Obciążony internet - Rootkit Necurs

[sopranos]

Witam

 

Od 3 dni mój internet jest naprawde powolny z 20ms zrobiło się na 2000~ms...

 

Jest to wina jakiegoś Rootkit lub innnego tego typu szkodników, wiem bo posiadam 2 komputery i dopóki nie uruchomię zainfekowanego komputera opóźnienia nie ma.

 

Komputer przeskanowałem i wyszukało Rootkit Necrus lecz przy próbie usunięcia tego, programy wymuszają zrestartowanie komputera i tu się pojawia problem gdyż na ekranie pozostaje napis 'Trwa wyłączanie systemu Windows' czy cos w tym stylu jak to w WinXP 32-bitowym i dalej nic się nie dzieje.

 

Próbowałem restartować ręcznie(tzn. przyciskiem na obudowie) ale jedyne co mi sie udało to wywołać komunikat przy starcie systemu oznajmujący że Windows nie może odnaleźć C:/windows/system/config lokalizacji i potrzebna jest płyta Windows do naprawy.

 

Miałby ktos jakis pomysł?

 

Dzięki i pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

Posługujesz się kompletnie przestarzałym OTL 3.2.22.2, pozbawionym mnóstwa poprawek i nowych skanów. Usuń tę wersję z dysku, pobierz najnowszą: KLIK.

 

 

Komputer przeskanowałem i wyszukało Rootkit Necrus lecz przy próbie usunięcia tego, programy wymuszają zrestartowanie komputera i tu się pojawia problem gdyż na ekranie pozostaje napis 'Trwa wyłączanie systemu Windows' czy cos w tym stylu jak to w WinXP 32-bitowym i dalej nic się nie dzieje.

 

Owszem, ślad pośredni Necurs jest na dysku:

 

[2012-09-14 14:43:41 | 000,072,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\849ca76fdefd7a78.sys

 

Po pierwsze: obowiązkowy log w tym dziale to także GMER, bo OTL nie jest do rootkitów i ich nie widzi. Po drugie: w ogóle nie opisałeś co wykryło rootkita Necurs i w czym (jaki plik) ani jakimi narzędziami próbowałeś go usuwać... Jedynie mogę się domyślać, że jednym z nich był TDSSKiller (na dysku go widzę). Wstępnie:

 

1. Zastosuj z poziomu Trybu awaryjnego narzędzie ESET Necurs Remover.

 

2. Po próbie leczenia zrób obowiązkowy GMER oraz OTL z opcji Skanuj (przypominam: z najnowszej wersji programu).

 

 

.

[sopranos]

Ogólnie to uzyłem konsoli przywracania systemu do przywrócenia folderu C:\windows\system32\config\system aby naprawić problem ponownego uruchamiania komputera.

Po przywróceniu komputer był pozbawiony sterowników, a po instalacji wszystkich niezbędnych problem spowolnienia internetu ustał.

 

Tak to TDSSKILLER odnalazł necrusa. Po przywróceniu systemu juz go nie odnajdował więc użyłem Kaspersky Virus Removal aby pozbyc się czegokolwiek co odnajdzie.

Program ESET Necrus Remover po moich działaniach w ogóle nie startuje a dokładnie pojawia się czarne okno na dosłownie pół sekundy po czym znika.

 

 

nie wiem czy jest to poprawny odczyt Gmera poniewaz trwalo to z 3h a tak naprawde nic tam nie ma.

 

dodaje odczyt gmer wcześniej jakieś błędy wyskakiwały

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Ogólnie to uzyłem konsoli przywracania systemu do przywrócenia folderu C:\windows\system32\config\system aby naprawić problem ponownego uruchamiania komputera.

Po przywróceniu komputer był pozbawiony sterowników, a po instalacji wszystkich niezbędnych problem spowolnienia internetu ustał.

 

Podmiana rejestru starszą jej postacią była równoważna z likwidacją usługi sterownika Necurs (pliki na dysku to inna sprawa, ale skan już robiłeś). Przy podmianie pliku chyba przypadkowo utworzyłeś kopię SYSTEM w niewłaściwym miejscu, skasuj to:

 

[2012-10-24 18:23:49 | 007,602,176 | ---- | M] () -- C:\WINDOWS\System\SYSTEM

 

 

Program ESET Necrus Remover po moich działaniach w ogóle nie startuje a dokładnie pojawia się czarne okno na dosłownie pół sekundy po czym znika.

 

Program działa prawidłowo. Tak się zachowuje, gdy infekcji nie wykrywa. Okno konsolowe po prostu się samoczynnie zamyka. By się nie zamykało, należałoby uruchomić w pierwszej kolejności linię komend cmd i dopiero w niej wklepać ścieżkę dostępu do narzędzia zasadniczego. Mówię o tym tylko w celach opisowych, nie ma to aktualnie żadnego znaczenia.

 

 

nie wiem czy jest to poprawny odczyt Gmera poniewaz trwalo to z 3h a tak naprawde nic tam nie ma.

 

Wygląda na poprawny. W systemie brak oprogramowania (np. antywirusów) tworzącego określone ingerencje. Aczkolwiek ... w GMER nie widać czynności tego (a powinien być pokazany wstrzyknięty do procesów moduł):

 

 

Niestety to nie koniec, Necurs wprawdzie usunięty, ale log z najnowszej wersji OTL (ma nowe skany) ujawnia, że tu jest także trojan ZeroAccess uruchamiany z Kosza:

 

========== ZeroAccess Check ========== 
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = C:\RECYCLER\S-1-5-21-1482476501-287218729-725345543-1003\$4f44b58ca631b42528529b2af464b156\n.
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\RECYCLER\S-1-5-18\$4f44b58ca631b42528529b2af464b156\n.
"ThreadingModel" = Free

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik przez dwuklik. Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F

cacls C:\RECYCLER\S-1-5-18\$4f44b58ca631b42528529b2af464b156 /E /G Wszyscy:F
cacls C:\RECYCLER\S-1-5-21-1482476501-287218729-725345543-1003\$4f44b58ca631b42528529b2af464b156 /E /G Wszyscy:F
rd /s /q C:\RECYCLER
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik przez dwuklik.

 

3. Są tu i ślady adware. Uruchom Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z WhiteSmoke na Google, po tym WhiteSmoke usuń z listy. Wymaż z listy stron startowych feed.helperbar.com. Wyczyść Historię przeglądarki.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab" (Reg Error: Key error.)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

5. Zrób nowy log OTL z opcji Skanuj (bez Extras). Uruchom SystemLook i w oknie wklej;

 

:dir

C:\RECYCLER /s

 

Klik w Look.

 

 

 

.

[sopranos]

Witam,

 

Hmm.. po powrocie z delegacjii mój komputer sie dziwnie zachowuje, raz szybko otwiera programy raz wolno, raz pozwala na swietne polaczenie z internetem, a drugim razem go przerywa. Chyba będę musiał zakłożyć hasło przed domownikami na ten komputer :/

 

Nie mam odpowiedniej wiedzy co do działań więc chciałbym spytać was o co tu chodzi.

 

Zrobiłem log OTL który wydaje mi się odnalazł zeroaccess i kilka innych problematycznych szkodników.

 

dosyłam gmera ponieważ we wcześniejszym poście nie dało rady tego zrobić

OTL.Txt

Extras.Txt

ggmer.txt

[picasso]

Nie zgłosiłeś się w poprzednim temacie (nie zostały zadane czynności końcowe), doklejam do niego, bo uznaję aktualny wątek za kontynuację. Jedyne co zwraca tu uwagę w nowych logach, to Oko szefa (instalowane celowo?).

 

 

Zrobiłem log OTL który wydaje mi się odnalazł zeroaccess i kilka innych problematycznych szkodników.

 

Opisz o co Ci chodzi i które wpisy Cię niepokoją. Sekcja ZeroAccess w logu nie oznacza tej infekcji, to wygląd wpisów jest decydujący, u Ciebie już naprawione. Dla porównania błąd interpretacji innego użytkownika i poważne szkody jakie na własne życzenie wyprodukował: KLIK.

 

 

---

Dane z nowych raportów:

 

1. Nie zostały wyczyszczone wtedy ślady po narzędziach: w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj poniższe pliki.

 

[2012-10-24 11:00:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\safecznik\Pulpit\necriu
[2012-10-24 10:58:31 | 000,177,496 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\52242667.sys
[2012-10-24 10:19:30 | 000,177,496 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\55458823.sys
[2012-10-24 10:12:40 | 000,177,496 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\68996801.sys
[2012-10-24 10:12:39 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

 

Nie zostały wyczyszczone foldery Przywracania systemu: KLIK.

 

2. W Dzienniku zdarzeń błędy:

 

Error - 2012-11-06 03:56:44 | Computer Name = SAFA | Source = Print | ID = 23
Description = Drukarka Microsoft XPS Document Writer nie została zainicjowana, ponieważ
 nie można było znaleźć odpowiedniego sterownika Microsoft XPS Document Writer.
 
Error - 2012-11-06 03:56:44 | Computer Name = SAFA | Source = Print | ID = 23
Description = Drukarka Wysyłanie do programu OneNote 2007 nie została zainicjowana,
 ponieważ nie można było znaleźć odpowiedniego sterownika Send To Microsoft OneNote
 Driver.

 

Start > Uruchom > regedit i z prawokliku skasuj te klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Microsoft XPS Document Writer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Wysyłanie do programu OneNote 2007

 

3. Krytyczny poziom aktualizacji systemu oraz do aktualizacji programy:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)

 

Wszystkie aktualizacje do nadrobienia: KLIK.

 

4. Widzę uruchomiony archaiczny Konnekt. Program jest skończony, obsługa sieci w nim przedstawia wieeele do życzenia. Zainteresuj się nowoczesnym WTW, pełny opis komunikatora: KLIK.

 

 

EDIT: Kontynuację z Office 2007 wydzieliłam w osobny temat: KLIK. Tu temat ukończony i go zamykam.

 

 

.