Brak sieci po uruchomieniu sie Smart Fortress 2012

Witam,

mam nadzieje ze teraz będzie jak należy.

Przegladajac internet zamknela mi sie przegladarka i wyskoczylo okienko ze skanowaniem Smart Fortres 2012 - nie pamietam czy cos w nim usuwalem, napewno odinstalowalem ten program. Natsepnie AVG 2009 znalazl szereg zainfekofanych plikow ktore nim usunalem ( badz przenisolem do kwarantanny). Internet jeszcze dzialal.

nastepnego dnia juz nie!

Odinstalowalem AVG, przeskanowalem trojan remove - niczego nie wykryl, przeszukalem milion watkow, co moge stwierdzic:

odinstalowalem i zainstalowalem karte sieciowa, protokul TCP/IP nie pobiera adresu, ipconfig nie dziala wyswietla tekst: Wystapil blad wewnetrzny … itp. ( mysle ze wiadomo o co chodzi jesli nie, moge wkleic screena)

probowalem walczyc z winsockiem (nie wiem czy słusznie) roznymi programami… nie pomoglo

Za chwilę wkleje raporty. dzieki 'bet5 :slight_smile:

Gdzie te raporty?

Przepraszam za opoznienia nie do konca mam internet. Wiec cala noc skanowalem dr.web’em i jakims drugim programem, cos tam naprawily ale nic sie niezmienilo.

Oto logi

Extras

http://wklej.to/dmrmX

OTL

http://wklej.to/bJPYq

Domyslam sie ze jest niezly bajzel:)

Tutaj był (jest) rootkit zeroaccess. Tak się kończą skany programami antywirusowymi w tym przypadku - padł internet.

Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

No widzę że nie masz bo chyba coś sobie usunąłeś.

Tylko teraz musimy sprawdzić czy jeszcze plik oprócz wpisu rejestru uruchamiającego usługę, albo jeszcze coś więcej.

Proszę o raport Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje)

Pobralem grantPerm, odblokowalem co nalezy natomiast w OTL z wklejonym skryptem nie dzieje sie nic. Pasek postepu nawet nie mrugnie, znaczy wszystko zatrzymuje sie zaraz na starcie. Na dolnym pasku wyswietla sie komunikat

Czekalem jakies 30 min i nic. Moze jestem za bardzo niecierpliwy.

Co powinienem zrobic?

Wyłącz oprogramowanie zabezpieczające antywirusy + zamknij przeglądarki internetowe i inne działające programy które można zamknąć. Wtedy spróbuj wykonać skrypt do OTL.

Ok :slight_smile: pomogło!

Log po wykonanym skrypcie:

http://wklej.to/KwZjd

oraz z nowego skanu OTL:

http://wklej.to/WzGsw

juz dodaje raport z ffs…

http://wklej.to/bxcoB

poprawiłem raport.

Ponownie uruchom GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę wejdź do katalogu C:\WINDOWS znajdź folder $NtUninstallKB31521$ (będzie ukryty) usuń go przez Shift+Del Napisz czy się udało.

Podmienimy plik i zrekonstruujemy rejestr

Proszę utworzyć na dysku C:\ katalog Plik Pobierz plik ipsec.sys dla Twojego systemu http://sendfile.pl/158260/ipsec.sys i umieść go w katalogu Plik czyli C:\Plik\ipsec.sys

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Następnie wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer i zobacz czy działa sieć.

folder $NtUninstallKB31521$ znajduje sie w

W katalogu

niz nie znalazlem. Chyba to dobrze?

Czy powinienem wykonac kolejne kroki?

skoro nie ma tego folderu to dzialal dalej, taki byl chyba zamiar…

wiec,

Log po skrypcie:

http://wklej.to/wyDZ7

I z OTL:

http://wklej.to/xBeXR

Dodałem wpis do rejestru, niestety sieci nie ma…

Proszę o nowy raport z Farbar Service Scanner A najprościej Reparacja nakładkowa bez utraty danych [http://www.searchengines.pl/Reinstalacj … _p__109540](http://www.searchengines.pl/Reinstalacja-XP-t24500.html/page view findpost p 109540) Dobrze abyś miał płytkę windows XP z zintegrowanym SP3 (bo taki masz obecnie service pack) Jak wszystko pójdzie dobrze i po wykonanej nakładce wróci sieć proszę wykonać pełny skan Kasperski Virus Removal Tool Jak program coś wykryje proszę niczego nie usuwać tylko pokazać raport na forum

Oto raport z fss:

http://wklej.to/x8kdB

wlasnie w tym cala rzecz ze nie bardzo mam mozliwosci do zrobienia nakladki czy formatu. Mam malego netbooka bez napedu. Wiem ze moge zbootowac win z usb lub karty ale nie posiadam zadnej wersji instalacyjnej. Lecz jesli to jedyne rozwiazanie postaram sie zalatwic.

Dodane 21.04.2012 (So) 22:22

jedno ciekawe spostrzezenie, a mianowicie:

folder ktory kazales usunac $NtUninstallKB31521$ nadal jest w C:/Windows - nie wiem jak bardzo musi byc ukryty ze pod windowsem go nie moge znalezc ale przegladajac system plikow pod linuksem ( mala dystrybucja live) wszystko jest jak na dloni!

Problemem jest jak mowiles proba usuniecia go nawet pod linuksem.

Moze ta informacja pozwoli jakos ruszyc.

  1. Przez Shift+Del usuń cały folder C:\ _OTL opróżnij Kosz

  2. Pobierz SetACL.exe http://sendfile.pl/157547/SetACL.exe umieść program w katalogu C:\windows

  3. Wklej do notatnika:

Plik zapisz jako fix.txt Zachowaj na dysku *C:*

Start - Uruchom - wpisujesz cmd i Enter W linii komend wpisz

SetACL -on “C:\WINDOWS$NtUninstallKB31521$” -ot file -actn restore -bckp C:\fix.txt i Enter. Jeśli komenda się wykona bez błędów

Następna komenda

fsutil reparsepoint delete C:\WINDOWS$NtUninstallKB31521$ /C i Enter

Włącz pokazywanie ukrytych plików i folderów http://www.cybertrash.pl/Tata/Wiedza/Uk … ytych.html

Znajdź i następnie spróbuj usunąć folder C:\WINDOWS\ $NtUninstallKB31521$ przez Shift+Del Napisz czy się udało. Jeśli będą jakieś błędy pisz.

Teraz internet, będzie tutaj potrzebna ingerencja w rejestr, ale nie tylko. Zgodnie z tym co tutaj piszą [http://www.bleepingcomputer.com/forums/ … p__2578778](http://www.bleepingcomputer.com/forums/topic440755.html/page view findpost p 2578778) Proszę ręcznie przeinstalować stos TCP/IP jak w tym poście [http://www.fixitpc.pl/topic/7757-brak-i … __p__58972](http://www.fixitpc.pl/topic/7757-brak-internetu-play-online-blad-720-rootkit-zeroaccess/page view findpost p 58972) od tego momentu Wykonaj ręczną reinstalację stosu TCP/IP, jest to metoda inwazyjna:

No to tak:

folder

usunalem przez shift + Del tak j ak mówiłeś, wczesniej nie odznaczylem tych dwoch opcji o plikach systemowych i znanych rozszezeniach.

powtorzylem krok wczesniejszy:

oto logi ze skryptu

http://wklej.to/ypGin

i ze skanu OTL

http://wklej.to/GVWS8

Dodałem wpis do rejestru i sieci nadal nie ma.

oto nowy raport z FSS

http://wklej.to/O5non

teraz przechodze do czynności z ostatniego postu… oczywiscie pomijam walke z $NtUninstallKB31521

Dodane 22.04.2012 (N) 12:49

Wykonałem wszystko do momentu

I internet działa!! Wielkie dzięki, ogromne! !!

Teraz jeszcze przeskanuje

I niebawem wystawie raport

Tylko nic nie usuwaj. Jeśli coś wykryje pokaż raport z wykrytych infekcji. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189 i napisz przejdziemy do dalszej naprawy systemu.

OK, wszytsko wydaje się być w porządku. Kasperski Virus Removal Tool nizego nie wykył, “odinstalowałem” go jak powiedziałeś.

Teraz naprawimy Centrum zabezpieczeń

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Po tym proszę o nowy raport z Farbar Service Scanner

Zrobione oto nowy log FSS

http://wklej.to/Slbc4

Bardzo dobrze. Przejdziemy do kroków końcowych.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum.

Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Wykonaj pełny skan Malwarebytes (masz program na dysku) jak coś wykryje pokaż raport na forum

Uruchom CCleaner Narzędzia - Autostart - znajdź i odhacz

Jeśli Malwarebytes nic nie znajdzie użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost#entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Oto log z wykonanego skryptu:

http://wklej.to/CiYUK

i zabieram sie za skanowianie Malwarebytes

Jeśli Malwarebytes nic nie znajdzie, uaktualnisz to co wskaże securitycheck, ponieważ był tutaj rootkit dla bezpieczeństwa zmień wszystkie hasła logowania