misiek3510 Opublikowano 7 Czerwca 2011 Zgłoś Udostępnij Opublikowano 7 Czerwca 2011 Witam serdecznie, proszę o pomoc w rozwiązaniu mojego problemu. System XP Pro SP2, komputer pracuje w domenie, użytkownik z ograniczonymi uprawnieniami oraz lokalne konto admina (problem dotyczy obydwóch). Na komputerze w chwili obecnej nie ma dostępu do internetu, po uruchomieniu przeglądarki i wpisaniu adresu jakiejkolwiek strony po kilku sekundach pojawia się komunikat, iż strona nie może zostać wyświetlona. Dodatkowo nie działa też sieć lokalna, tzn. brak dostępu do wcześniej zamapowanych dysków sieciowych oraz brak możliwości otwarcia katalogów na serwerze z polecenia "uruchom", bez znaczenia czy wpisuje nazwę udziału czy jego adres IP. Dodam tylko, że karta pobiera prawidłowo adresację z serwera DHCP, mogę pingować siebie, serwer, router, firmowe adresy dns oraz adresy wirtyn w internecie. Na komputerze zainstalowany Antywirus Norton 2004 wersja korporacyjna - nie wykrywa żadnych zagrożeń. Sprawdziłem zachowanie komputera w trybie awaryjnym z obsługą sieci i tam wszystko działa jak należy - otwierają się strony i można korzystać z zasobów lokalnych. Byłem więc pewny, że nasz dziurawy Norton przepuścił jakieś plugastwo więc na samym początku zainstalowałem Malwerbyte Antimalwere i puściłem pełen skan, który zakończył się fiaskiem - program nie wykrył nic. Zdesperowany tym faktem uruchomiłem w następnej kolejności Combofixa (dopiero dziś późnym wieczorem natrafiłem na tę stronę i na opis o niewłaściwym użyciu tego softu). Niestety po odpaleniu i przeskanowaniu komputera Combofixem sytuacja nadal się nie zmieniła. Zdesperowany w trybie awaryjnym wgrałem SP3, i jedyne co mogę powiedzieć znów sytuacja się nie zmieniła. Zapomniałem jeszcze dodać, iż chciałem sprawdzić zachowanie karty sieciowej program WireShark. Zainstalowałem go, program odpala ale niestety nie widzi żadnego interfejsu sieciowego (komputer jest podłączony poprzez kabelek UTP). Na chwilę obecną dysponuje tylko logiem z Combofixa, natomiast jutro od rana zeskanuje komputer narzędziami zalecanym na tej stronie i dokleję logi. http://wklej.org/id/543412/txt/ Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2011 Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Czekam na wymagane logi. Ale już mogę powiedzieć: Na komputerze zainstalowany Antywirus Norton 2004 wersja korporacyjna - nie wykrywa żadnych zagrożeń. Sprawdziłem zachowanie komputera w trybie awaryjnym z obsługą sieci i tam wszystko działa jak należy - otwierają się strony i można korzystać z zasobów lokalnych. Mój Boże. Czym prędzej to wyrzucić z systemu, nie tylko luki i pozorowanie bezpieczeństwa, ale także możliwość kolizji z siecią (sterowniki! = nie są ładowane w awaryjnym). Odinstaluj tego "antywirusa", w razie kłopotów Norton Removal Tool. I dopiero wtedy sprawdź jak działa sieć. . Odnośnik do komentarza
misiek3510 Opublikowano 8 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Dzięki za odpowiedź, a więc do rzeczy. Nortona odinstalować nie mogę ponieważ posiada hasło na uninstal i niestety ale tego hasła się nie doproszę od mojego admina (Dział IT jest poza krajem i niestety ale nie podadzą mi tego hasła). Wracając do tematu kompa to tak: gdy próbuje otworzyć zasób sieciowy z polecenia uruchom w windowsie otzrymuję komunikat: Zasoby systemowe nie wystarczają do ukończenia żądanej usługi Próbując włączyć menagera zadań wyskakuje komunikat: Aplikacja nie została właściwie zainicjowana (0x0000017). Kliknij przycisk OK, aby zakończyć aplikację Próbowałem odpalić również to narzędzie Norton Removal Tool, pomyślałem, że skoro nie znam hasła na Nortona to może ten soft go wyrzuci ale niestety pojawia się komunikat: Za mały przydział do przetworzenia tego polecenia Dodatkowo zauważyłem, że na liście programów w Dodaj/Usuń programy przy większości aplikacji brakuje przycisku Usuń. Teraz czas na zaległe logi: OTL uruchomił się i na końcu gdy miał wygenerować logi wyskoczył error: VPtray.exe - aplikacja zostanie zamknięta po czym powstał jeden log: http://wklej.org/id/543413/txt/ Extras jest pusty. Teraz czas na GMERA: tu to się namęczyłem. Aplikacja wyłącza się sama, czasami restartuje kompa, zawiesza się po chwili myszka i klawiatura (wpięte przez USB). W okienku od softu albo pojawia się na chwilę info o zmodyfikowanym kernelu i wpisy - brak wystarczających zasobów do uruchomienia. Spróbowałem więc odpalić go w trybie awaryjnym i tu działał dwie godziny, skończył skanowanie z komunuikatem - nie wykryto żadnych modyfikacji systemu i pusty log. Spróbowałem więc następnej aplikacji Rootrepeal ale ona po uruchomieniu zwróciła VPtray.exe - aplikacja zostanie zamknięta. Co dalej z tym fantem zrobić? Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2011 Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Jedyna dziwna rzecz w logu to "file not found" przy bardzo wielu plikach, a taki odczyt jest związany z wadą nazwy i jest tu niezrozumiałe co to za dziwowisko masowe. Na wszelki wypadek uruchom na tym systemie sprawdzanie błędów dysku .... Ale oceniając całość, w logach nie widzę nic infekcyjnego, a najsilniejszy podejrzany dla problemów sieci to - podtrzymuję - Symantec. To jest cały silnik sterownikowy i bardzo silny związek z układem sieciowym. M.in. Symantec wprowadza zależność dla DHCP. Dla porównania baza KB812335 + zestaw sterowników w logu (pierwszy to ten z artykułu): DRV - [2005-04-22 12:03:02 | 000,267,192 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\SYMTDI.SYS -- (SYMTDI) DRV - [2005-04-22 12:03:00 | 000,017,976 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV) DRV - [2005-03-07 15:57:38 | 000,123,208 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2005-03-07 14:59:50 | 000,050,312 | R--- | M] (Symantec Corporation) [Kernel | Auto | Running] -- C:\Program Files\Symantec AntiVirus\Savrtpel.sys -- (SAVRTPEL) DRV - [2005-03-07 14:59:44 | 000,338,056 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Symantec AntiVirus\savrt.sys -- (SAVRT) DRV - [2001-10-22 10:50:00 | 000,031,192 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST) DRV - [2001-10-09 10:50:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\GERNUWA.sys -- (Gernuwa) DRV - [2000-09-11 10:50:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy) Ten artykuł MS nie zgadza się oczywiście z Twoimi objawami, ale nie po to jest tu punktowany. Ja przedstawiam, że sieć pracuje przez filtry Symantec. Szczególna rzecz: tryb awaryjny z obsługą sieci nie ma problemu. Co różni taki tryb? Brak ładowania sterowników firm trzecich czyli tu m.in. Symantec. Dopóki siedzi ten Norton, nie zaznam spokoju i nie mam innych widoków reperacyjnych. Nortona odinstalować nie mogę ponieważ posiada hasło na uninstal i niestety ale tego hasła się nie doproszę od mojego admina (Dział IT jest poza krajem i niestety ale nie podadzą mi tego hasła). + Próbowałem odpalić również to narzędzie Norton Removal Tool, pomyślałem, że skoro nie znam hasła na Nortona to może ten soft go wyrzuci ale niestety pojawia się komunikat: Za mały przydział do przetworzenia tego polecenia Spróbuj puścić Norton Removal w Trybie awaryjnym. Teraz czas na GMERA: tu to się namęczyłem. Aplikacja wyłącza się sama, czasami restartuje kompa, zawiesza się po chwili myszka i klawiatura (wpięte przez USB). W okienku od softu albo pojawia się na chwilę info o zmodyfikowanym kernelu i wpisy - brak wystarczających zasobów do uruchomienia. To również może być robota sterowników Symantec. . Odnośnik do komentarza
misiek3510 Opublikowano 8 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 W trybie awaryjnym nie można go odpalić, wyskakuje błąd. Trochę nie bardzo mnie przekonuje, że to wina Nortona z tym brakiem sieci ponieważ na 25 innych komputerach działających w naszej firmie jest ten sam Norton i nigdy nie miałem takiego problemu z siecią na jakimkolwiek komputerze. CHKDSK i HDDtune nie zgłaszają żadnych problemów z dyskiem czy też strukturą plików. No cóż pozostanie mi zaorać ten system skoro nie widać w nim śladów infekcji. Dziwne tylko, że żaden z tych skanerów rootkitowych nie chce poprawnie działać. Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2011 Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Trochę nie bardzo mnie przekonuje, że to wina Nortona z tym brakiem sieci ponieważ na 25 innych komputerach działających w naszej firmie jest ten sam Norton i nigdy nie miałem takiego problemu z siecią na jakimkolwiek komputerze. Ale co to za dowód? To są inne komputery, inne (niepowtarzalne) konfiguracje. Ponadto mówisz wyraźnie: Sprawdziłem zachowanie komputera w trybie awaryjnym z obsługą sieci i tam wszystko działa jak należy - otwierają się strony i można korzystać z zasobów lokalnych. To popatrz w Twój własny log z OTL na zestaw sterowników firm trzecich (notabene: dwa sterowniki Symantec mają daty odświeżenia na 5 czerwca, czyli co dopiero): DRV - [2011-06-05 10:56:52 | 001,542,392 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\VirusDefs\20110604.032\NAVEX15.SYS -- (NAVEX15)DRV - [2011-06-05 10:56:52 | 000,086,008 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\VirusDefs\20110604.032\NAVENG.SYS -- (NAVENG)DRV - [2011-05-29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)DRV - [2010-06-25 19:07:14 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)DRV - [2007-09-24 20:12:48 | 000,392,960 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)DRV - [2007-07-23 19:42:12 | 000,045,056 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel®DRV - [2007-01-23 04:45:44 | 000,042,832 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Asfalrt.sys -- (AsfAlrt)DRV - [2005-04-22 12:03:02 | 000,267,192 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\SYMTDI.SYS -- (SYMTDI)DRV - [2005-04-22 12:03:00 | 000,017,976 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)DRV - [2005-03-07 15:57:38 | 000,123,208 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Symantec\SYMEVENT.SYS -- (SymEvent)DRV - [2005-03-07 14:59:50 | 000,050,312 | R--- | M] (Symantec Corporation) [Kernel | Auto | Running] -- C:\Program Files\Symantec AntiVirus\Savrtpel.sys -- (SAVRTPEL)DRV - [2005-03-07 14:59:44 | 000,338,056 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Symantec AntiVirus\savrt.sys -- (SAVRT)DRV - [2001-10-22 10:50:00 | 000,031,192 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)DRV - [2001-10-09 10:50:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\GERNUWA.sys -- (Gernuwa)DRV - [2000-09-11 10:50:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy) Mogę się podjąć ręcznego wyrzucenia Nortona z tego systemu, tylko to będzie raczej nieodwracalne. . Odnośnik do komentarza
misiek3510 Opublikowano 8 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Mogę się podjąć ręcznego wyrzucenia Nortona z tego systemu, tylko to będzie raczej nieodwracalne. Jestem za, co mamy do stracenia. Edit: Poprosiłem jeszcze raz o hasło mojego zdalnego informatyka i oto odpowiedź jaką uzyskałem: Michal, please … I don't have any problem with giving you the password if I know which one it is … which I don't. It's easy. There are many passwords used in Poznan and I can't give you all of them. Sorry for that. If I would have access I would try it and send you the right password. If you think it will be faster to fight with that for several hours as we did here and then start with reinstallation, it's fine with me. Restoring the installation from image takes not more that 1 hour total. This week I had to do it 4 times because of the same virus. Generalnie identyczny przypadek mieli moi koledzy z Czech, tylko im nie chciało się z tym powalczyć. Więc raczej odpada to problem Nortona tylko faktycznie jest to jakieś nowe plugastwo. Odnośnik do komentarza
misiek3510 Opublikowano 8 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Temat do zamknięcia! Udało mi się wpisać hasło do uninstal - dałem symantec i zadziałało Picasso dzięki za szybkie i konkretne zdiagnozowanie problemu, faktycznie po wywaleniu tego pseudo antywirusowego softu Norton wszystkie połączenia wróciły i komp działa jak należy. A kolegów z Czech muszę przekonać do wymiany softu w naszej firmie. Jeszcze raz dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi