W32/Patched.UB in c:\windows\system32\services.exe

stwie1 · 17.07.2012, 07:57

Hallo zusammen,

ich habe einen Laptop von meiner Freundin erhalten mit der Bitte den Virus zu entfernen. Avira meldet W32/Patched.UB in der services.exe

Mir ist bekannt, das die sauberste Lösung ein Neuaufsetzen des Systemes ist. Dennoch hoffe ich, das es mit eurer Hilfe möglich ist, den Virus zu entfernen.

Im Anhang ist das log von OTL.

Vielen Dank im Voraus für eure Hilfe !

markusg · 18.07.2012, 19:37

hi
1. wenn onlinebanking gemacht wird, bank anrufen, wegen zero access befalls, onlinbeanking sperren lassen.
2. macht sie mit dem pc onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

stwie1 · 18.07.2012, 19:54

Hallo Markus,

vielen Dank, dass du dich dem Problem annimmst.

Nein, der Laptop wird für keines davon genutzt, lediglich für soziale Netzwerke, surfen und mails.

Als ich den Laptop angenommen habe, haben wir von meinem PC aus sofort alle Passwörter geändert.

Viele Grüße

Stefan

markusg · 20.07.2012, 20:18

hi,
dieses rootkit ist gefährlich und kann für straftaten wie ddos genutzt werden
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

stwie1 · 29.07.2012, 11:25

Hi,

Neuinstallation ist abgeschlossen, Autorun deaktiviert, alle Updates und Secunia sowie Avast drauf, SEHOP aktiviert sowie Dienste konfiguriert und DEP.

Ich denke, alle Tipps befolgt zu haben.

markusg · 30.07.2012, 16:52

schaun wir mal:
ich möchte erst mal anhand einer checkliste prüfen ob du alles hast.
- instalieren von optionalen und wichtigen updates.
- konfigurieren von windows updates.
- dep für alle prozesse aktivieren.
- sehop aktivieren.
- chrome instalieren.
- sandboxie instalieren.
- autorun deaktivieren.
- panda vaccine instalieren.
- secunia instalieren.
- file hippo instalieren.
beachte:
secunia und file hippo bieten englische updates, überall wo du auf die nutzeroberfläche zugreifst, wie zb reader, browser, etc benötigst du deutsche updates, also hier die hersteller seiten in den favoriten deines browsers speichern und wenn ein update gezeigt wird, von dort hohlen, bei java, flash quicktime, ist es egal ob deutsch oder englisch.
- backup software instalieren, backup und rettungsdvd erstellen.
hier ne kurze anleitung:
Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT

- wenn du onlinebanking machst, kann ich noch kurz was über die vorteile von card reader und banking software sagen.

stwie1 · 01.08.2012, 19:05

Checkliste abgehakt, alles erledigt.

markusg · 02.08.2012, 17:02

gut zu hören, dann bist du endlassen :-)

18.07.2012, 19:37	#2
markusg /// Malware-holic	$W32/Patched.UB in c:\windows\system32\services.exe - Standard$ W32/Patched.UB in c:\windows\system32\services.exe hi 1. wenn onlinebanking gemacht wird, bank anrufen, wegen zero access befalls, onlinbeanking sperren lassen. 2. macht sie mit dem pc onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches? __________________ __________________

W32/Patched.UB in c:\windows\system32\services.exe

Log-Analyse und Auswertung: W32/Patched.UB in c:\windows\system32\services.exe