Skocz do zawartości

Rootkit NECURS


zabor

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom Kaspersky TDSSKiller i zostaw wszystkie akcje domyślne czyli dla wyniku Rootkit.Win32.Necurs.gen akcja Cure Delete. Nie ruszaj potencjalnych sterowników oznaczonych jako Locked, to są prawidłowe sterowniki zablokowane przez rootkita i blokada z nich samodzielnie zejdzie po usunięciu Necurs. Zatwierdź leczenie i restart. Na C powstanie log z wynikami usuwania.

 

2. Przedstaw ów log z TDSSKiller oraz nowy GMER i OTL.

 

 

 

.

Odnośnik do komentarza

Cure to moja pomyłka, dla Necurs oczywiście Delete. Natomiast Necurs powinien blokować inne sterowniki, ale skoro tu nic takiego TDSSKiller nie zanotował, tym lepiej. Raporty niejasne. TDSSKiller usuwał sterownik 891e0ea0e37ee554.sys. Dwa pozostałe raporty z TSSKiller są niepełne, tak jakby skan się nie wykonał. GMER nadal pokazuje czynnego rootkita, tylko inny plik 51e402cbac44d922.sys. Jeżeli teraz po restarcie GMER nadal widzi to samo, to użyj inne narzędzie ESET Necurs Remover.

 

zabor, dlaczego zostały usunięte logi z pierwszego posta? Linki kierują do nikąd, nie mogę porównać danych... Nie pamiętam przecież co mówiły na początku GMER i OTL. Ja muszę mieć logi od pierwszego do ostatniego posta cały czas dostępne, przeprowadzenie określonych procedur nie anuluje danych dostarczonych na początku.

 

 

 

.

Odnośnik do komentarza

Po użyciu ESET Necurs Remover GMER nie wykrywa juz rootkita. Czy to znaczy że został on na dobre usunięty?

Nie mam pojęcia czemu te pliki zostały usunięte z hostingu. Niestety już ich nie mam.

A jeszcze takie pytanko, bo ostatnio antywirus nie chciał mi działać poprawnie, wszystkie osłony były zablokowane i nawet reinstalka nic nie dała. Czy to mogło być spowodowane tym rootkitem?

gmer.txt

OTL.Txt

Odnośnik do komentarza
Nie mam pojęcia czemu te pliki zostały usunięte z hostingu. Niestety już ich nie mam.

 

Udało mi się odzyskać pierwszy GMER + OTL z moich Tempów. Logi przeniosłam na wklej.org.

 

 

A jeszcze takie pytanko, bo ostatnio antywirus nie chciał mi działać poprawnie, wszystkie osłony były zablokowane i nawet reinstalka nic nie dała. Czy to mogło być spowodowane tym rootkitem?

 

Tak, jak najbardziej. Necurs charakteryzuje się właśnie blokowaniem oprogramowania zabezpieczającego. GMER też powinien mieć problem z uruchomieniem, choć tu u Ciebie o dziwo był zdolny zastartować i zrobić skan.

 

 

Po użyciu ESET Necurs Remover GMER nie wykrywa juz rootkita. Czy to znaczy że został on na dobre usunięty?

 

Na to wygląda, że nie jest już czynny. Ale tu nie koniec, po Necurs pozostała martwa usługa + na dysku jego pliki *.sys, w starcie masz jeszcze jedną brzydką rzecz (comijehocafy.exe) oraz szczątki innych infekcji i adware. Kolejne czynności wymagane:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\drivers\de6df50938cecbb4.sys
C:\WINDOWS\System32\drivers\dbb86f783619462d.sys
C:\WINDOWS\System32\drivers\e1ffffcc3c60d677.sys
C:\WINDOWS\System32\drivers\c6170a852077e139.sys
C:\WINDOWS\System32\drivers\f6e311325143e7dd.sys
C:\WINDOWS\System32\drivers\51e402cbac44d922.sys.vir
C:\WINDOWS\System32\drivers\str.sys
C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
 
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\51e402cbac44d922.sys -- (51e402cbac44d922)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2"
IE - HKCU\..\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}: "URL" = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searc}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKCU..\Run: [comijehocafy] C:\Documents and Settings\Krzychu\comijehocafy.exe ()
O4 - HKCU..\Run: [CubeDesktop]  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj.

 

 

 

.

Odnośnik do komentarza

1. Drobna poprawka i usunięcie szczątków skanerów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5)
 
:Files
C:\Documents and Settings\Krzychu\Dane aplikacji\OpenCandy
C:\Documents and Settings\Krzychu\Dane aplikacji\chrtmp
C:\Documents and Settings\All Users\Dane aplikacji\BDLogging
C:\Documents and Settings\All Users\Dane aplikacji\1350655907.bdinstall.bin
C:\Documents and Settings\All Users\Dane aplikacji\1350595902.bdinstall.bin
C:\Documents and Settings\Krzychu\Dane aplikacji\QuickScan
C:\Program Files\Common Files\Bitdefender
C:\Program Files\Alwil Software
netsh firewall reset /C

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: przez SHIFT+DEL usuń folder C:\TDSSKiller_Quarantine, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza

1. Wyniki MBAM: te kierujące na pliki gier zdają się być fałszywymi alarmami, ale za Windows 7 Loader.exe nie podłożę głowy i na wszelki wypadek pozbądź się tego cracka.

 

2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. W logu widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj SP3

"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 ----> doinstaluj SP

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation)

 

+ Service Pack dla Microsoft SQL Server 2008 R2: KB2527041

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...