Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe
 

Hallo,
Ich fürchte, ich habe mir gestern den Wurm w32.patched.uc in der services.exe eingefangen unter Win 8 Pro.
Antivir hat das so gemeldet. Ich habe dann einen Vollscan (nach Update) gemacht, der diverse Threads fand davon.
Dann hab ich nach Recherche hier der den TDSSKiller verwendet (Scan), der ihn auch fand und dann in Quarantäne geaschickt hat.
Die Infektion kam aus einem Flash Player Update, dass sich nicht durch Nein abwürgen liess beim Install, hatte es dann durch Task Manager abgeschossen, aber das schien trotzdem gereicht zu haben zur Infektion, da danach der erste Fund in der services.exe durch den Laufzeitscanner erfolgte. Das Update enthielt laut Antivir TR/Crypt.X.PACK.Gen.

Nach der Quarantäne (durch TDSSkiller) wollte Antivir bei einem erneuten Scan nur noch die Quarantänedateien bereinigen...

Ich habe gerade nach dem Reboot, den Antivir danach wollte, einen neuen Vollscan mit Antivir gemacht, der nichts mehr fand.

TDSSkiller findet nix mehr (nur VCFw ist unsigniert, der PC ist ein Sony VAIO Ultrabook, deshalb denke ich das ist ok? s. hxxp://www.file.net/prozess/vcfw.exe.html).

Stinger Vollscan läuft jetzt gerade.

zoek und OTL mache ich gleich noch.

Ist das System sauber?
Wo bekomme ich die saubere services.exe her? Win meckert jetzt, dass der Systemüberwachungsdienst nicht läuft und kann ihn auch nicht mehr starten (logisch, wenn nicht da).

Schon mal danke im voraus!

mfG,
Stefan

hi,

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).

• Doppelklick auf die OTL.exe
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal Ausgabe
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hi,
ok, hier die Ausgabe.

Stinger hatte bis ich abgebrochen habe nur die TDSSkiller Quarantäne Dateien gefunden und eine Datei im Browser temp.

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...

mfG,
Stefan

da is noch einiges verbogen.

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Scan.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi,
ok, hier!

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...
Bin jetzt am anderen PC, da der offline ist... nutze immer USB-Stick zum Transfer... (Notfalls kann er den aber auch nur nutzen bis zum nächsten We...)

Soll ich zoek noch machen so:
http://www.trojaner-board.de/134645-...ml#post1058160

mfG,
Stefan

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem Desktop. Poste den Inhalt bitte hier.

===========

Windows-taste+R > netsh winsock reset > Enter.

System rebooten.

==========

Neues FRST Scanlog bitte.

Hi,
was meinst du genau mit:
?

Neustart ist klar... Oder Neustart in Konsole (via F8 und dann erweitert??

Bei Win 8 ist das ja alles etwas anders... (bin selbst XP-Nutzer, da kenn ich alles ;-) )
hxxp://www.drwindows.de/windows-anleitungen-und-faq/52561-erweiterte-startoptionen-windows-8-bootmenue-reparatur-optionen.html

Schon mal danke für die Hilfe!!!

MfG,
Stefan

Sorry, ignorier das. Öffne einfach FRST auf dem Desktop und klick Fix, nachdem Du das Script angelegt hast auf dem Desktop.

Hi,
ok, das ging.

das netsh klappte so nicht (Rechteproblem), deshalb hab ichs als .bat versucht mit als Admin ausführen, ich hoffe, das klappte...

mfG,
Stefan

Dann reboot und einen frischen FRST Scan bitte :)

Hi,
reboot blieb hängen mit Mauszeiger (der sich bewegen liess, also immer noch so stabil wie eh und je: wenn nix geht, Maustreiber tut, lol) bei Windows wird gestartet...

Dann nach ein paar Min. 4s Power gedrückt und manuell neu gestartet, das ging.
Datei hängt an ;-)

MfG,
Stefan

Ist das bei jedem Reboot der Fall?


Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hi,ist das Tool Win 8 64 Bit fähig?

Klingt eher nicht so, oder?

Erneuter Reboot ging normal.

Btw: bist echt saufix!!!! DANKE!!!

mfG,
Stefan

Ich hasse Win8 :D

das Tool läuft einwandfrei unter Win8.

http://download.bleepingcomputer.com...s/8/mpsdrv.reg
http://download.bleepingcomputer.com...s/8/MpsSvc.reg
http://download.bleepingcomputer.com...ices/8/BFE.reg
http://download.bleepingcomputer.com...s/8/wscsvc.reg
http://download.bleepingcomputer.com...8/wuauserv.reg
http://download.bleepingcomputer.com...ces/8/BITS.reg
http://download.bleepingcomputer.com.../WinDefend.reg
http://download.bleepingcomputer.com...aredAccess.reg
http://download.bleepingcomputer.com...8/iphlpsvc.reg

Bite downloaden und mit rechtsklick zur Registry hinzufügen. Reboot und neuer Scan mit FSS.

Hi,
so, hab ich gemacht, nach Reboot kommt dies:

mfG,
Stefan