Utrata pakietów, spadek prędkości internetu

[Zoltar]

Witam,

 

zwracam się do Was z prośbą o pomoc. Mam internet 2mb neostrada i od jakiegoś tygodnia (może więcej) mam problem z internetem. Prędkość ściągania utrzymuje się w granicach 10-20 kb/s, do tego ciągłe utraty pakietów, co bardzo przeszkadza w grach online.

Proszę Was o pomoc, gdyż nie wiem co mam robić. Może uda się odkryć coś w logach, dlatego zamieszczam net-log.

 

Pozdrawiam,

Zoltar.

net-log.txt

[DawidS28]

Wykonaj logi z OTL (otl.txt i extras.txt) oraz Gmera:

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/

 

Widzę wpisy stworzone przez szkodliwe oprogramowanie, które także może być przyczyną problemów.

[Zoltar]

Oto logi.

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Masz szkodliwie zmodyfikowany plik HOSTS, odpadkowe sterowniki po szkodnikach, ślady autoryzacji szkodników w zaporze (procesy z C:\Windows\Temp) oraz dwa keyloggery nabyte przez paczki Tibia. Pierwszy z nich to ta para plików:

 

O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
 
[2011-07-22 08:52:35 | 000,000,000 | ---- | C] () -- C:\Program Files\Common Files\userInit.dll
[2011-07-21 17:55:15 | 000,027,958 | ---- | C] () -- C:\Program Files\Common Files\logonInit.dll

 

Drugi to plik:

 

[2011-04-17 19:03:38 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\spdg.dll

 

Ten plik podmienia krytyczną systemową bibliotekę ws2_32.dll i nie można usunąć pliku spdg.dll, dopóki nie zostanie przywrócony czysty ws2_32.dll, w przeciwnym wypadku Windows przestanie bootować. Z tym, że tutaj nie jest pewne czy sprawy tak się mają i może to już kiedyś w jakiś sposób rozwiązywano: w GMER nie widać charakterystycznych dla tej modyfikacji wpisów, w załadowanych modułach brak spdg.dll.

 

Nie wiem czy to wszystko co wyżej to przyczyna problemów z siecią, bo te keyloggery z Tibia czasowo nie pasują, a reszta w stanie odpadkowym. Natomiast w Dzienniku zdarzeń jest taki błąd:

 

[ System Events ]
Error - 2012-11-04 09:25:24 | Computer Name = L-954D430C82A74 | Source = RemoteAccess | ID = 20106
Description = Nie można dodać interfejsu {B6883372-0751-46E6-A248-447604E442D3} 
za pomocą menedżera routerów  dla protokołu IP. Wystąpił następujący błąd: Nie można
 ukończyć wykonywania tej funkcji.  .

 

 

---

Na początek wyczyść śmietnisko:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
[2012-11-04 14:47:56 | 000,000,000 | ---- | M] () -- C:\Program Files\Common Files\userInit.dll
[2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011-04-10 09:48:50 | 000,000,143 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\foxsearch.src
[2011-05-03 11:47:51 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011-05-03 11:47:51 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08}: D:\Program Files (x86)\DAP\DAPFireFox
O8 - Extra context menu item: &Clean Traces - D:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm File not found
O8 - Extra context menu item: &Download with &DAP - D:\Program Files (x86)\DAP\dapextie.htm File not found
O8 - Extra context menu item: Download &all with DAP - D:\Program Files (x86)\DAP\dapextie2.htm File not found
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\qqjbtj.sys -- (rual)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\hvxluukq.sys -- (qjmcjynb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\buivk.sys -- (kmkpov)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\extrem.sys -- (extrem.sys)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\dtsoftbus01.sys -- (dtsoftbus01)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Files
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Zrób nowy log OTL na warunku dostosowanym. W sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start

ws2_32.dll
/md5stop

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[Zoltar]

Okej, zrobiłem to wszystko, lecz podczas wykonywania pierwszego skryptu, otl i cały komputer się zawiesił. Odczekałem około 15 minut, ale nic się nie działo, więc zresetowałem komputer ręcznie. Mam nadzieję, że nic się nie popsuło.

 

Oto log.

OTL.Txt

[picasso]

Plik ws2_32.dll nie wygląda na modyfikowany (czyli wcześniej jakieś akcje musiały być już podjęte). Natomiast niestety skrypt się nie przetworzył. Prawdopodobna przyczyna kolizji: rezydent MBAM. Powtórka:

 

1. Wejdź w Tryb awaryjny Windows i ponów operację ze skryptem (załączam w nim już plik spdg.dll do usunięcia):

 

:OTL
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
[2012-11-04 14:47:56 | 000,000,000 | ---- | M] () -- C:\Program Files\Common Files\userInit.dll
[2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011-04-10 09:48:50 | 000,000,143 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\foxsearch.src
[2011-05-03 11:47:51 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011-05-03 11:47:51 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2011-04-17 19:03:38 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\spdg.dll
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08}: D:\Program Files (x86)\DAP\DAPFireFox
O8 - Extra context menu item: &Clean Traces - D:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm File not found
O8 - Extra context menu item: &Download with &DAP - D:\Program Files (x86)\DAP\dapextie.htm File not found
O8 - Extra context menu item: Download &all with DAP - D:\Program Files (x86)\DAP\dapextie2.htm File not found
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\qqjbtj.sys -- (rual)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\hvxluukq.sys -- (qjmcjynb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\buivk.sys -- (kmkpov)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\extrem.sys -- (extrem.sys)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\dtsoftbus01.sys -- (dtsoftbus01)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Files
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

2. Zresetuj do Trybu normalnego Windows i zrób nowy log OTL z opcji Skanuj.

 

 

 

.

[Zoltar]

Wykonałem polecenia i oto nowy log.

OTL.Txt

[picasso]

Czyszczenie pomyślnie wykonane. Na zakończenie:

 

1. Pozbądź się ostatnio pobranych botów/dodatków do Tibia (jeden z nich podkłada świnię). Pozmieniaj hasła w Tibia.

 

3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz historyczne szczątki ComboFix.

 

4. Na wszelki wypadek zrób jeszcze skan w Kaspersky Virus Removal Tool.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Zaktualizuj aplikacje: KLIK. Konkretnie:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)

 

 

Jeśli nadal jest problem z siecią, temat przeniosę z powrotem do działu Sieci.

 

 

.

[Zoltar]

Więc tak, wszystkie problemy ustąpiły, prędkość ściągania w okolicach 260kb/s, ping około 50. Zauważyłem znaczną poprawę w działaniu systemu, widać strasznie dużo śmieci było. Kaspersky wykrył ten plik logoninit.dll i kazał go usunąć, więc tak zrobiłem.

 

Chciałbym bardzo serdecznie podziękować za pomoc i profesjonalne podejście.

 

Mam jeszcze jedno pytanie. Czy jest możliwość zlokalizowania, który bot/dodatek podkłada świnię? Oczywiście pozbyłem się wszystkich.

[picasso]

Kaspersky wykrył ten plik logoninit.dll i kazał go usunąć, więc tak zrobiłem.

 

I to mnie teraz niepokoi. Ja ten plik już usuwałam przecież ... Skoro Kaspersky to wykrył ponownie, to może ponownie załadowałeś zainfekowany składnik Tibia. W czym Kaspersky to wykrył, w jakiej ścieżce?

 

 

Czy jest możliwość zlokalizowania, który bot/dodatek podkłada świnię? Oczywiście pozbyłem się wszystkich.

 

Niestety tego nie jestem w stanie stwierdzić.

 

 

.

[Zoltar]

Kaspersky wykrył ten plik na partycji systemowej C, ale nie pamiętam gdzie dokładnie. Chyba documents and settings, a może windows? Nie pamiętam teraz, sory. Od usuwania infekcji programem otl do skanowania kasperskim nie uruchamiałem żadnych botów z tego co pamiętam.

[picasso]

Na wszelki wypadek pokaż mi nowy log OTL z opcji Skanuj.

[Zoltar]

Oto logi.

Extras.Txt

OTL.Txt

[picasso]

Moje podejrzenia się sprawdziły. Ten keylogger znowu jest "zainstalowany":

 

O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()

 

Ta infekcja była usuwana aż dwa razy: skryptem OTL + Kaspersky Virus Removal Tool. Nie widzę tu innego wyjaśnienia: jednak uruchomiłeś coś od Tibia. Co to za obiekty, loader i testserver:

 

[2012-10-15 09:28:57 | 000,000,587 | ---- | M] () -- C:\Documents and Settings\Łukasz\Pulpit\Skrót do loader.exe.lnk
[2012-10-15 09:28:42 | 000,000,761 | ---- | M] () -- C:\Documents and Settings\Łukasz\Pulpit\Skrót do Tibia.exe.lnk
[2012-11-04 10:16:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz\Dane aplikacji\TibiaTestserver

 

Cóż, usuwamy po raz kolejny:

 

1. Wyłącz rezydent MBAM. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
[2012-11-08 15:32:26 | 000,000,000 | ---- | M] () -- C:\Program Files\Common Files\userInit.dll
[2012-11-06 19:34:55 | 000,000,346 | -HS- | M] () -- C:\WINDOWS\0183824drv.spi
[2012-11-06 19:28:16 | 000,000,852 | ---- | M] () -- C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\_uninst_42234876.lnk
[2012-11-06 19:06:00 | 000,000,486 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012-10-17 16:31:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Nastąpi restart.

 

2. Jak mówię: usuń wszystkie dodatki do Tibia, bo mi tu nie wygląda jednak na doprowadzenie tego do końca. Proponuję też reinstalację samej Tibia na czysto.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Zoltar]

Loader.exe to bot, a tibiaserver, to szczerze mówiąc nie mam pojęcia.

Czyli jednak uruchamiałem boty, moja wina. Wszystko teraz dokładnie pousuwałem, a samą tibie przeinstalowałem. Oto log.

OTL.Txt

[picasso]

Trojan wygląda na usunięty. Czynności końcowe:

 

1. Skoro:

 

tibiaserver, to szczerze mówiąc nie mam pojęcia

 

Przez SHIFT+DEL dokasuj ten folder z dysku:

 

C:\Documents and Settings\Łukasz\Dane aplikacji\TibiaTestserver

 

2. Ponownie wymień hasła w Tibia.

 

3. W OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[Zoltar]

Zrobione, po raz kolejny dzięki za pomoc. :-)