Brak sieci po usunieciu wirusów


(G M) #1

Witam,

Po ataku który odparłem Avastem niestety przestała działa sieć.

Avast usunął m.in Win32:Malware-gen, Sirefef-HI,Sirefef-A, Sirefef-AQ, Patched-WQ, Malob-HG oraz java:Agent-XE

Z systemu zniknęła usługa "Sterownik protokołu TCP/IP", podgląd zdarzeń pokazuje problemy z uruchomieniem usług Klient DHCP, Klient DNS, Usługa IPSEC i Zapora Windows.

Bardzo proszę o pomoc jak naprawić system.

Pozdrawiam,

GoMez


(Spandau) #2

To niestety jest inna nazwa rootkita zeroaccess Avast chyba wywalił niestety nie wiadomo który sterownik sieci - to sprawdzimy i spróbujemy naprawić później Teraz zajmiemy się infekcją

Antywirus nie jest w stanie usunąć takiej infekcji. Zanim użyje Combofixa chciałbym prosić raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html Proszę ustawić OTL jak na obrazku w instrukcji i klikasz Skanuj powstaną dwa raporty OTL.txt oraz Extras.txt pokaż je na forum


(G M) #3

logi: http://wklej.to/tDFPF


(Spandau) #4

Tak mamy wątpliwą przyjemność z zeroaccess Po kolei:

Pobierz Combofix http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Uruchom program dwuklikiem jak wszystko pójdzie dobrze i narzędzie zakończy pracę powstanie raport. Pokaż ten raport na forum

Padła sieć - prawda

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj. Pokaż raport OTL.txt na forum

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na IPSec z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego. A proszę się nie zdziwić, jeśli nie znajdziesz w tej gałęzi rejestru wartości IPSec proszę o tym napisać


(G M) #5

log Combofix: http://wklej.to/7A1X4

log OTL: http://wklej.to/MV2BC

IPSec Reg: http://wklej.to/kHqHK


(Spandau) #6

Plik został albo wyleczony albo dodany przez Ciebie

Rejestr powiedzmy że się zgadza, czy Ty sam to dodawałeś?

Start - uruchom - wpisujesz services.msc i Enter Znajdź usługi IPSec i zobacz i napisz jaki jest Stan usługi oraz Typ uruchomienia

Proszę sprawdzić czy masz plik netbt.sys w lokalizacji C:\windows\system32\drivers Jeśli tak

Start - Panel Sterowania - System - Sprzęt - Menadżer Urządzeń - Widok - Pokaż ukryte urządzenia Rozwiń listę Sterowniki niezgodne z Plug and Play Znajdź NetBIos przez TCP/IP klikasz na usługę prawym przyciskiem myszy i wybierasz Właściwości - Sterownik Zobacz jaki jest Tryb Uruchomienia

Odinstaluj Combofixa w prawidłowy sposób Start - Uruchom - wpisujesz lub wklej

"d:\fixsys\ComboFix.exe" /uninstall i Enter

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(G M) #7
  1. Plik IPSec.sys był dodany przeze mnie + wpisy do rejestru - próbowałem sam to naprawić,

  2. Usługa IPSec - zatrzymana, Tryb uruchomienia - Auto

  3. plik netbt.sys - jest w systemie.

  4. NetBios przez TCP/IP - Uruchamianie: typ Systemowy

  5. log z usuwania: http://wklej.to/9i42Q

  6. log po skanowaniu: http://wklej.to/rFBCT


(Spandau) #8

Ten błąd pojawia się jednak już po wykonanych przez Ciebie krokach

Start - Panel Sterowania - Połączenia sieciowe Sprawdź czy Stan nie jest Wyłączono

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer i sprawdź czy działa sieć

-- Dodane 16.12.2011 (Pt) 18:12 --

Jeszcze jedna rzecz

Zgodnie z tym http://www.eventid.net/display.asp?even ... BT&phase=1


(G M) #9

Stan połączenia sieciowego pokazuje połączony jednak nie pobiera adresu IP.

Nie można uruchomić ipconfig /all, komunikat:

Konfiguracja IP systemu Windows

Wystąpił błąd wewnętrzny: żądanie nie jest obsługiwane.

Aby uzyskać dalszą pomoc, skontaktuj się z Pomocą techniczną

Informacje dodatkowe: nie można zbadać nazwy hosta.

Nadal nie można uruchomić usługi Zapora systemu i tym samym wejść do ustawień firewalla.

Sprawdziłem klucz HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\TransportBindName - wartość u mnie jest ustawiona na "\Device\".


(Spandau) #10

To ma związek z usługą IPSec, której jak twierdził raport OTL nie ma.

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na NetBT z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego.


(G M) #11

Reg NetBT: http://wklej.to/8sDv0


(Spandau) #12

Start - Uruchom - wpisujesz services.msc i Enter Znajdź Zdalne Wywoływanie Procedur (RPC) Jaki jest Stan oraz Tryb uruchomienia usługi Zobacz także ten wątek jak ustawione jest logowanie http://www.fixitpc.pl/topic/1690-ustawi ... cedur-rpc/


(G M) #13

Stan usługi Zdalne wywołanie procedur (RPC)- uruchomiona, Typ uruchmienia - Automatyczny.

Ustawienia logowania - poprawne, zgodnie z zacytowanym opisem (NT Authority \NetworkService)

ALE serwis "Usługi IPSEC" jest zatrzymany, pomimo typu uruchomienia automatyczny - nie udaję się jej wystartować.


(Spandau) #14

Spróbuj zresetować protokół TCP/IP http://support.microsoft.com/kb/299357/pl#top Restart komputera.

W ten sposób uruchamiasz usługę IPSec http://technet.microsoft.com/pl-pl/libr ... 10%29.aspx


(G M) #15

Niestety nie pomogło

Nadal nie uruchamiają się automatycznie wspominane serwisy tj: Klient DHCP, Klient DNS, Usługi IPSEC i Zapora systemu windows.

IPconfig nie działa.


(Spandau) #16

W ten sposób uruchamiasz usługę IPSec? http://technet.microsoft.com/pl-pl/libr ... 10%29.aspx


(G M) #17

Uruchom ponownie jest dla usługi IPSEC nieaktywne.

Próba zwykłego uruchomienie, zarówno z konsoli jak i wiersza poleceń kończy się niepowodzeniem - błąd 1068.

W zdarzeniach systemowych pojawiają się przy tym dwa błędy:

Nie można uruchomić usługi Sterownik protokołu TCP/IP z powodu następującego błędu: 

Nie można odnaleźć określonego pliku. 



Usługa Usługi IPSEC zależy od usługi Sterownik protokołu TCP/IP, której nie można uruchomić z powodu następującego błędu: 

Nie można odnaleźć określonego pliku.

(Spandau) #18

Wczoraj nie mogłem już odpowiedzieć

Start - Panel Sterowania - System - Sprzęt - Menadżer Urządzeń - Widok - Pokaż ukryte urządzenia Rozwiń listę Sterowniki niezgodne z Plug and Play Znajdź Sterownik Protokołu TCP/IP klikasz na usługę prawym przyciskiem myszy i wybierasz Właściwości - Sterownik Zobacz jaki jest Tryb Uruchomienia oraz Stan bieżący


(G M) #19

Stan urządzenia:

To urządzenie nie występuje w systemie, nie pracuje poprawnie lub nie ma zainstalowanych wszystkich swoich sterowników.(Kod 24)

Stan sterownika - zatrzymany, Uruchamianie - Typ systemowy Próba uruchomienia - nieudana Pojawił się błąd:

System napotkał błąd podczas uruchomienia usługi.

Nie można znaleźć określonego pliku.

W podglądzie zdarzeń systemowych nie ma więcej informacji o jaki plik chodzi.


(Spandau) #20

Zakładam, że chodzi o plik tcpip.sys, on jednak jest w systemie. Więc może jest problem w rejestrze

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na Tcpip z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego.