RobertM15 Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Witam, System Windows Vista Home Premium 32 bity. Zaczęło się od braku dostępu do Internetu oraz komunikatu Windows Defendera o infekcji Trojan:Win32/Sirefef.O, przy próbie usunięcia Defender generował błędy i kończył swoją działalność. Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD - raportowanie Defendera się już nie pojawia, ale nadal nie ma dostępu do internetu: wifi nie chce się połączyć, połączenie kablowe po podłączeniu w nieskończoność pokazuje "trwa identyfikowanie", adres z DHCP nie jest pobierany. Sprawdziłem usługę Klienta DHCP jest wyłączona i nie daje się włączyć z komunikatem "System Windows nie może uruchomić Klinet DHCP na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się". Znalazłem post z podobnym problemem: Link, ale uprawnienia usług w rejestrze są prawidłowe. Zaczyna mi już brakować pomysłów, bardzo proszę o pomoc. OTL.Txt Extras.Txt gmer.txt checkup.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 1. Zgodnie ze wskazówkami uruchom ComboFix i przedstaw wyniki jego działania. 2. Następnie uruchom Kaspersky TDSSKiller i przedstaw raport. Nie podejmuj jeszcze żadnych akcji na potencjalnych wynikach, wszystkim dobierając Skip, tylko raport przedstaw. Znalazłem post z podobnym problemem:Link, ale uprawnienia usług w rejestrze są prawidłowe To zupełnie nie ten przypadek. Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD Istotnym jest co usuwałeś, mogłeś naruszyć jakiś niezbędny plik. . Odnośnik do komentarza
RobertM15 Opublikowano 2 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2011 Niżej logi po skanowaniu ComboFix i TDSSKiller: log.txt TDSSKiller Report.txt Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2011 Zgłoś Udostępnij Opublikowano 3 Listopada 2011 Ponawiam pytanie: Przeskanowałem DrWeb Cureit oraz KAV-Rescue LiveCD Istotnym jest co usuwałeś, mogłeś naruszyć jakiś niezbędny plik. ComboFix dokasował po rootkicie c:\windows\$NtUninstallKB13607$ + c:\windows\system32\. 1. Na dysku widzę jeszcze ten folder: 2011-10-22 17:09 . 2011-10-27 22:18 -------- d-sh--w- c:\users\Aguś\AppData\Local\7d0eb7d6 Przez SHIFT+DEL spróbuj go skasować z dysku. R0 fufhnx;fufhnx;c:\windows\System32\drivers\yofd.sys [x] Ten sterownik także do kasacji. Spróbuj w cmd uruchomionym jako Administrator wywołać polecenia: sc stop fufhnx sc delete fufhnx 2. W związku z odczytami Combofix na temat pliku wuauclt.exe oraz niejasnościami jak doprowadziłeś do padu sieci (może naruszyłeś jakiś ważki plik) wykonaj sprawdzanie poprawności plików. Uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. . Odnośnik do komentarza
RobertM15 Opublikowano 3 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2011 W czasie pierwszych skanowań na pewno nie usuwałem plików z katalogów Windows, za to były usunięte pliki temp z katalogu użytkownika oraz usunięty katalog o nazwie składającej się z ciągu cyfr po środku przedzielonym dwukropkiem. Ad.1 Za żadne skarby nie mogę znaleźć katalogu: 1. Na dysku widzę jeszcze ten folder: 2011-10-22 17:09 . 2011-10-27 22:18 -------- d-sh--w- c:\users\Aguś\AppData\Local\7d0eb7d6 Przez SHIFT+DEL spróbuj go skasować z dysku. A w załączniku "screen" z ekranu z zawartością katalogu c:\users\Aguś\AppData\Local\ Czy to możliwe żeby w czasie restartu katalog zniknął? Sterownik fufhnx za to udało się usunąć bez problemu. Ad.2 W załącznikach odfiltrowane CBS.LOG po skanowaniu sfc /scannow. Po restarcie powróciło połączenie z LAN'em oraz internetem. Wygląda na to, że komputer wrócił do życia! sfc.txt sfc_cannot_repair.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Ad.2 W załącznikach odfiltrowane CBS.LOG po skanowaniu sfc /scannow. Po restarcie powróciło połączenie z LAN'em oraz internetem. Problem stanowił plik tdx.sys naruszony przez infekcję (bądź skaner na płycie go leczący): 1-11-03 23:12:44, Info CSI 000001ae [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup2011-11-03 23:12:44, Info CSI 000001af [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store SFC uregulował także sprawę pliku wuauclt.exe. A w załączniku "screen" z ekranu z zawartością katalogu c:\users\Aguś\AppData\Local\Czy to możliwe żeby w czasie restartu katalog zniknął? Czy masz włączone wszystkie opcje widoku? Ten folder ma atrybuty HS, czyli "ukryty systemowy". By widzieć, należy odznaczyć opcję: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ta sama zasada aplikuje się dla CMD, DIR domyślnie nie pokazuje obiektów HS, należy użyć DIR /A (czyli listowanie wszystkich atrybutów). . Odnośnik do komentarza
RobertM15 Opublikowano 5 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Czy masz włączone wszystkie opcje widoku? Ten folder ma atrybuty HS, czyli "ukryty systemowy". By widzieć, należy odznaczyć opcję: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ta sama zasada aplikuje się dla CMD, DIR domyślnie nie pokazuje obiektów HS, należy użyć DIR /A (czyli listowanie wszystkich atrybutów). . Ukryty katalog znaleziony i usunięty. Czy możemy uznać naprawę za zakończoną? Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 Nie tak szybko. Jeszcze finalizacje. 1. Drobne poprawki na numeryczny plik po rootkicie (jakoś nie widzę, by został skasowany przez ComboFix), śmieci Gadu Temp*, swap Dr. Web LiveCD oraz szczątki w usługach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer) SRV - File not found [On_Demand | Stopped] -- -- (clr_optimization_v2.0.50727_32) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Files del /q C:\Windows\3602321021 /C del /q C:\REMOVE_THIS_FILE.livecd.swap /C C:\Users\Aguś\AppData\Local\Temp*.html :Commands [emptytemp] Klik w Wykonaj skrypt. Po tym przez SHIFT+DEL skasuj z dysku folder C:\_OTL. 2. Deinstalacja ComboFix czyszcząca także foldery Przywracania systemu. Z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej: C:\Users\Aguś\Desktop\ComboFix.exe /uninstall 3. Wymiana wszystkich haseł logowania w serwisach. 4. Krytyczny poziom aktualizacji Windows: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18999) Obowiązkowe Windows Update, a szczegóły tutaj: INSTRUKCJE. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ShockwaveFlash" = Adobe Flash Player 9 ActiveX To wszystko także do wymiany najnowszymi wersjami. . Odnośnik do komentarza
RobertM15 Opublikowano 6 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2011 Wszystkie kroki finalizacyjne wykonane. Bardzo dziękuję za pomoc! Pozdrawiam, Odnośnik do komentarza
Rekomendowane odpowiedzi