Fazeusz Opublikowano 12 Marca 2011 Zgłoś Udostępnij Opublikowano 12 Marca 2011 Witam Serdecznie Zaoferowałem koleżance pomoc przy naprawie laptopa. Laptop chodzi na systemie Windows XP Black Edition v8.1 Problem polega na tym iż nie widać żadnych połączeń sieciowych. Dodatkowo w menażerze urządzeń w przypadku sterowników do kart sieciowych wywala błąd 39. Przeszperałem trochę internet wydedukowałem iz problem może być z plikiem NDIS.SYS. Niestety wszystkie próby zamiany tego pliku, kasowanie starego i wrzucanie nowego kończą sie tym samym BSOD przy starcie sytemu i reset. BSOD udało mi się złapać na zdjęciu: Podmiana była realizowana na różne sposoby: przez konsole odzyskiwania, po przez przełożenie dysku na inny komputer. Plik brałem z 2 komputera, z płyty WinXP Pro SP2 obraz z dodatku SP3 wszystkie reagowały tak samo. Przeskanowałem komputer combofixem, OTL niestety przy skanowaniu GMERem po pewnym czasie pojawia się BSOD z jakimiś nowymi błędami i resetuje. Poniżej przedstawiam Logi Combofix i OTL Z góry dziękuje za zainteresowanie i pomoc Pozdrawiam OTL.Txt Extras.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2011 Zgłoś Udostępnij Opublikowano 12 Marca 2011 W raportach widać szczątki po infekcji, ale tym zajmiemy się w drugiej kolejności. IE - HKU\S-1-5-21-725345543-413027322-842925246-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51758 [2011-02-16 13:53:51 | 000,040,072 | ---- | C] (Four-F) -- C:\WINDOWS\System32\eqrnovvaa.exe[2011-03-04 16:07:33 | 000,017,295 | ---- | M] () -- C:\Documents and Settings\Ami\Dane aplikacji\6EF2.AE2[2011-02-02 15:11:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2[2011-02-27 14:07:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\x23eewslmqejiksnbaxynlz2rmzu1lyi2[2011-02-02 15:42:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2[2011-02-03 14:31:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe" = C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data)"C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe" = C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data)"C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe" = C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data) Natomiast odczyty "jest zainfekowany" oraz kilka innych adnotacji w ComboFix to wyniki posługiwania się modyfikowanym Windows. Przeszperałem trochę internet wydedukowałem iz problem może być z plikiem NDIS.SYS. Niestety wszystkie próby zamiany tego pliku, kasowanie starego i wrzucanie nowego kończą sie tym samym BSOD przy starcie sytemu i reset. BSOD udało mi się złapać na zdjęciu Czy do systemu można się teraz dostać? BSOD uzyskany po zamianie wskazuje na użycie złej wersji pliku NDIS.SYS, niezgodnej z tym systemem, również jest możliwa niezgodność danych w rejestrze. Ocenić mogę tylko to co zostało tu odnotowane na pewnika, czyli raporty. 1. W ComboFix widzę zupełny brak pliku NDIS.SYS oraz TCPIP.SYS (bez tych dwóch nie jest możliwe działanie sieci): c:\windows\System32\drivers\ndis.sys ... - brak elementu !!c:\windows\System32\drivers\tcpip.sys ... - brak elementu !! 2. OTL nie notuje w ogóle uszczerbku usługi NDIS, a jeśli równocześnie zachodzi brak pliku, to wygląda na to, że z rejestru został usunięty cały klucz NDIS i nie wystarczy tylko podstawić plik. Wypowiedź się wyraźnie, czy system jest dostępny? W zależności od odpowiedzi, zostaną zadane inne kroki weryfikacji + naprawy, dopasowane do sytuacji. Plik brałem z 2 komputera, z płyty WinXP Pro SP2 obraz z dodatku SP3 wszystkie reagowały tak samo. Tylko wersja SP3 wchodzi w grę. Zresztą ten system ma kopię pliku NDIS.SYS (w cache ComboFix) i to ją wykorzystam. Zanim podam instrukcję proszę o wyraźną wypowiedź czy system jest aktualnie dostępny. . Odnośnik do komentarza
Fazeusz Opublikowano 12 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2011 Witam Tak system aktualnie jest dostępny plik NDIS.sys jest wykasowany (mozliwe ze również pare innych z katalogu c:\windows\system32\drivers) dzieki czemu system działą choc sa problemy z driverami wymienione wyzej. Odnośnik do komentarza
picasso Opublikowano 12 Marca 2011 Zgłoś Udostępnij Opublikowano 12 Marca 2011 W pierwszej kolejności sprawdź czy są dane w rejestrze od tych dwóch brakujących sterowników: Start > Uruchom > regedit > czy widzisz takie klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP Bez tych danych wstawienie plików nie zadziała. Odnośnik do komentarza
Fazeusz Opublikowano 12 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2011 Klucz NDIS dodany, Klucz TCPIP juz był w rejestrze dodany wczesniej. Pliki NDIS i TCPIP zaczerpniete z dodatku SP3 wrzucone do odpowiedniego katalogu, system wstaje bez problemu lecz dalej wyskakuje błąd 39 na sterownikach kart sieciowych, połączeń sieciowych nie wiadac. Odnośnik do komentarza
picasso Opublikowano 12 Marca 2011 Zgłoś Udostępnij Opublikowano 12 Marca 2011 Klucz NDIS dodany, Klucz TCPIP juz był w rejestrze dodany wczesniej. Pliki NDIS i TCPIP zaczerpniete z dodatku SP3 wrzucone do odpowiedniego katalogu, system wstaje bez problemu lecz dalej wyskakuje błąd 39 na sterownikach kart sieciowych, połączeń sieciowych nie wiadac. Skąd brałeś klucz NDIS? Zaprezentuj co zaimportowałeś. Sterowniki wrzucałeś do drivers - jeszcze do dllcache wstaw, pliki zawsze się podstawia do dwóch lokalizacji, adresując i Ochronę systemu plików. Następnie: czy teraz po wrzuceniu obu plików działa: usunięcie wszystkich urządzeń sieciowych w menedżerze urządzeń + restart w celu przebudowy? Należy również usunąć szczątki po infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-725345543-413027322-842925246-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51758 [2011-02-16 13:53:51 | 000,040,072 | ---- | C] (Four-F) -- C:\WINDOWS\System32\eqrnovvaa.exe [2011-03-04 16:07:33 | 000,017,295 | ---- | M] () -- C:\Documents and Settings\Ami\Dane aplikacji\6EF2.AE2 [2011-02-02 15:11:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2 [2011-02-27 14:07:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\x23eewslmqejiksnbaxynlz2rmzu1lyi2 [2011-02-02 15:42:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2 [2011-02-03 14:31:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe"=- "C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe"=- "C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe"=- :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Zaprezentuj nowe logi z OTL, dołącz i ten z usuwania. . Odnośnik do komentarza
Fazeusz Opublikowano 12 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2011 Witam Pomylilem sie wczesniej bo nie rozpakowałem tych plików ndis.sy_ i tcpip.sy_ teraz juz sa rozpakowane po przez konsole odzyskiwania, wgrane do odpowiednich katalogów według powyzszych instrukcji. Klucz rejestru jest zaimportowany z innego kompa z XP pro SP3 poniżej przedstawiam treść klucza [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS] "DisplayName"="Sterownik systemu NDIS" "ErrorControl"=dword:00000001 "Group"="NDIS Wrapper" "Start"=dword:00000000 "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\MediaTypes] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\Parameters] "ProcessorAffinityMask"=dword:ffffffff [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\Enum] "0"="Root\\LEGACY_NDIS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 po restarcie karty sieciowe nie wykazały błędów pojawiły sie połączenia sieciowe lecz przy próbie łączenia sie z Routerem to radiowo to kablem nastepuje wieczne pobieranie adresu sieciowego. Ustawione jest na automatyczne pobieranie jak w innych komputerach w mojej sieci. Próbowałem reinstalek nic nie daje. Poniżej przedstawiam log ( wczesniej wykonałem też skrypt z posta powyzej ) OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2011 Zgłoś Udostępnij Opublikowano 12 Marca 2011 W porządku. Klucz jest poprawny, widzę że z plikami sobie poradziłeś. Witam Pomylilem sie wczesniej bo nie rozpakowałem tych plików ndis.sy_ i tcpip.sy_ teraz juz sa rozpakowane po przez konsole odzyskiwania, wgrane do odpowiednich katalogów według powyzszych instrukcji. Na przyszłość: to nie było potrzebne. Wystarczył byle jaki archiwizer, by otworzyć te pliki z kreską i z nich wypakować pliki właściwe, nawet masz już narzędzie do tego w systemie (7-zip). To zwyczajne CABy. I pozbądź się z systemu tych nierozpakowanych kopii (o ile już tego nie zrobiłeś po skanie OTL): [2011-03-12 19:00:08 | 000,176,792 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tcpip.sy_[2011-03-12 19:00:08 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ndis.sy_[2011-03-12 17:16:27 | 000,176,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\tcpip.sy_[2011-03-12 17:15:59 | 000,176,792 | ---- | C] () -- C:\tcpip.sy_[2011-03-12 17:11:39 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\drivers\ndis.sy_[2011-03-10 23:44:40 | 000,090,313 | ---- | C] () -- C:\ndis.sy_ po restarcie karty sieciowe nie wykazały błędów pojawiły sie połączenia sieciowe lecz przy próbie łączenia sie z Routerem to radiowo to kablem nastepuje wieczne pobieranie adresu sieciowego. Ustawione jest na automatyczne pobieranie jak w innych komputerach w mojej sieci. Próbowałem reinstalek nic nie daje. Spróbuj zresetować podstawową konfigurację sieci. Otwórz Notatnik i wklej w nim: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f netsh firewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik Po tym jest wymagany restart komputera. Poniżej przedstawiam log ( wczesniej wykonałem też skrypt z posta powyzej ) Skrypt w OTL wykonany pomyślnie. 1. Jeszcze nie zauważyłam ukrytego katalogu "Version" na Pulpicie oraz jest tu jakiś dziwny numeryczny folder w Danych plikacji. Pierwszy usuń, sprawdź zawartość drugiego: [2011-02-21 13:42:51 | 000,065,536 | -H-- | M] () -- C:\Documents and Settings\Ami\Pulpit\Version[2010-12-12 20:10:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\38290 2. Przejdź do Dodaj / Usuń i odinstaluj MediaBar (to śmieć od Bearshare). . Odnośnik do komentarza
Fazeusz Opublikowano 13 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2011 (edytowane) Niestety dalej to samo pobiera adres cały czas. FIX.bat wykonany pomyslnie, po resecie i brak efektów. EDIT próbowałem naprawic to programem Winsockxpfix ale nie dało to efektów. Ustawianie na sztywno adresów daje połączenie ale komputer nie odbiera danych pingi wysyła ale nie pobiera. Edytowane 22 Kwietnia 2011 przez picasso 22.04.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi