| |
| |||||||
Log-Analyse und Auswertung: Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.07.2012, 19:51
| #1 |
| |  Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" Hey Leute, hab folgende Probleme. Seit gestern spuckt mir Antivir ununterbrochen Virusmeldungen aus. Nach einem Komplettscan gab es folgende Ergebnisse: C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\n [TR/ATRAPS.Gen2] C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\80000000.@ [TR/ATRAPS.Gen] C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\800000cb.@ [TR/ATRAPS.Gen2] C:\Windows\System32\services.exe [W32/Patched.UA] Kompletter Avira-Report: Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012 18:22
Es wird nach 3846540 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HP_NOTEBOOK
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:41:37
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:41:37
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:41:38
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:41:38
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 10:21:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:46:03
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 09:46:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:01:28
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 14:01:28
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 14:01:28
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 14:01:28
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 14:01:28
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 14:01:28
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 14:01:28
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 14:01:28
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 14:01:28
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 21:07:42
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 04:44:30
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 09:39:51
VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 09:39:52
VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 09:39:52
VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 09:39:52
VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 09:39:52
VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 09:39:52
VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 09:39:52
VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 09:39:52
VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 09:39:52
VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 09:39:52
VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 09:39:52
VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 09:39:52
VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 09:39:52
VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 09:39:53
VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 09:39:53
VBASE031.VDF : 7.11.35.122 27136 Bytes 08.07.2012 09:39:49
Engineversion : 8.2.10.106
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 22:14:19
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 08:16:02
AESCN.DLL : 8.1.8.2 131444 Bytes 20.04.2012 09:46:58
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 11:03:34
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.2.16.22 807288 Bytes 22.06.2012 06:07:36
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 11:55:02
AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 08:16:01
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 11:54:55
AEGEN.DLL : 8.1.5.32 434548 Bytes 07.07.2012 09:39:54
AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 08:16:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 21:07:32
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:41:37
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:41:37
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:41:38
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:41:37
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:41:37
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:41:38
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:41:37
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:41:38
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:41:37
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:41:37
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Sonntag, 8. Juli 2012 18:22
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCCompanionInfo.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATA708.tmp.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCCompanion.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpHotkeyMonitor.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPDrvMntSvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2037' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\ProgramData\TERA\launcher\live\13793028420b3adc4a96682fe8dc5f5d50625fb2.patchmanifest
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\TERA\launcher\live\c1882dd7cd625dddc712fa5f8bc4d27a705d0ad8.patchmanifest
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\TERA\launcher\live\downloader.bundle
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\TERA\launcher\live\launcher.bundle
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\TERA\launcher\live\patcher.bundle
[WARNUNG] Die Datei ist kennwortgeschützt
C:\swsetup\PreRq\CAB1.CAB
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\swsetup\PreRq\CAB11.CAB
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Madre\AppData\Local\Temp\1222111.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Phdet.E.41
C:\Users\Madre\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\n
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\Windows\System32\services.exe
[FUND] Enthält Code des Windows-Virus W32/Patched.UA
Beginne mit der Suche in 'F:\' <HP_TOOLS>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Beginne mit der Desinfektion:
C:\Windows\System32\services.exe
[FUND] Enthält Code des Windows-Virus W32/Patched.UA
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 5663693f.qua erstellt ( QUARANTÄNE )
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\n
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\Madre\AppData\Local\Temp\1222111.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Phdet.E.41
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Sonntag, 8. Juli 2012 19:54
Benötigte Zeit: 1:20:04 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
33342 Verzeichnisse wurden überprüft
996905 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
996900 Dateien ohne Befall
5060 Archive wurden durchsucht
8 Warnungen
5 Hinweise
560506 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.08.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Madre :: HP_NOTEBOOK [Administrator] 08.07.2012 20:18:57 mbam-log-2012-07-08 (20-31-42).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 211662 Laufzeit: 5 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 1 C:\Users\Madre\AppData\Local\Temp\DATA708.tmp.exe (Trojan.FakeAlert) -> 2108 -> Keine Aktion durchgeführt. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (PUP.MyWebSearch) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|DATA708.tmp.exe (Trojan.FakeAlert) -> Daten: C:\Users\Madre\AppData\Local\Temp\DATA708.tmp.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Windows\Installer\{176ed8f5-5728-3822-11ef-aa468cb8a542}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Users\Madre\AppData\Local\Temp\DATA708.tmp.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt. (Ende) Vorab, der PC wird auch für Onlinebanking und Amazon genutzt ABER Passwörter werden nicht im Browser gespeichert und das letzte Banking liegt schon eine Woche zurück. Ist in diesem Fall eine Bankingsperre auch notwendig? Hoffe auf schnelle Hilfe und verbleibe mit freundlichen Grüßen, niru PS: Hab Security Task Manager mal gestartet und er zeigt mir einen Prozess, der im Pfad "C:\Windows\System32\" steckt. Kann mir darüber hinaus aber keine anderen Informationen liefern... :/ (0.Access?!  ) Geändert von niru (08.07.2012 um 19:56 Uhr) Grund: PS: |
|
09.07.2012, 11:20
| #2 |
| /// Malware-holic   |  Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" hi
__________________nutzt du deinen pc für onlinebanking, zum einkaufen, für sonstie zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________ |
|
09.07.2012, 21:07
| #3 | |
| | Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" wie schon oben gepostet:
__________________Zitat:
Hilfe wäre echt nett, weiß nicht mehr was ich machen soll... :/ |
|
11.07.2012, 00:28
| #4 |
| | Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" Hallo markusg Wäre nett, wenn Du auch die ein oder andere Minute für mich noch übrig hättest... Und wenn möglich: Bitte sag mir nicht einfach PC neu aufsetzen. Auch wenn es umständlicher ist, würde ich gerne, mit Deiner Hilfe und soweit möglich, das Rootkit runterhauen. Vielen Dank schonmal, Mit freundlichen Grüßen Niru |
|
11.07.2012, 18:24
| #5 |
| /// Malware-holic | Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" naja, was bringt dir nen soweit möglich entferntes rootkit, wenn dessen besitzer dein konto soweit möglich ins minus überzieht? bank anrufen, banking sperren lassen. da dieses rootkit gefährlich ist: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Virusfund WR32/Patched.UA in "C:\Windows\System32\Services.exe" |
| .dll, administratorrechte, antivir, avg, browser, desktop, ebanking, explorer, heuristiks/extra, heuristiks/shuriken, home, juli 2012, malwarebytes, microsoft, modul, namen, nt.dll, programm, prozesse, registry, rundll, scan, services.exe, software, starten, svchost.exe, system, verweise, warnung, windows |
Linear-Darstellung
