Trojany zabezpieczone hasłem, Kaspersky IS nie daje rady

[szakal]

Witam

(i z gory przepraszam z brak polskich znakow)

Polecono mi te forum jako ze uytkownik Picasso byby w stanie mi pomoc (na konkurencyjnym forum nie mogli)

Kaspersky po przeskanowaniu komputera nic nie znajduje. Plik ten został jakby wcześniej automatycznie przeniesiony do kwarantanny. Problem dotyczy 3 programow I.exe, W.exe, Uiso9_pe.exe (ktory pobralem z trefnej witryny). Dodatkowo od tego czasu nie laduja sie profile uzytkownikow (mimo ze wszystko jak wczesniej sie w nich znajduje) lecz tymczasowe a za to powstaly nowe foldery bedace zamiennikiem tych folderow z koncowka .DOM .

Dodatkowo mam wrazenie ze windows nie dziala najlepiej, takze wyskakuja informacje o instalowaniu service packa 1 mimo ze wszystko co windows chcial bylo dawno zainstalowane.

 

screen folderow uzytkownikow + okienko z Kaspersky 2010 IS:

http://images37.fotosik.pl/855/715fa1701284a7f1.jpg

Log z OTL:

http://www.wklej.eu/index.php?id=6764471e78

extras:

http://www.wklej.eu/index.php?id=1f5eb26ebd

 

 

z gory dziekuje za pomoc

 

ps. za chwile dolacze raport z gmera

[picasso]

Posługujesz się przestarzałym OTL by OldTimer - Version 3.2.10.0, który nie uwzględnia wielu poprawek działania i dodatkowych procedur. Aktualna wersja to 3.2.23.0 Obowiązkowo proszę pobrać najnowszą z linków w przyklejonym na forum. Nie dołączyłeś raportu z GMER.

 

 

W OTL nie widzę znaków infekcji, tylko śmieci Ask Toolbar i vShare (potem się tym zajmiemy), ale rzeczywiście jest coś nie w porządku, gdyż root kont wyświetla się w Autostarcie:

 

O4 - Startup: C:\Documents and Settings\All Users\Dane aplikacji [2011-06-03 08:06:55 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\All Users\Dokumenty [2011-02-01 14:44:45 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\All Users\DRM [2010-07-29 20:00:51 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\All Users\Menu Start [2010-10-26 21:07:00 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\All Users\Pulpit [2011-05-31 14:36:39 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\All Users\Szablony [2011-01-10 22:06:24 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\All Users\Ulubione [2010-07-12 23:48:31 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Default User\Cookies [2010-07-12 22:06:09 | 000,000,000 | --SD | M]
O4 - Startup: C:\Documents and Settings\Default User\Dane aplikacji [2010-07-16 13:14:13 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Default User\Menu Start [2010-07-12 23:48:31 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Default User\Moje dokumenty [2010-07-12 23:48:31 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Default User\NetHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Default User\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\Default User\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\Default User\PrintHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Default User\Pulpit [2010-07-12 23:48:31 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Default User\Recent [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Default User\SendTo [2010-07-12 22:04:07 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Default User\Szablony [2010-07-12 22:01:45 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Default User\Ulubione [2010-07-12 23:48:31 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Default User\Ustawienia lokalne [2010-07-12 23:48:31 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek\Cookies [2011-06-01 22:33:25 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\Domek\Dane aplikacji [2011-03-08 23:09:32 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek\Menu Start [2010-10-26 21:07:00 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Domek\NetHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek\ntuser.dat.LOG ()
O4 - Startup: C:\Documents and Settings\Domek\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\Domek\PrintHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek\Pulpit [2011-06-02 16:32:45 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Domek\Recent [2011-06-02 14:10:01 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek\SendTo [2010-07-12 22:09:00 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek\Szablony [2010-07-12 22:01:45 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek\Ulubione [2011-04-13 18:56:20 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Domek\UserData [2010-07-12 23:02:51 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\Domek\Ustawienia lokalne [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Cookies [2010-07-12 22:06:09 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Dane aplikacji [2011-06-02 17:23:20 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Menu Start [2010-07-12 23:48:31 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Moje dokumenty [2011-06-02 16:35:25 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\NetHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\Domek.DOM\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\Domek.DOM\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\Domek.DOM\PrintHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Pulpit [2010-07-12 23:48:31 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Recent [2011-06-02 19:57:14 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\SendTo [2011-06-02 16:34:55 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Szablony [2010-07-12 22:01:45 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Ulubione [2011-06-02 16:35:27 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Domek.DOM\Ustawienia lokalne [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\LocalService\Cookies [2010-07-12 22:07:03 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\LocalService\Dane aplikacji [2010-07-12 22:07:02 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\LocalService\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\LocalService\ntuser.dat ()
O4 - Startup: C:\Documents and Settings\LocalService\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\LocalService\Ustawienia lokalne [2010-07-12 22:07:03 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\NetworkService\Cookies [2010-07-24 08:54:51 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\NetworkService\Dane aplikacji [2010-07-12 22:06:46 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\NetworkService\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\NetworkService\ntuser.dat ()
O4 - Startup: C:\Documents and Settings\NetworkService\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\NetworkService\Ustawienia lokalne [2010-07-12 22:06:46 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek\Cookies [2011-06-02 08:16:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Documents and Settings\Radek\Dane aplikacji [2011-05-18 09:12:12 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Radek\Menu Start [2010-07-12 23:48:31 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Radek\Moje dokumenty [2011-06-02 16:40:23 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Radek\Nadeo.ini ()
O4 - Startup: C:\Documents and Settings\Radek\NetHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek\ntuser.dat ()
O4 - Startup: C:\Documents and Settings\Radek\NTUSER.DAT ()
O4 - Startup: C:\Documents and Settings\Radek\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\Radek\PrintHood [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek\Pulpit [2011-06-02 16:31:56 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Radek\Recent [2011-05-31 20:49:37 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Radek\SendTo [2010-07-13 09:37:43 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Documents and Settings\Radek\Szablony [2010-07-12 22:01:45 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek\Ulubione [2011-03-16 09:06:38 | 000,000,000 | R--D | M]
O4 - Startup: C:\Documents and Settings\Radek\Ustawienia lokalne [2010-07-12 23:48:31 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Cookies [2011-06-02 16:29:27 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Dane aplikacji [2011-06-02 17:05:24 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Menu Start [2011-06-03 07:39:32 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Moje dokumenty [2011-06-02 16:40:44 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\ntuser.dat ()
O4 - Startup: C:\Documents and Settings\Radek.DOM\ntuser.dat ()
O4 - Startup: C:\Documents and Settings\Radek.DOM\ntuser.ini ()
O4 - Startup: C:\Documents and Settings\Radek.DOM\Pulpit [2011-06-03 07:40:04 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Recent [2011-06-02 17:05:44 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Szablony [2011-06-03 07:36:11 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Ulubione [2011-06-02 16:32:07 | 000,000,000 | ---D | M]
O4 - Startup: C:\Documents and Settings\Radek.DOM\Ustawienia lokalne [2011-06-03 07:36:11 | 000,000,000 | -H-D | M] 

Zrób skan dostosowany przedstawiający konfigurację folderów powłoki. Przypominam: masz pobrać najnowszą wersję OTL. Uruchom narzędzie, wszystkie sekcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

Dodatkowo od tego czasu nie laduja sie profile uzytkownikow (mimo ze wszystko jak wczesniej sie w nich znajduje) lecz tymczasowe a za to powstaly nowe foldery bedace zamiennikiem tych folderow z koncowka .DOM .

 

Ten rodzaj usterki jest opisany w KB324734. Do ponownego łączenia kont z pierwotnymi folderami służy narzędzie Reprofiler. Ale na razie stop, nic nie wykonuj, dopóki nie sprawdzę co się dzieje w ścieżkach folderów shella. Za to dostarcz log z sid.vbs: KLIK (punkt 3).

 

 

 

.

[szakal]

Ten rodzaj usterki jest opisany w KB324734. Do ponownego łączenia kont z pierwotnymi folderami służy narzędzie Reprofiler. Ale na razie stop, nic nie wykonuj, dopóki nie sprawdzę co się dzieje w ścieżkach folderów shella. Za to dostarcz log z sid.vbs: KLIK (punkt 3).

Ups, niestety zanim odpisałaś zdążyłem już profile połączyć za pomoca tego narzędzia.

Czy ten srypt do otl w takim razie jest aktualny?

Póki co raport z gmer: http://wklej.eu/index.php?id=d8ea9b8e91

edit:

sid: http://wklej.eu/index.php?id=eeebc9bbe9

otl http://wklej.eu/index.php?id=c845e17f36

[picasso]

Ups, niestety zanim odpisałaś zdążyłem już profile połączyć za pomoca tego narzędzia.

 

Teraz rejestr jest już inny, konto korzysta z poprzedniego NTUSER.DAT, czyli log z OTL może teraz pokazywać zupełnie inną sytuację. Wygeneruj nowy log z OTL na standardowej konfiguracji zalecanej w przyklejonym temacie i tu zaprezentuj.

[szakal]

otl: http://wklej.eu/index.php?id=c8992a1cdc

extras: http://wklej.eu/index.php?id=2d19e11c2e

[picasso]

Tak, powrót do poprzedniego NTUSER.DAT z pierwotnego folderu konta znacząco wpłynął na całość. Poprzedni skan z OTL pokazujący konfig folderów powłoki oraz aktualny poświadczają, że również został zażegnany problem listowania zawartości kont w Autostarcie. Z katalogu C:\Documents and Setttings możesz usunąć wszystkie powielenia konta pierwotnego. Oceniając materiał:

 

 

1. Do deinstalacji śmieci Ask Toolbar oraz wątpliwej reputacji wtyczka vShare Plugin (KLIK).

 

2. Powracając do tytułowych trojanów i sugerując się pokazaną lokalizacją na komunikacie, przeczyść miejsca tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Uruchom AD-Remover w trybie skanu i przedstaw wynikowy log. Dołącz nowy log z OTL.

 

 

 

.

[szakal]

1. Niezbyt łapię jak to wykonać :/

2. Zrobiłem, niestety dalej je widze w kwarantannie.

3. Domyślam się że powinienem zrobić 1 przed 3 więc poczekam.

[picasso]

1. Niezbyt łapię jak to wykonać :/

 

Masz po prostu je odinstalować przez Dodaj / Usuń ... Na liście Dodaj / Usuń stoją jak byk:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"vShare" = vShare Plugin

 

2. Zrobiłem, niestety dalej je widze w kwarantannie.

 

Oczywiście, że w kwarantannie będą, dopóki nie opróżnisz kwarantanny z poziomu opcji Kasperskiego. To co w kwarantannie jest nie liczy się już wcale, jest wyizolowane i nieczynne, zabezpieczone przed dostępem (= na tym polega kwarantanna!). Czyszczenie lokalizacji tymczasowych dałam w innym celu, dlatego że ścieżka Temp była pokazana jako pierwotna lokalizacja tych infekcji, więc na wszelki wypadek opróżniam już całość.

 

 

3. Domyślam się że powinienem zrobić 1 przed 3 więc poczekam.

 

Tak.

 

 

.

[szakal]

ad remover: http://wklej.eu/index.php?id=faa972f49e

otl: http://wklej.eu/index.php?id=0c0eadf988

extras: http://wklej.eu/index.php?id=4fb6dbab62

[picasso]

Uporałeś się z kwarantanną? I drobnostki zostały:

 

1. Otwórz Notatnik i wklej w nim:

 

REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440} /f
REG DELETE "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f
REG DELETE "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f
REG DELETE "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {043C5167-00BB-4324-AF7E-62013FAEDACF} /f
RD /S /Q "C:\Documents and Settings\Domek\Dane aplikacji\vShare"
PAUSE

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

2. Odinstaluj AD-Remover, usuń OTL z dysku (przypominam = zawsze pobierany od nowa) i GMER.

 

3. Aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"ie7" = Windows Internet Explorer 7
"Opera 11.10.2092" = Opera 11.10

Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE.

 

4. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

Czy coś jeszcze tu należy zrobić?

 

 

.

[szakal]

Dzięki wielkie za pomoc, plików z kawarantanny jescze nie usunęłem za to wysłałem je do KaspersyLab dzięki temu rozpozanli szkodnika Trojan-GameThief.Win32.Tibia.hac i zostanie on dodany do baz w ciągu paru godzin.

 

(tylko co ja mam wspólnego z tibią )

 

Jescze raz dzieki.