7si.default\user.js

FF SearchPlugin: C:\Documents and Settings\Admin.TADEK\Dane aplikacji\Mozilla\Firefox\Profiles\mykgs7si.default\searchplugins\babylon.xml

FF SearchPlugin: C:\Documents and Settings\Admin.TADEK\Dane aplikacji\Mozilla\Firefox\Profiles\mykgs7si.default\searchplugins\daemon-search.xml

FF SearchPlugin: C:\Documents and Settings\Admin.TADEK\Dane aplikacji\Mozilla\Firefox\Profiles\mykgs7si.default\searchplugins\delta.xml

FF SearchPlugin: C:\Documents and Settings\Admin.TADEK\Dane aplikacji\Mozilla\Firefox\Profiles\mykgs7si.default\searchplugins\startsear.xml

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\AutoRun.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\AutoRunGUI.dll

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\gg10.upgr.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\GLB1A2B.EXE

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\ICReinstall_Setup.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\jre-7u25-windows-i586-iftw.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\jre-7u45-windows-i586-iftw.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\RtkBtMnt.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\Setup.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\uninst1.exe

C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp\_is3.exe

C:\Documents and Settings\Gość\Ustawienia lokalne\temp\DataCard_Setup.exe

C:\Documents and Settings\Gość\Ustawienia lokalne\temp\ResetDevice.exe

C:\Documents and Settings\Gość\Ustawienia lokalne\temp\RtkBtMnt.exe

S3 catchme; \??\C:\ComboFix\catchme.sys [x]

S3 btaudio; system32\drivers\btaudio.sys [x]

S3 BTDriver; system32\DRIVERS\btport.sys [x]

S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [x]

S3 btwhid; system32\DRIVERS\btwhid.sys [x]

AlternateDataStreams: C:\Documents and Settings:BZ-VIRTUAL-LINK

AlternateDataStreams: C:\Documents and Settings\Admin.TADEK:BZ-VIRTUAL-LINK

AlternateDataStreams: C:\Documents and Settings\Admin.TADEK\Cookies:BZ-VIRTUAL-LINK

AlternateDataStreams: C:\Documents and Settings\Admin.TADEK\C_:BZ-VIRTUAL-LINK

AlternateDataStreams: C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne:BZ-VIRTUAL-LINK

AlternateDataStreams: C:\Documents and Settings\Admin.TADEK\Ustawienia lokalne\temp:BZ-VIRTUAL-LINK

CMD: netsh winsock reset

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera.

 

Pobierz AdwCleaner. Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Wygląda to na infekcję z pendrive. Pobierz USBFix, podepnij pendrive i wykonaj skan z opcji Listing. Log załącz do posta.

 

Pobierz automatyczne narzędzie do naprawy zapory ServicesRepair. i zastosuj.

 

Wykonaj nowe logi z FRST ( zaznacz Addition ) i je załącz.

 

 

 

[onufree]

Ze względu na błąd nie mogłem uruchomić skanowania UsbFix na zainfekowanym komputerze (komunikat nr 19617) ale przeskanowałem 3 pendrivy których używam na innym komputerze.

Nie udało mi się też niestety uruchomić programu ServicesRepair (bez żadnego komunikatu). Na innym komputerze uruchamiał się.

Fixlog.txt

Addition.txt

UsbFix Listing 1 TBLADOWSKI.txt

[muzyk75]

Pendrivy wyglądają na czyste.

 

Naprawa:

Połączenie internetowe:

https://www.fixitpc.pl/topic/8870-naprawa-reset-katalogu-sieciowego-winsock/

 

Centrum zabezpieczeń i zapora:

https://www.fixitpc.pl/topic/1765-naprawa-centrum-zabezpieczen-i-zapory-windows-xp/

https://www.fixitpc.pl/topic/1238-przywracanie-domyslnego-ukladu-zabezpieczen/

 

Naprawa systemu z konsoli odzyskiwania:

https://www.fixitpc.pl/topic/48-konsola-odzyskiwania-naprawianie-windows/

 

Zobacz jeszcze tu, rozdział "Brak połączenia z siecią":

https://www.fixitpc.pl/topic/4745-internet-i-sieci-faq/

[picasso]

Rzeczy podrzędne nie związane z problemem chowam do spoilerów.

 

 

onufree

 

Widać, że:

 

1. Występuje dysfunkcja WMI. Tu są ślady infekcji policyjnej runctf.lnk -> wgsdgsdgdsgsd.dll, czyli jest możliwe, że niepoprawnie to usuwano i zniszczono usługę Winmgmt.

 

2. W raporcie Net-log, a także świeżo egzekwowanym poleceniu resetu Winsock pojawiła się adnotacja o braku którejś usługi:

 

========= netsh winsock reset =========
 

OSTRZEŻENIE: Nie można uzyskać informacji o hoście z komputera: [TADEK]. Niektóre polecenia mogą być niedostępne.

Określona usługa nie istnieje jako usługa zainstalowana.

 

Pierwszy raport OTL Extras pokazywał także i to:

 

Error - 14-01-06 09:07:49 | Computer Name = TADEK | Source = RemoteAccess | ID = 20103

Description = Nie można załadować C:\WINDOWS\System32\iprtrmgr.dll.

 

Proszę o pełny spis usług Windows. Uruchom FRST, przy polu Services odfajkuj pole Whitelist i dostarcz wynikowy raport.

 

 

muzyk75

 

ShortcutTarget: runctf.lnk -> C:\DOCUME~1\ADMIN~1.TAD\wgsdgsdgdsgsd.dll (No File)

ShortcutTarget: OpenOffice.org 3.0.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe (No File)

ShortcutTarget: OpenOfficeT7 2.3.1.lnk -> C:\Program Files\OpenOfficeT7 2.3.1\program\quickstart.exe (No File)

 

Nie ma sensu załączenie tego. Czytaj ze zrozumieniem informację: ShortcutTarget (plik docelowy skrótu) = No File (brak), to chcesz przetwarzać coś co nie istnieje? Zupełnie na opak działanie, usuwasz nieistniejące pliki, omijasz te które istnieją, czyli skróty per se:

 

Startup: C:\Documents and Settings\Admin.TADEK\Menu Start\Programy\Autostart\runctf.lnk

 

 

 

.