W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe

smeenk · 18.05.2013, 11:34

Mach mal erneut eine Scan mit SecurityCheck und auch mit Farbar Service Scanner.
Poste mir die beiden Logs

Miyuline · 18.05.2013, 11:44

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.63  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 Java(TM) 6 Update 38  
 Java 7 Update 21  
 Adobe Flash Player 11.7.700.202  
 Adobe Reader XI  
 Mozilla Firefox (21.0) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Code:

ATTFilter

Farbar Service Scanner Version: 14-04-2013
Ran by Miyu (administrator) on 18-05-2013 at 12:45:21
Running from "C:\Users\Miyu\Desktop"
Windows 7 Professional Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2009-07-14 01:54] - [2009-07-14 03:41] - 1011712 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

smeenk · 18.05.2013, 12:23

Jetzt sieht es schon viel besser aus

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".
Kopiere untenstehende Code in das Textfeld:
Code:
ATTFilter
```
MpSvc.dll;z
         
```
Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
Poste mir das Log File zoek-results.log

Miyuline · 18.05.2013, 12:36

Das freut mich

Code:

ATTFilter

Zoek.exe Version 4.0.0.2 Updated 15-May-2013
Tool run by Miyu on 18.05.2013 at 13:34:44,72.
Microsoft Windows 7 Professional  6.1.7601 Service Pack 1 x64
Running in: Normal Mode Internet Access Detected

==== Older Logs ======================

C:\zoek-results16.05.2013-2350.log	41880 bytes
C:\zoek-results17.05.2013-0920.log	6862 bytes
C:\zoek-results17.05.2013-1212.log	1496 bytes

==== Folders Found ======================


==== Files Found ======================


--- C:\Program Files\Windows Defender\MpSvc.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File type: ----a-we
File size: 1011712
Created time: 2009-07-13 23:54:05
Modified time: 2009-07-14 01:41:27
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!


--- C:\Programme\Windows Defender\MpSvc.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File type: ----a-we
File size: 1011712
Created time: 2009-07-13 23:54:05
Modified time: 2009-07-14 01:41:27
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!


--- C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_b3b1a27171e01f6c\MpSvc.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File type: ----a-we
File size: 1011712
Created time: 2009-07-13 23:54:05
Modified time: 2009-07-14 01:41:27
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!


--- C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_b5e2b6396ecea306\MpSvc.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File type: ----a-we
File size: 1011712
Created time: 2009-07-13 23:54:05
Modified time: 2009-07-14 01:41:27
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!


==== EOF on 18.05.2013 at 13:35:37,14 ======================

smeenk · 18.05.2013, 12:54

Es scheint etwas los zu sein mit C:\Program Files\Windows Defender\MpSvc.dll

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".
Kopiere untenstehende Code in das Textfeld:
Code:
ATTFilter
```
C:\Program Files\Windows Defender\MpSvc.dll;f
         
```
Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
Poste mir das Log File zoek-results.log

Nacher ein neue Farbar Services Scanner Log-Datei erstellen und posten

Miyuline · 18.05.2013, 13:04

Code:

ATTFilter

Zoek.exe Version 4.0.0.2 Updated 15-May-2013
Tool run by Miyu on 18.05.2013 at 14:03:24,97.
Microsoft Windows 7 Professional  6.1.7601 Service Pack 1 x64
Running in: Normal Mode Internet Access Detected

==== Older Logs ======================

C:\zoek-results16.05.2013-2350.log	41880 bytes
C:\zoek-results17.05.2013-0920.log	6862 bytes
C:\zoek-results17.05.2013-1212.log	1496 bytes
C:\zoek-results18.05.2013-1335.log	2227 bytes

==== Deleting Files \ Folders ======================

"C:\Program Files\Windows Defender\MpSvc.dll" deleted

==== EOF on 18.05.2013 at 14:03:52,12 ======================

Code:

ATTFilter

Farbar Service Scanner Version: 14-04-2013
Ran by Miyu (administrator) on 18-05-2013 at 14:04:40
Running from "C:\Users\Miyu\Desktop"
Windows 7 Professional Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll FILE IS MISSING AND SHOULD BE RESTORED.

C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

smeenk · 18.05.2013, 14:55

Versuch jetzt mal den Windows Defender neu auf zu setzen:
Windows Defender aus dem Microsoft Download Center herunterladen.

Miyuline · 18.05.2013, 17:59

Da kommt ein Fenster:

Windows Defender - Installationsinformationen
Die Installation dieser Software ist nicht notwendig,
weil Windows Defender in Windows Vista enthalten ist.
über den Abschnitt "Sicherheit" in der
Windows-Systemsteuerung greifen Sie auf Windows
Defender zu.

Und dann wird der Assistent abgebrochen :S

Das hier steht dran wenn ich auf den Link klicke um ihn runter zu laden:

Windows Defender ist nicht mit Ihrem System kompatibel.

Windows 7 64-Bit wird ausgeführt. Windows Defender wird auf Ihrem System nicht ausgeführt, aber Sie können Windows Defender für andere Betriebssysteme herunterladen.

Welche Version möchten Sie herunterladen?

Windows® Defender
Windows® Defender x64

smeenk · 18.05.2013, 18:08

Versuche nochmal Windows® Defender x64
Wenn es nicht klappt bitte melden

Miyuline · 18.05.2013, 18:14

Habs nochmal runtergeladen, aber es kommt wieder das Fenster mit der
Installationsinformation

Ich frag mich auch wieso da Vista steht, ich hab doch wenn mich nicht alles
täuscht Windows 7 oder?

smeenk · 18.05.2013, 18:27

Stimmt Windows 7

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".

Kopiere untenstehende Code in das Textfeld:

Code:

ATTFilter

startupall;
copy /Y "C:\Windows\winsxs\amd64_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_b3b1a27171e01f6c\MpSvc.dll" "C:\Program Files\Windows Defender\MpSvc.dll";b
if exist "C:\Program Files\Windows Defender\MpSvc.dll" echo.C:\Program Files\Windows Defender\MpSvc.dll copied succsessfully>>log.txt;b
emptytemp;

Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
Poste mir das Log File zoek-results.log

Miyuline · 18.05.2013, 18:37

Code:

ATTFilter

Zoek.exe Version 4.0.0.2 Updated 15-May-2013
Tool run by Miyu on 18.05.2013 at 19:32:36,72.
Microsoft Windows 7 Professional  6.1.7601 Service Pack 1 x64
Running in: Normal Mode No Internet Access Detected

==== Older Logs ======================

C:\zoek-results16.05.2013-2350.log	41880 bytes
C:\zoek-results17.05.2013-0920.log	6862 bytes
C:\zoek-results17.05.2013-1212.log	1496 bytes
C:\zoek-results18.05.2013-1335.log	2227 bytes
C:\zoek-results18.05.2013-1403.log	619 bytes

