BSOD po włączeniu usługi "telefonia" i " Udostępnianie połączenia..."

[Kuba]

Witam,

Na Laptopie HP Pavilion korzystam z systemu Windows Vista Home Premium SP2, po podłączeniu zewnętrznego dysku USB zauważyłem że wszystkie foldery na nim zmieniły się w skróty.

Przeskanowałem wszystkie dyski programem NIS2012 ale nic nie wykrył. Na jednym z for trafiłem na wzmiankę o trojanie i informację aby usunąć go programem "Malwarebytes Anti-Malvare" tak też zrobiłem. Program znalazł dwa trojany i usunął je. Foldery odzyskały swój prawidłowy wygląd i mogłem je otwierać. Jednak po chwili ukazał się BSOD.

Po restarcie uruchomiłem komputer w trybie awaryjnym i korzystając z komendy msconfig metodą eliminacji wyłączyłem dwie usługi co pozwoliło na uruchomienie systemu w normalnym trybie. Okazało się jednak że nie mam połączeń sieciowych. Karty są zainstalowane ale połączeń nawiązać się nie da. Podłączenie zewnętrznej bezprzewodowej karty sieciowej też nic nie zmieniło, karta się zainstalowała ale połączenia nie nawiązała.

Próbowałem nadinstalować system ale pole "aktualizacja" zawsze było nieaktywne a komunikat głosił, że aktualizowanie zostało wyłączone.

Proszę o pomoc.

Kuba

OTL.Txt

Extras.Txt

[picasso]

Nie został dostarczony obowiązkowy log z GMER pod kątem infekcji rootkit. W raportach z OTL są znaki infekcji widzialne, w tym link symboliczny po rootkicie ZeroAccess.

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\$NtUninstallKB62280$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB62280$ /C
C:\Windows\$NtUninstallKB62280$
C:\ProgramData\F4D55F3E000530220060FE25570F1C8B
C:\Users\heniek\AppData\Roaming\*.exe
C:\Windows\S-1-5-21-6462731085-6355100801-162910176-2844
C:\Windows\S-1-5-21-1755944055-2336399344-447748009-7044
C:\Windows\S-1-5-21-1537100286-5424908965-435876984-4707
C:\Windows\S-1-5-21-0935491261-6139057495-362340529-9863
C:\Windows\S-1-5-21-9811259353-6980424918-730704931-9414
C:\Windows\S-1-5-21-4702540049-5165057323-159133825-6126
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
O3 - HKU\S-1-5-21-3411834632-1152501596-1357024122-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-3411834632-1152501596-1357024122-1000..\Run: [Xdpjpg] C:\Users\heniek\AppData\Roaming\Xdpjpg.exe File not found
O7 - HKU\S-1-5-21-3411834632-1152501596-1357024122-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O20 - HKLM Winlogon: System - (C:\windows\S-1-5-21-6462731085-6355100801-162910176-2844\rundll.exe) - C:\Windows\S-1-5-21-6462731085-6355100801-162910176-2844\rundll.exe ()
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

4. Przejdź do Panelu sterowania i odinstaluj Ask Toolbar (Nero Toolbar).

 

5. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras), zaległy GMER, AdwCleaner z opcji Search oraz Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

Próbowałem nadinstalować system ale pole "aktualizacja" zawsze było nieaktywne a komunikat głosił, że aktualizowanie zostało wyłączone.

 

Aktualizacja jest dostępna tylko i wyłącznie spod działającego Windows, z poziomu zbootowanej płyty instalacyjnej zawsze jest wyłączona. Tak wykonany nadpis Windows nie usunie infekcji.

 

 

 

.

[Kuba]

Wykonałem po kolei wszystkie punkty. Załączam logi.

AdwCleanerR1.txt

FSS.txt

OTL2.Txt

gmer.txt

[picasso]

Kuba, dodałeś podwójny log ze skanowania OTL (nadwyżkę usuwam), a miał zostać podany log ze skanowania oraz log automatycznie utworzony z przetwarzania skryptu w punkcie 1. Log z Farbar Service Scanner mówi, że infekcja ZeroAccess wyrządziła poważne szkody. Zostały skasowane z rejestru usługi AFD, Zapory, Centrum zabezpieczeń i Windows Defender, oraz brakuje pliku afd.sys:

 

Attention! C:\Windows\system32\Drivers\afd.sys is missing.

 

To całkowicie skasowana usługa AFD (na poziomie rejestru i pliku) jest przyczyną braku sieci.

 

 

1. Wykonaj weryfikację plików systemowych (zamiarem jest odtworzenie afd.sys) za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.afd]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD]
"DisplayName"="Ancilliary Function Driver for Winsock"
"Group"="PNP_TDI"
"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\
  00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\
  73,00,00,00
"Description"="Ancilliary Function Driver for Winsock"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"BootFlags"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum]
"0"="Root\\LEGACY_AFD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AFD]
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AFD\0000]
"Service"="AFD"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000400
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Ancilliary Function Driver for Winsock"
"Capabilities"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AFD\0000\Control]
"ActiveService"="AFD"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security]
"Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\
  00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\
  e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\
  00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik FIX.REG przekopiuj wprost na C:\. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. Z menu Plik zaimportuj plik FIX.REG.

 

3. Wykonaj odbudowę Zapory systemu, czyli usług BFE i MpsSvc wg kroków z: KLIK.

 

4. Po wszystkim zresetuj system. Wygeneruj nowy log z Farbar Service Scanner, dodaj log z filtrowaniem wyników narzędzia SFC wygenerowany w punkcie 1.

 

 

 

 

.

[Kuba]

Witam,

zatrzymałem się przy wykonywaniu: "Rekonstrukcja uprawnień kluczy" z tekstu wynika, że rekonstrukcję kont dostępowych można wykonać poprzez kompleksowy import uprawnień ze sprawnego systemu wykorzystując narzędzie SetACL, następnie są podane trzy komendy do skopiowania tych danych ze sprawnego systemu. Tak zrozumiałem ten tekst. Sprawny system mam tylko Windows 7 Pro x64, Visty nie mam. Proszę o wskazówkę.

[picasso]

z tekstu wynika, że rekonstrukcję kont dostępowych można wykonać poprzez kompleksowy import uprawnień ze sprawnego systemu wykorzystując narzędzie SetACL, następnie są podane trzy komendy do skopiowania tych danych ze sprawnego systemu. Tak zrozumiałem ten tekst. Sprawny system mam tylko Windows 7 Pro x64, Visty nie mam.

 

Przeczytaj proszę uważnie artykuł. Przecież "uprawnienia ze sprawnego systemu" są tam podane (!). Konkretnie: wklejaniem zawartości do Notatnika, by zaimportować przez SetACL...

 

 

 

.

[Kuba]

Zakończyłem i załączam logi.

Czy to będzie koniec napraw? wydaje się że wszystko jest OK.

Jestem bardzo wdzięczny za pomoc Picasso. Dziękuję.

FSS.txt

sfc_filtrowane_bez_naprawy.txt

[picasso]

Narzędzie SFC przywróciło brakujący plik:

 

2012-04-30 09:54:28, Info    CSI    000001dc [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup
2012-04-30 09:54:28, Info    CSI    000001dd [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store

 

Wszystkie rekonstrukcje wykonane, log z Farbar Service Scanner pokazuje brak problemów i uzyskanie łączności sieciowej. Teraz do wykonania będą następujące operacje:

 

1. W AdwCleaner zastosuj opcję Delete, po tym Uninstall.

 

2. W OTL zastosuj opcję Sprzątanie. Resztę używanych narzędzi dokasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

[Kuba]

Wykonałem wszystko zgodnie z poleceniem, ostateczne skanowanie Malwarebytes znalazło oprogramowanie szpiegujące więc załączam log.

mbam-log-2012-05-01 (17-56-57).txt

[picasso]

Wyniki są bez znaczenia, to konfiguracje powiadomień Centrum zabezpieczeń. Możemy przejść do finału:

 

1. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych są widzialne następującego wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 29
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3411834632-1152501596-1357024122-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

 

2. Na wszelki wypadek zmień hasła logowania w serwisach.

 

 

 

.

 

 

[Kuba]

Aktualizacje wykonane, hasła zmienione.