services.exe zainfekowany przez W32/patched.ub

[Hubertoo]

Witam wszystkich na forum,
piszę z problemem z którym nie mogę sobie poradzić. Otóż od jakiegoś czasu Avira na komputerze mojej dziewczyny ciągle wskazuje, że plik systemowy services.exe (C:\Windows\System32\services.exe) jest zainfekowany przez Trojana pod nazwą "W32/patched.ub
Próbowałem usunąć go "zdalnie" z wpisów w rejestrze ale nic to nie dało (wg podpowiedzi na innej stronie).
Możliwe, że jest to połączone z tym wirusem policyjnym który złapał ten komp parę dni temu, ale chyba z nim już sobie poradziłem.
Byłbym bardzo wdzięczny za pomoc, tutaj logi z OTL - uwaga mogą być druzgocące bo komp ma prawie 4 lata, a zawsze u niego było średnio z zabezpieczeniami itp. :
LOG - http://www.wklej.eu/index.php?id=b83e6001a8
Extras - http://www.wklej.eu/index.php?id=f33c0e9164

[mateo8898]

Podaj brakujący log z Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736 oraz log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292

1. Odinstaluj: Bonjour, McAfee Security Scan Plus, Winamp Toolbar, LiveVDO plugin 1.3, Spybot - Search & Destroy (staroć)
2. Użyj AdwCleaner otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 z opcji Delete i podaj log.
3. Pobierz SystemLook http://www.instalki.pl/programy/downloa ... mLook.html i wklej do niego:

:filefind
services.exe

Klikasz Look i podajesz log.

[Hubertoo]

Logi z GMER i TDSSKiller jeszcze przed usunięciem tych programów o których pisałeś:
GMER:
http://www.wklej.eu/index.php?id=fa2981688d
TDSSKiller:
http://www.wklej.eu/index.php?id=86026ffc82

Po odinstalowaniu log z AdwCleaner i System Look:
AdwCleaner:
http://www.wklej.eu/index.php?id=637787463f
System Look:
http://www.wklej.eu/index.php?id=4d554a7fd7

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx)
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1
IE - HKLM\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f33e1c30-1944-11e1-8680-001e3382a7af&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-940793152-2448901089-3330387304-1000\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1
IE - HKU\S-1-5-21-940793152-2448901089-3330387304-1000\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f33e1c30-1944-11e1-8680-001e3382a7af&q={searchTerms}
IE - HKU\S-1-5-21-940793152-2448901089-3330387304-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=f33e1c30-1944-11e1-8680-001e3382a7af
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.defaulturl: "http://search.yahoo.com/search?fr=ffsp1&p="
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-type: "${8}"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2010-11-06 17:20:47 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\ada\AppData\Roaming\mozilla\Firefox\Profiles\2a24vt5a.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2012-03-27 22:04:45 | 000,000,000 | ---D | M] (vShare) -- C:\Users\ada\AppData\Roaming\mozilla\Firefox\Profiles\2a24vt5a.default\extensions\vshare@toolbar
[2012-02-16 22:05:32 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\ada\AppData\Roaming\mozilla\Firefox\Profiles\2a24vt5a.default\extensions\[email protected]
[2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2012-02-16 22:05:32 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKU\S-1-5-21-940793152-2448901089-3330387304-1000..\Run: [] File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
[2012-11-08 08:57:55 | 000,001,050 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-940793152-2448901089-3330387304-1000UA.job
[2012-11-08 08:57:55 | 000,001,030 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012-11-08 08:57:55 | 000,001,026 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-11-08 08:57:55 | 000,000,998 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-940793152-2448901089-3330387304-1000Core.job
[2012-11-08 08:57:55 | 000,000,488 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Update Version3 Startup Task.job
[2012-11-08 08:57:55 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Registration3.job
[2012-11-08 08:57:55 | 000,000,436 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Update Version3.job
[2012-11-08 08:57:55 | 000,000,392 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Pro.job
[2012-11-08 02:01:30 | 000,075,111 | ---- | M] () -- C:\Users\ada\ms.exe
[2010-09-10 10:27:12 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\Tempqm5180.html
[2010-09-10 10:27:12 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempFA5180.html
[2010-05-19 21:25:33 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempWD5812.html
[2010-05-19 21:25:33 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\Tempng5812.html
[2010-05-19 21:19:33 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempNK6640.html
[2010-05-19 21:19:33 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempXe6640.html
[2010-05-19 17:06:07 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempMm3180.html
[2010-05-18 13:52:38 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempAF7788.html
[2010-05-18 13:52:38 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempsE7788.html
[2010-05-16 14:31:20 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempWE6024.html
[2010-05-16 14:31:20 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempfP6024.html
[2010-05-15 10:51:20 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempTS5984.html
[2010-05-15 10:51:20 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempBV5984.html
[2010-05-14 11:51:51 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempxO4804.html
[2010-05-14 11:51:51 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempGL4804.html
[2010-05-13 11:42:46 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TemppK2108.html
[2010-05-13 11:42:46 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempeU2108.html
[2010-05-12 17:17:14 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempCC2716.html
[2010-05-12 17:17:14 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\TempeY2716.html
[2010-05-11 17:03:19 | 000,002,432 | ---- | C] () -- C:\Users\ada\AppData\Local\TempPy6900.html
[2010-05-11 17:03:19 | 000,002,089 | ---- | C] () -- C:\Users\ada\AppData\Local\Tempsr6900.html

:Files
C:\Windows\System32\services.exe|C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe /replace

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-21-940793152-2448901089-3330387304-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Live Security Platinum"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + nowy log z TDSSKiller.

[Hubertoo]

Po wykonaniu skryptu komputer nie chciał się włączyć, więc musiałem zrobić przywracanie systemu. Sprawdziłem 2 razy i 2 razy po wykonaniu skryptu komputer nie włączał się - ciągle był czarny ekran.

Pomimo to zrobiłem nowe logi, niestety już po przywracaniu systemu więc nie wiem czy mają one jakikolwiek sens:
OTL - http://www.wklej.eu/index.php?id=0e1b833877
extras - http://www.wklej.eu/index.php?id=d86bd52fc0
TDDSKiller - http://www.wklej.eu/index.php?id=a656f6eb40

Jak na razie błąd nie wyskakuje, więc może zadziałało.

[mateo8898]

Ale jest dobrze, bo TDSSKiller już infekcji nie wykrywa.

Przeskanuj jeszcze dla pewności C:\Windows\System32\services.exe na https://www.virustotal.com/ i podaj wyniki.

Przywracanie cofnęło za to odinstalowane wcześniej programy i toolbary, odinstaluj je ponownie, następnie zapodaj AdwCleaner z opcji Delete i po wykonaniu nowe logi z OTL.

[Hubertoo]

Virustotal nic nie wykryl.

OLT: http://www.wklej.eu/index.php?id=6dd09eaea5
extras: http://www.wklej.eu/index.php?id=3d722e32e2
AdwCleaner: http://www.wklej.eu/index.php?id=588f816a8f

[mateo8898]

W OTL wklej:

:OTL
IE - HKLM\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f33e1c30-1944-11e1-8680-001e3382a7af&q={searchTerms}
IE - HKU\S-1-5-21-940793152-2448901089-3330387304-1000\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=f33e1c30-1944-11e1-8680-001e3382a7af&q={searchTerms}
FF - prefs.js..browser.search.defaulturl: "http://search.yahoo.com/search?fr=ffsp1&p="
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-type: "${8}"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKU\S-1-5-21-940793152-2448901089-3330387304-1000..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Reg Error: Value error.)
[2012-11-08 08:57:55 | 000,001,050 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-940793152-2448901089-3330387304-1000UA.job
[2012-11-08 08:57:55 | 000,001,030 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012-11-08 08:57:55 | 000,001,026 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-11-08 08:57:55 | 000,000,998 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-940793152-2448901089-3330387304-1000Core.job
[2012-11-08 08:57:55 | 000,000,488 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Update Version3 Startup Task.job
[2012-11-08 08:57:55 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Registration3.job
[2012-11-08 08:57:55 | 000,000,436 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Update Version3.job
[2012-11-08 08:57:55 | 000,000,392 | ---- | M] () -- C:\Windows\tasks\SpeedyPC Pro.job
[2012-11-08 02:01:30 | 000,075,111 | ---- | M] () -- C:\Users\ada\ms.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-21-940793152-2448901089-3330387304-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Live Security Platinum"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Hubertoo]

OTL po skutecznym wykonaniu skryptu:
http://www.wklej.eu/index.php?id=490675a154

Nowe logi OTL:
OTL: http://www.wklej.eu/index.php?id=c2a85b16b7
extras: http://www.wklej.eu/index.php?id=bff7a2f166

Chyba działa

[mateo8898]

Jeszcze poprawka. W OTL wklej:

:OTL

:Reg
[HKEY_USERS\S-1-5-21-940793152-2448901089-3330387304-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_USERS\S-1-5-21-940793152-2448901089-3330387304-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

:Commands
[reboot]

Klikasz Wykonaj skrypt i dajesz log z usuwania.

[Hubertoo]

Log z usuwania:
http://www.wklej.eu/index.php?id=40624709fc

[mateo8898]

I to by było na tyle.

W OTL Sprzątanie

W AdwCleaner Uninstall

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 8 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[Hubertoo]

Znalazło 3, ale chyba wszystkie usunęło:
http://wklej.eu/index.php?id=56b5db3466

[mateo8898]

Same niegroźne pozostałości, opróżnij kwarantannę, wykonaj pozostałe kroki i koniec

[Hubertoo]

Wielkie dzięki!
Wszystko już działa normalnie