==== Batch Command(s) Run By Tool======================


==== Startup Registry Enabled ======================

[HKEY_USERS\S-1-5-21-1589193222-955252371-806738954-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe"
"EPLTarget\P0000000000000000"="C:\Windows\system32\spool\DRIVERS\x64\3\E_YATIIXE.EXE /EPT EPLTarget\P0000000000000000 /M WF-2510 Series"
"EPLTarget\P0000000000000001"="C:\Windows\system32\spool\DRIVERS\x64\3\E_YATIIXE.EXE /EPT EPLTarget\P0000000000000001 /M WF-2510 Series"
"Steam"="C:\Program Files (x86)\Steam\Steam.exe -silent"
"Facebook Update"="C:\Users\Miyu\AppData\Local\Facebook\Update\FacebookUpdate.exe /c /nocrashserver"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe /min"
"APSDaemon"="C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
"QuickTime Task"="C:\Program Files (x86)\QuickTime\QTTask.exe -atboottime"
"Adobe ARM"="C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"iTunesHelper"="D:\Programme\iTunesHelper.exe"
"EEventManager"="C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe"
"StartCCC"="C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun"
"SunJavaUpdateSched"="C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
"FUFAXRCV"=""C:\Program Files (x86)\Epson Software\FAX Utility\FUFAXRCV.exe""
"FUFAXSTM"=""C:\Program Files (x86)\Epson Software\FAX Utility\FUFAXSTM.exe""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe"
"EPLTarget\P0000000000000000"="C:\Windows\system32\spool\DRIVERS\x64\3\E_YATIIXE.EXE /EPT EPLTarget\P0000000000000000 /M WF-2510 Series"
"EPLTarget\P0000000000000001"="C:\Windows\system32\spool\DRIVERS\x64\3\E_YATIIXE.EXE /EPT EPLTarget\P0000000000000001 /M WF-2510 Series"
"Steam"="C:\Program Files (x86)\Steam\Steam.exe -silent"
"Facebook Update"="C:\Users\Miyu\AppData\Local\Facebook\Update\FacebookUpdate.exe /c /nocrashserver"

==== Startup Registry Enabled x64 ======================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s"

==== Startup Folders ======================

2013-01-09 15:28:05	769	----a-w-	C:\users\Miyu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
2013-01-10 14:44:23	1235	----a-w-	C:\users\Miyu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk

==== Task Scheduler Jobs ======================

C:\Windows\tasks\Adobe Flash Player Updater.job --a------ C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [15.05.2013 20:00]
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1589193222-955252371-806738954-1000Core.job --a------ C:\Users\Miyu\AppData\Local\Facebook\Update\FacebookUpdate.exe [09.03.2013 18:30]
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1589193222-955252371-806738954-1000UA.job --a------ C:\Users\Miyu\AppData\Local\Facebook\Update\FacebookUpdate.exe [09.03.2013 18:30]

==== After Reboot ======================

==== Empty Temp Folders ======================

C:\Windows\Temp successfully emptied
C:\Users\Miyu\AppData\Local\Temp successfully emptied

==== EOF on 18.05.2013 at 19:34:59,72 ======================

smeenk · 18.05.2013, 22:44

Wahrscheinlich ist es nicht gelungen um Windows Defender zu reparieren

Es ist die Frage ob das wirklich eine Problem ist.
Die meisten Anti Viren Programme bieten auch Schutz gegen Spyware.
Wenn es weiter keine Probleme mehr gibt dann schlage ich vor wir lassen es sein wie es ist :-)

Miyuline · 19.05.2013, 11:57

Also bist jetzt hab ich eigentlich nichts mehr gemerkt !
Lief alles ohne Probleme. Danke

smeenk · 20.05.2013, 13:01

Ich habe herausgefunden dass Dein Rechner möglich infiziert war mit eine neue ZA-Variante
Es kann sein das Wir noch einige Schritte unternehmen müssen um alles los zu werden

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".

Kopiere untenstehende Code in das Textfeld:

Code:

ATTFilter

C:\Program Files\Windows Defender;v
CD \;b
DIR /S /A:L >>"%temp%\log.txt";b
dir /a-d "C:\Program Files\Windows Defender">>log.txt;b

Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
Poste mir das Log File zoek-results.log

18.05.2013, 11:34	#31
smeenk /// Malwareteam / Visitor	$W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe - Standard$ W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe Mach mal erneut eine Scan mit SecurityCheck und auch mit Farbar Service Scanner. Poste mir die beiden Logs

18.05.2013, 14:55	#37
smeenk /// Malwareteam / Visitor	$W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe - Standard$ W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe Versuch jetzt mal den Windows Defender neu auf zu setzen: Windows Defender aus dem Microsoft Download Center herunterladen.

18.05.2013, 18:08	#39
smeenk /// Malwareteam / Visitor	$W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe - Standard$ W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe Versuche nochmal Windows® Defender x64 Wenn es nicht klappt bitte melden

W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe

Log-Analyse und Auswertung: W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe