Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe

w32ucOpfer · 27.05.2013, 11:34

Hallo,
Ich fürchte, ich habe mir gestern den Wurm w32.patched.uc in der services.exe eingefangen unter Win 8 Pro.
Antivir hat das so gemeldet. Ich habe dann einen Vollscan (nach Update) gemacht, der diverse Threads fand davon.
Dann hab ich nach Recherche hier der den TDSSKiller verwendet (Scan), der ihn auch fand und dann in Quarantäne geaschickt hat.
Die Infektion kam aus einem Flash Player Update, dass sich nicht durch Nein abwürgen liess beim Install, hatte es dann durch Task Manager abgeschossen, aber das schien trotzdem gereicht zu haben zur Infektion, da danach der erste Fund in der services.exe durch den Laufzeitscanner erfolgte. Das Update enthielt laut Antivir TR/Crypt.X.PACK.Gen.

Nach der Quarantäne (durch TDSSkiller) wollte Antivir bei einem erneuten Scan nur noch die Quarantänedateien bereinigen...

Ich habe gerade nach dem Reboot, den Antivir danach wollte, einen neuen Vollscan mit Antivir gemacht, der nichts mehr fand.

TDSSkiller findet nix mehr (nur VCFw ist unsigniert, der PC ist ein Sony VAIO Ultrabook, deshalb denke ich das ist ok? s. hxxp://www.file.net/prozess/vcfw.exe.html).

Stinger Vollscan läuft jetzt gerade.

zoek und OTL mache ich gleich noch.

Ist das System sauber?
Wo bekomme ich die saubere services.exe her? Win meckert jetzt, dass der Systemüberwachungsdienst nicht läuft und kann ihn auch nicht mehr starten (logisch, wenn nicht da).

Schon mal danke im voraus!

mfG,
Stefan

schrauber · 27.05.2013, 12:16

hi,

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).

Doppelklick auf die OTL.exe
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal Ausgabe
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

w32ucOpfer · 27.05.2013, 12:55

Hi,
ok, hier die Ausgabe.

Stinger hatte bis ich abgebrochen habe nur die TDSSkiller Quarantäne Dateien gefunden und eine Datei im Browser temp.

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...

mfG,
Stefan

schrauber · 27.05.2013, 13:05

da is noch einiges verbogen.

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Scan.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

w32ucOpfer · 27.05.2013, 13:28

Hi,
ok, hier!

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...
Bin jetzt am anderen PC, da der offline ist... nutze immer USB-Stick zum Transfer... (Notfalls kann er den aber auch nur nutzen bis zum nächsten We...)

Soll ich zoek noch machen so:
http://www.trojaner-board.de/134645-...ml#post1058160

mfG,
Stefan

schrauber · 27.05.2013, 13:40

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
Winsock: Catalog5 04 mswsock.dll [67584] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 05 mswsock.dll [67584] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 04 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
S0 97711875; system32\drivers\42063102.sys [x]

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem Desktop. Poste den Inhalt bitte hier.

===========

Windows-taste+R > netsh winsock reset > Enter.

System rebooten.

==========

Neues FRST Scanlog bitte.

w32ucOpfer · 27.05.2013, 13:47

Hi,
was meinst du genau mit:

Zitat:

Starte deinen Rechner erneut in die Reparaturoptionen

?

Neustart ist klar... Oder Neustart in Konsole (via F8 und dann erweitert??

Bei Win 8 ist das ja alles etwas anders... (bin selbst XP-Nutzer, da kenn ich alles ;-) )
hxxp://www.drwindows.de/windows-anleitungen-und-faq/52561-erweiterte-startoptionen-windows-8-bootmenue-reparatur-optionen.html

Schon mal danke für die Hilfe!!!

MfG,
Stefan

schrauber · 27.05.2013, 13:50

Sorry, ignorier das. Öffne einfach FRST auf dem Desktop und klick Fix, nachdem Du das Script angelegt hast auf dem Desktop.

w32ucOpfer · 27.05.2013, 14:01

Hi,
ok, das ging.

das netsh klappte so nicht (Rechteproblem), deshalb hab ichs als .bat versucht mit als Admin ausführen, ich hoffe, das klappte...

mfG,
Stefan

schrauber · 27.05.2013, 14:04

Dann reboot und einen frischen FRST Scan bitte

w32ucOpfer · 27.05.2013, 21:26

Hallo Trojaner-board,

musste den Vorgang aus Zeitgründen leider abbrechen.

Werde am nächste Wochenende weitermachen.

Vielen Dank und viele Grüße,

w32ucOpfer

w32ucOpfer · 27.05.2013, 14:16

Hi,
reboot blieb hängen mit Mauszeiger (der sich bewegen liess, also immer noch so stabil wie eh und je: wenn nix geht, Maustreiber tut, lol) bei Windows wird gestartet...

Dann nach ein paar Min. 4s Power gedrückt und manuell neu gestartet, das ging.
Datei hängt an ;-)

MfG,
Stefan

schrauber · 27.05.2013, 14:19

Ist das bei jedem Reboot der Fall?

Downloade dir bitte Farbar's Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

w32ucOpfer · 27.05.2013, 14:26

Hi,ist das Tool Win 8 64 Bit fähig?

Klingt eher nicht so, oder?

Erneuter Reboot ging normal.

Btw: bist echt saufix!!!! DANKE!!!

mfG,
Stefan

schrauber · 27.05.2013, 14:41

Ich hasse Win8

27.05.2013, 13:50	#8
schrauber /// the machine /// TB-Ausbilder	Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe Sorry, ignorier das. Öffne einfach FRST auf dem Desktop und klick Fix, nachdem Du das Script angelegt hast auf dem Desktop. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

27.05.2013, 14:04	#10
schrauber /// the machine /// TB-Ausbilder	Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe Dann reboot und einen frischen FRST Scan bitte __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe

Log-Analyse und Auswertung: Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe