Nod32: Patched.AGen Koń trojański

[michalek007]

witam. mam następujący problem: Nod32 znalazł następujące zagrożenie:

 

obiekt: c:\windows\system32\services.exe

zagrożenie: Win64/Patched.A.Gen koń trojański

 

oczywiście program sam nie potrafi sobie z tym poradzić?

 

Co czynić?

 

z góry dziękuję za pomoc!

Extras.Txt

OTL.Txt

[picasso]

Wymagane dodatkowe skany:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Kllik w Look.

 

2. Zrób log z Farbar Service Scanner.

 

 

.

[michalek007]

Proszę bardzo

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:04 on 05/12/2012 by Michał

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

[picasso]

To nie jest pełny log z Farbar Service Scanner (nie mogę na teraz ocenić zakresu szkód), przecież w opisie jest powiedziane: wszystkie opcje zaznaczone... A plik services.exe jest zablokowany (niemożność przeliczenia sumy kontrolnej), pewnie przez infekcję.

 

1. Wejdź w Tryb awaryjny Windows, uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\System32\services.exe

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system w celu ukończenia leczenia pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, od razu zgłoś się na forum.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{151efc2e-afac-fa53-7bd0-6e4623211edc}
@C:\Windows:B0CB6CF730E37F37
C:\Users\Michał\AppData\Roaming\del.bat
C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\7ca8945u.default\prefs.js
C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\7ca8945u.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
C:\Users\Michał\AppData\Roaming\mozilla\firefox\profiles\7ca8945u.default\searchplugins\startsear.xml
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{AD08FEEA-45C0-4C63-B49C-1F3ABF47CA7E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5aa144d7-240b-11e1-b823-00266c649837&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKLM\..\SearchScopes\{CC66527A-F462-4777-B8BC-C7DF9B87A229}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5aa144d7-240b-11e1-b823-00266c649837&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD08FEEA-45C0-4C63-B49C-1F3ABF47CA7E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5aa144d7-240b-11e1-b823-00266c649837&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{F127C67F-BAA9-4EA4-8785-FA33FE1776C8}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5aa144d7-240b-11e1-b823-00266c649837&q={searchTerms}"
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Uwaga: w skrypcie resetuję preferencje Firefox poprzez skasowanie pliku prefs.js.

 

4. Odinstaluj: podejrzany Mega Codec Pack (deinstalator chyba w Menu Start), adware vShare.tv plugin 1.3 oraz szczątkowe wpisy antywirusa Ad-aware (deinstalatory w Panelu sterowania). Otwórz Google Chrome i powtórz w Rozszerzeniach deinstalację vShare.tv.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowe logi: OTL z opcji Skanuj (bez Extras), pełny Farbar Service Scanner oraz SystemLook na warunki:

 

:filefind

services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[michalek007]

Wykonałem wszystkie kroki.

FSS.txt

OTL.Txt

SystemLook.txt

AdwCleanerS1.txt

[picasso]

Plik services.exe pomyślnie odblokowany i doprowadzony do pożądanego stanu. Natomiast: ujawniło się przekierowanie Winsock + jest tu jeszcze sprawa skasowanych przez trojana usług Windows. Wykonaj następujące działania:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system, by ukończyć naprawę łańcucha.

 

2. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{96881C65-08EA-4BF6-98B2-04FB6C4B0953}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{B0BBDDC3-8202-4620-9305-A3B23E1A3701}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{B0BBDDC3-8202-4620-9305-A3B23E1A3701}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"virtualKeyboard@kaspersky.ru"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SearchProtection"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC_64\Desktop.ini
C:\Program Files (x86)\Mega Codec Pack
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack
C:\Users\Michał\AppData\Roaming\blekko
C:\Users\Michał\AppData\Roaming\LavasoftStatistics
C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\7ca8945u.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml
C:\Program Files (x86)\G Data
C:\Program Files (x86)\Common Files\G Data
C:\ProgramData\G DATA
 
:OTL
DRV:64bit: - [2012-11-07 00:09:51 | 000,059,768 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\PktIcpt.sys -- (GDPkIcpt)
DRV:64bit: - [2012-12-03 22:42:41 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

5. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner (przypominam: wszystkie opcje zaznaczone). Dodatkowo, prześlij mi shostowany gdzieś plik preferencji Google Chrome:

 

C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Plik ten wymaga edycji, by wyciąć z niego szczątki wtyczek vShare i Kaspersky.

 

 

 

.

[michalek007]

Zrobione.

 

http://www.sendspace.com/file/eejt4p

 

Aha, w międzyczasie przestał pojawiać się komunikat o trojanie, natomiast co jakiś czas nod32 informuje o ataku sieciowym z adresu IP. 190.162.0.13. Nie wiem czy ma to ze sobą związek, ale może okazać się przydatne.

FSS.txt

OTL.Txt

[picasso]

Operacje pomyślnie przeprowadzone, Winsock zresetowany + usługi odbudowane. Drobne korekty dla Google Chrome zostały:

 

1. Przesyłam zedytowany plik Preferences zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być czynne w procesach!). Podmień pliki Preferences. Następnie uruchom Google Chrome, w celu sprawdzenia czy przyjął plik, tzn. nie wyrzuca żadnego błędu przy uruchomieniu.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

PS. Przy okazji, mam niejako dowód, że nabyłeś trojana z tej paczki kodeków, którą punktowałam. Proszę, kolejny delikwent i ta sama paczka: KLIK.

 

 

.

[michalek007]

Zrobione.

 

Nie wiem co mnie tknęło, żeby zainstalować kodeki, dodane do filmu z torrentów...

OTL.Txt

[picasso]

Korekty pomyślnie wykonane. Końcowe porządki:

 

1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę używanych ręcznie skasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (wybierz edycję darmową a nie próbną, by nie było kolizji z rezydentem ESET). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[michalek007]

Zrobione. Nie znaleziono zagrożeń. To by było na tyle?

[picasso]

Na koniec:

 

1. Zaktualizuj przeglądarki oraz Adobe Flash: KLIK. Wersje widziane w systemie:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)
"Opera 12.02.1578" = Opera 12.02
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.