Witam,
Po ataku który odparłem Avastem niestety przestała działa sieć.
Avast usunął m.in Win32:Malware-gen, Sirefef-HI,Sirefef-A, Sirefef-AQ, Patched-WQ, Malob-HG oraz java:Agent-XE
Z systemu zniknęła usługa “Sterownik protokołu TCP/IP”, podgląd zdarzeń pokazuje problemy z uruchomieniem usług Klient DHCP, Klient DNS, Usługa IPSEC i Zapora Windows.
Bardzo proszę o pomoc jak naprawić system.
Pozdrawiam,
GoMez
To niestety jest inna nazwa rootkita zeroaccess Avast chyba wywalił niestety nie wiadomo który sterownik sieci - to sprawdzimy i spróbujemy naprawić później Teraz zajmiemy się infekcją
Antywirus nie jest w stanie usunąć takiej infekcji. Zanim użyje Combofixa chciałbym prosić raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html Proszę ustawić OTL jak na obrazku w instrukcji i klikasz Skanuj powstaną dwa raporty OTL.txt oraz Extras.txt pokaż je na forum
Tak mamy wątpliwą przyjemność z zeroaccess Po kolei:
Pobierz Combofix http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Uruchom program dwuklikiem jak wszystko pójdzie dobrze i narzędzie zakończy pracę powstanie raport. Pokaż ten raport na forum
Padła sieć - prawda
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Skanuj. Pokaż raport OTL.txt na forum
Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na IPSec z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego. A proszę się nie zdziwić, jeśli nie znajdziesz w tej gałęzi rejestru wartości IPSec proszę o tym napisać
Plik został albo wyleczony albo dodany przez Ciebie
Rejestr powiedzmy że się zgadza, czy Ty sam to dodawałeś?
Start - uruchom - wpisujesz services.msc i Enter Znajdź usługi IPSec i zobacz i napisz jaki jest Stan usługi oraz Typ uruchomienia
Proszę sprawdzić czy masz plik netbt.sys w lokalizacji C:\windows\system32\drivers Jeśli tak
Start - Panel Sterowania - System - Sprzęt - Menadżer Urządzeń - Widok - Pokaż ukryte urządzenia Rozwiń listę Sterowniki niezgodne z Plug and Play Znajdź NetBIos przez TCP/IP klikasz na usługę prawym przyciskiem myszy i wybierasz Właściwości - Sterownik Zobacz jaki jest Tryb Uruchomienia
Odinstaluj Combofixa w prawidłowy sposób Start - Uruchom - wpisujesz lub wklej
"d:\fixsys\ComboFix.exe" /uninstall i Enter
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Plik IPSec.sys był dodany przeze mnie + wpisy do rejestru - próbowałem sam to naprawić,
Usługa IPSec - zatrzymana, Tryb uruchomienia - Auto
plik netbt.sys - jest w systemie.
NetBios przez TCP/IP - Uruchamianie: typ Systemowy
log z usuwania: http://wklej.to/9i42Q
log po skanowaniu: http://wklej.to/rFBCT
Ten błąd pojawia się jednak już po wykonanych przez Ciebie krokach
Start - Panel Sterowania - Połączenia sieciowe Sprawdź czy Stan nie jest Wyłączono
Wklej do notatnika
Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg
Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer i sprawdź czy działa sieć
– Dodane 16.12.2011 (Pt) 18:12 –
Jeszcze jedna rzecz
Zgodnie z tym http://www.eventid.net/display.asp?even … BT&phase=1
Stan połączenia sieciowego pokazuje połączony jednak nie pobiera adresu IP.
Nie można uruchomić ipconfig /all, komunikat:
Konfiguracja IP systemu Windows
Wystąpił błąd wewnętrzny: żądanie nie jest obsługiwane.
Aby uzyskać dalszą pomoc, skontaktuj się z Pomocą techniczną
Informacje dodatkowe: nie można zbadać nazwy hosta.
Nadal nie można uruchomić usługi Zapora systemu i tym samym wejść do ustawień firewalla.
Sprawdziłem klucz HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\TransportBindName - wartość u mnie jest ustawiona na “\Device”.
To ma związek z usługą IPSec, której jak twierdził raport OTL nie ma.
Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na NetBT z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego.
Start - Uruchom - wpisujesz services.msc i Enter Znajdź Zdalne Wywoływanie Procedur (RPC) Jaki jest Stan oraz Tryb uruchomienia usługi Zobacz także ten wątek jak ustawione jest logowanie http://www.fixitpc.pl/topic/1690-ustawi … cedur-rpc/
Stan usługi Zdalne wywołanie procedur (RPC)- uruchomiona, Typ uruchmienia - Automatyczny.
Ustawienia logowania - poprawne, zgodnie z zacytowanym opisem (NT Authority \NetworkService)
ALE serwis “Usługi IPSEC” jest zatrzymany, pomimo typu uruchomienia automatyczny - nie udaję się jej wystartować.
Spróbuj zresetować protokół TCP/IP http://support.microsoft.com/kb/299357/pl#top Restart komputera.
W ten sposób uruchamiasz usługę IPSec http://technet.microsoft.com/pl-pl/libr … 10%29.aspx
Niestety nie pomogło
Nadal nie uruchamiają się automatycznie wspominane serwisy tj: Klient DHCP, Klient DNS, Usługi IPSEC i Zapora systemu windows.
IPconfig nie działa.
Uruchom ponownie jest dla usługi IPSEC nieaktywne.
Próba zwykłego uruchomienie, zarówno z konsoli jak i wiersza poleceń kończy się niepowodzeniem - błąd 1068.
W zdarzeniach systemowych pojawiają się przy tym dwa błędy:
Nie można uruchomić usługi Sterownik protokołu TCP/IP z powodu następującego błędu:
Nie można odnaleźć określonego pliku.
Usługa Usługi IPSEC zależy od usługi Sterownik protokołu TCP/IP, której nie można uruchomić z powodu następującego błędu:
Nie można odnaleźć określonego pliku.Wczoraj nie mogłem już odpowiedzieć
Start - Panel Sterowania - System - Sprzęt - Menadżer Urządzeń - Widok - Pokaż ukryte urządzenia Rozwiń listę Sterowniki niezgodne z Plug and Play Znajdź Sterownik Protokołu TCP/IP klikasz na usługę prawym przyciskiem myszy i wybierasz Właściwości - Sterownik Zobacz jaki jest Tryb Uruchomienia oraz Stan bieżący
Stan urządzenia:
To urządzenie nie występuje w systemie, nie pracuje poprawnie lub nie ma zainstalowanych wszystkich swoich sterowników.(Kod 24)
Stan sterownika - zatrzymany, Uruchamianie - Typ systemowy Próba uruchomienia - nieudana Pojawił się błąd:
System napotkał błąd podczas uruchomienia usługi.
Nie można znaleźć określonego pliku.
W podglądzie zdarzeń systemowych nie ma więcej informacji o jaki plik chodzi.
Zakładam, że chodzi o plik tcpip.sys, on jednak jest w systemie. Więc może jest problem w rejestrze
Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na Tcpip z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego.