archit
30 Lipiec 2013 19:34
#1
Witam i proszę o pomoc.
Dzisiaj Norrton Internet Security 2013 usunął zagrożenie “Ws.Malware.3” z pliku tcpip.sys - z lokalizacji C:\Windows\system32\drivers\tcpip.sys i od tej pory brak dostępu do internetu i sieci. W ustawieniach sieciowych, kiedy klikam opcję napraw pojawia się komunikat, że opcja jest niemożliwa, poniewać nie można zbadać ustawień protokołu TCP/IP.
Bez skutku próbowałem odinstalować i ponownie zainstalować kart sieciową i drivery.
log Hijack:
http://www.wklejto.pl/168827
SilentRunners
http://www.wklejto.pl/168828
Bardzo proszę o radę
archit
Acorus
30 Lipiec 2013 19:48
#2
Wykonaj przywracanie systemu.
archit
30 Lipiec 2013 19:52
#3
jak tylko zauważyłem problem to po restarcie (win.XP home) dałem opcję przywracania systemu (ostatnio działająca), ale nic to nie pomogło, może dlatego, że system cały czas działa
Acorus
30 Lipiec 2013 19:59
#4
Atis
30 Lipiec 2013 20:41
#5
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż raport z tego programu.
archit
30 Lipiec 2013 20:45
#6
niestety, reinstalacja nic nie dała, może coś robię nie tak ?! w połączeniach sieciowych mam “Połączenie 1394” i “Połączenie lokalne 5”
Odinstalowałem protokól klikając na właściwości “Połączenia 1394” i nie zadziałało. Czy powinienem to samo zrobić z “Połączemiem lokalnym 5” ?!
– Dodane 30.07.2013 (Wt) 22:58 –
przeskanowałem oto raport
http://www.wklejto.pl/168835
– Dodane 30.07.2013 (Wt) 22:59 –
http://www.wklejto.pl/168835
– Dodane 30.07.2013 (Wt) 23:15 –
Atis ,
z raportu wynika, że tcpip.sys ciągle jest zainfekowany - co dalej robic ?
Atis
30 Lipiec 2013 21:16
#7
Podmień sterownik tcpip.sys za pomocą Replacer:
http://traxter-online.net/replacer-podm … indows-xp/
Pobierz plik zgodny z Windows XP SP3:
http://sendfile.pl/34643/tcpip.sys
archit
30 Lipiec 2013 21:43
#8
Uff, podmiana zadziałała i odzyskałem - jestem serdecznie wdzięczny wszystki za pomoc.
Atis
30 Lipiec 2013 21:44
#9
Pokaż logi, bo nie wiadomo czy wirus został całkowicie usunięty.
OTL - Raport obowiązkowy:
analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu: C:\TDSSKiller.wersja_data_czas_log.txt
archit
30 Lipiec 2013 22:25
#10
TDSSKiller
http://www.wklejto.pl/168844
OTL.Txt
http://www.wklejto.pl/168845
Extras.Txt
http://www.wklejto.pl/168846
TDSSKiller coś wykrył - czy to znaczy, że ciągle jest inferkcja ?
Atis
30 Lipiec 2013 22:44
#11
Sterownik sptd jest od DAEMON Tools i nie jest szkodliwy.
TDSSKiller zawsze wykrywa ten sterownik jako zablokowany LockedFile.
Odinstaluj 4shared Toolbar, Winamp Toolbar, Family Toolbar.
Uruchom AdwCleaner i kliknij Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\MSI\Live Update 5\NTIOLib.sys – (NTIOLib_1_0_4) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\MSI\Live Update 4\LU4\msibios.sys – (MsibiosDevice) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11220.sys – (EraserUtilDrv11220) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\VBoxNetFlt.sys – (VBoxNetFlt) SRV - File not found [Auto | Unknown] – -- (WinDefend) DRV - File not found [Kernel | Auto | Stopped] – System32\Drivers\cdenable.sys – (cdenable) O3 - HKU\S-1-5-21-1229272821-1604221776-725345543-1004…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2013-07-31 00:04:35 | 000,000,274 | ---- | M] () – C:\WINDOWS\tasks\RMAutoUpdate.job [2013-07-22 00:01:27 | 000,000,204 | ---- | M] () – C:\WINDOWS\System32\secustat.dat [2013-07-07 20:12:37 | 000,000,305 | ---- | M] () – C:\WINDOWS\System32\secushr.dat [2013-07-30 23:31:28 | 000,361,600 | ---- | C] () – C:\WINDOWS\System32\drivers\tcpip.backup [2013-01-19 18:15:10 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\19Rgeit2iTqrf7M2Ql65 [2013-04-13 00:45:01 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\F-Secure [2013-01-19 18:21:58 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\t01x97GIiTqrf7M2Q @Alternate Data Stream - 400 bytes -> C:\Documents and Settings\Archit\Ustawienia lokalne\Dane aplikacji\desktop.ini:bf5af20ce7a419b1178ece347eddc338 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
archit
30 Lipiec 2013 23:28
#12
Atis
30 Lipiec 2013 23:46
#13
Na liście rozszerzeń Chrome usuń wxDfast: Odinstalowywanie rozszerzeń
Wklej i kliknij Wykonaj skrypt:
:OTL IE - HKU\S-1-5-21-1229272821-1604221776-725345543-1004…\URLSearchHook: {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll () IE - HKU\S-1-5-21-1229272821-1604221776-725345543-1004…\SearchScopes{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}: “URL” = http://websearch.4shared.com/results?q={searchTerms} IE - HKU\S-1-5-21-1229272821-1604221776-725345543-1004…\SearchScopes{A7837079-D95D-4265-8490-914103D34C5F}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BA7C0182-966C-4698-82C9-0F777EBE5862&apn_sauid=DB21B77F-CC04-47D6-9F58-53CE745CAF0E O2 - BHO: (MHTBPos00 Class) - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll () [2013-06-30 01:56:14 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\G Data [2012-04-05 17:10:15 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\InstallMate [2010-11-13 01:29:39 | 000,000,000 | —D | M] – C:\Documents and Settings\Archit\Dane aplikacji\Systweak :Files C:\Program Files\Family Toolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=-
Uruchom OTL i kliknij Sprzątanie.
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Dr.Web CureIt
archit
31 Lipiec 2013 00:19
#14
Quote
Results of screen317’s Security Check version 0.99.71
Windows XP Service Pack 3 x86
Internet Explorer 8
Antivirus/Firewall Check:
Norton Internet Security
Anti-malware/Other Utilities Check:
Out of date HijackThis installed!
HijackThis 1.99.1
CCleaner
Java 6 Update 31
Java version out of Date!
Adobe Flash Player 11.7.700.224
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (22.0)
Process Check: objlist.exe by Laurent
Norton ccSvcHst.exe
System Health check
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
falcon89
31 Lipiec 2013 08:37
#15
Odinstaluj
HijackThis
Java 6 Update 31
Adobe Reader 9
Adobe Flash Player 11.7.700.224 za pomocą Adobe Flash Player Uninstaller
Zainstaluj
Java 7 Update 25
Adobe Reader XI
Adobe Flash Player 11.8.800.94 (mogą wystąpić problemy z filmikami w internecie)
archit
31 Lipiec 2013 16:34
#16
zainstalowałem najnowsze wersje javy i falsha, ale reader XI nie zainstalował się u mnie - program instalacyjny ruszył po czym zniknął i nic się nie dzieje (sprawdziłem 2 razy) - może nie obsługuje XP home ?!
Dr Web CureIT nie wykrył zagrożenia - wygląda, że znowu jest czysto i zdrowo
Jeszcze raz WIELKIE DZIĘKI WSZYSTKIM za pomoc.
archit
Acorus
31 Lipiec 2013 16:39
#17
Zamiast adobe readera zainstaluj FoxitReader http://ninite.com/foxit/
archit
31 Lipiec 2013 16:46
#18
co to giganci i masmedia z nami robią - człowiek rzadko myśli o alternatywie - dzięki
natomiast nie mam przydzielonego adresu IP
- chyba, że mam sprawdzić jeszcze czymś ?