|
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe Hallo, Ich fürchte, ich habe mir gestern den Wurm w32.patched.uc in der services.exe eingefangen unter Win 8 Pro. Antivir hat das so gemeldet. Ich habe dann einen Vollscan (nach Update) gemacht, der diverse Threads fand davon. Dann hab ich nach Recherche hier der den TDSSKiller verwendet (Scan), der ihn auch fand und dann in Quarantäne geaschickt hat. Die Infektion kam aus einem Flash Player Update, dass sich nicht durch Nein abwürgen liess beim Install, hatte es dann durch Task Manager abgeschossen, aber das schien trotzdem gereicht zu haben zur Infektion, da danach der erste Fund in der services.exe durch den Laufzeitscanner erfolgte. Das Update enthielt laut Antivir TR/Crypt.X.PACK.Gen. Nach der Quarantäne (durch TDSSkiller) wollte Antivir bei einem erneuten Scan nur noch die Quarantänedateien bereinigen... Ich habe gerade nach dem Reboot, den Antivir danach wollte, einen neuen Vollscan mit Antivir gemacht, der nichts mehr fand. TDSSkiller findet nix mehr (nur VCFw ist unsigniert, der PC ist ein Sony VAIO Ultrabook, deshalb denke ich das ist ok? s. hxxp://www.file.net/prozess/vcfw.exe.html). Stinger Vollscan läuft jetzt gerade. zoek und OTL mache ich gleich noch. Ist das System sauber? Wo bekomme ich die saubere services.exe her? Win meckert jetzt, dass der Systemüberwachungsdienst nicht läuft und kann ihn auch nicht mehr starten (logisch, wenn nicht da). Schon mal danke im voraus! mfG, Stefan |
hi, Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).
|
Hi, ok, hier die Ausgabe. Stinger hatte bis ich abgebrochen habe nur die TDSSkiller Quarantäne Dateien gefunden und eine Datei im Browser temp. Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen... mfG, Stefan |
da is noch einiges verbogen. Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
|
Hi, ok, hier! Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen... Bin jetzt am anderen PC, da der offline ist... nutze immer USB-Stick zum Transfer... (Notfalls kann er den aber auch nur nutzen bis zum nächsten We...) Soll ich zoek noch machen so: http://www.trojaner-board.de/134645-...ml#post1058160 mfG, Stefan |
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
=========== Windows-taste+R > netsh winsock reset > Enter. System rebooten. ========== Neues FRST Scanlog bitte. |
Hi, was meinst du genau mit: Zitat:
Neustart ist klar... Oder Neustart in Konsole (via F8 und dann erweitert?? Bei Win 8 ist das ja alles etwas anders... (bin selbst XP-Nutzer, da kenn ich alles ;-) ) hxxp://www.drwindows.de/windows-anleitungen-und-faq/52561-erweiterte-startoptionen-windows-8-bootmenue-reparatur-optionen.html Schon mal danke für die Hilfe!!! MfG, Stefan |
Sorry, ignorier das. Öffne einfach FRST auf dem Desktop und klick Fix, nachdem Du das Script angelegt hast auf dem Desktop. |
Hi, ok, das ging. das netsh klappte so nicht (Rechteproblem), deshalb hab ichs als .bat versucht mit als Admin ausführen, ich hoffe, das klappte... mfG, Stefan |
Dann reboot und einen frischen FRST Scan bitte :) |
Hi, reboot blieb hängen mit Mauszeiger (der sich bewegen liess, also immer noch so stabil wie eh und je: wenn nix geht, Maustreiber tut, lol) bei Windows wird gestartet... Dann nach ein paar Min. 4s Power gedrückt und manuell neu gestartet, das ging. Datei hängt an ;-) MfG, Stefan |
Ist das bei jedem Reboot der Fall? Downloade dir bitte Farbar's Service Scanner
|
Hi,ist das Tool Win 8 64 Bit fähig? Klingt eher nicht so, oder? Erneuter Reboot ging normal. Btw: bist echt saufix!!!! DANKE!!! mfG, Stefan |
Ich hasse Win8 :D das Tool läuft einwandfrei unter Win8. http://download.bleepingcomputer.com...s/8/mpsdrv.reg http://download.bleepingcomputer.com...s/8/MpsSvc.reg http://download.bleepingcomputer.com...ices/8/BFE.reg http://download.bleepingcomputer.com...s/8/wscsvc.reg http://download.bleepingcomputer.com...8/wuauserv.reg http://download.bleepingcomputer.com...ces/8/BITS.reg http://download.bleepingcomputer.com.../WinDefend.reg http://download.bleepingcomputer.com...aredAccess.reg http://download.bleepingcomputer.com...8/iphlpsvc.reg Bite downloaden und mit rechtsklick zur Registry hinzufügen. Reboot und neuer Scan mit FSS. |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, so, hab ich gemacht, nach Reboot kommt dies: mfG, Stefan |
How do I remove Sirefef (ZeroAccess) trojan? - ESET Knowledgebase Bitte mal ServiceRepair laufen lassen. Reboot, neues FSS und FRST Logfile. Wie läuft der Rechner? |
Liste der Anhänge anzeigen (Anzahl: 2) Hi, der konnte den Sirefef thread nicht finden... Logs anbei... MfG, Stefan |
w00t? was war das denn für ein Link? Sorry, Boardsoftware will mich ärgern. http://kb.eset.com/library/ESET/KB%2...icesRepair.exe Das Tool bitte, dann FSS und FRST nach Reboot. Und berichte bitte wie der Rechner läuft. |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, hier bitte! mfG, Stefan |
Wie läuft der Rechner? |
Hi, er läuft (offline)... Die Win Firewall lässt sich nicht aktivieren (und ist deaktiviert ;-( ) Mehr Fehler hab ich nicht... MfG, Stefan |
was bedeutet offline? mehr stress wenn online? wenn ja was? Bin gespannt ob das Tool auf Win8 tut, wenn nicht gehts ans händisch registry exportieren :) Downloade dir bitte Windows Repair (All In One) von hier.
|
Hallo Trojaner-board, musste den Vorgang aus Zeitgründen leider abbrechen. Werde am nächste Wochenende weitermachen. Vielen Dank und viele Grüße, w32ucOpfer |
Ok einfach melden :) |
Hallo, so, jetzt bin ich wieder dran. Zu offline: Ich hab mich bisher nicht getraut, das System wieder online gehen zu lassen (deshalb ist WLAN aus und LAN abgeklemmt). Firewall ist ja auch aus (ok, ist eh nicht so wirkungsvoll wie ne echte Software-Firewall gegen ausgehende Verbindungen, oder hat sich da in Win 8 was getan?) Das Repair Tool hab ich geladen. Ich starte gerade ct desinfect 2013 (mit deaktiviertem Secure Boot). Btw: Eine Sicherung des letzten Systemwiederherstellungspunktes (der kurz vor dem Befall war) hilft nicht weiter, oder? Zur Not wäre noch eine Win 8 Rettungs-CD verfügbar (aus dem System vor dem Befall erstellt, sagte mein Vater gerade). Und ein Windows-Image gibt es auch (mit Win selbst erstellt, da Acronis ja nicht tut wohl bei 8). Allerdings ne Woche alt, aber das wäre nicht schlimm. Bin aber überfragt, wie ich das zurückspielen soll, da er die Rettungs-CD nicht booten will (bei aktiviertem Secure Boot). mfG, Stefan |
Zitat:
Zitat:
Zitat:
|
Hi, c't desinfect 2013 ist ein Ubuntu-Linux Live-CD basierter Virenscanner, der 4 verschiedene Engines verwendet. Ich aktualisiere gerade dessen Signaturen online, das dauert ein wenig, danach kommt das Repairtool. hxxp://www.heise.de/ct/projekte/Desinfec-t-1213110.html Danke für die Unterstützung!!! mfG, Stefan |
Tools auf eigene Faust laufen lassen is eigentlich nicht so cool, aber mach mal :) |
Hi, ich wollte nur sicher gehen, ob ein Scanner noch was findet. Soll ichs abbrechen? mfG, Stefan |
nö, passt :) |
Hi, aus Zeitgründen verschieb ich den Scan auf nachts ;-( Meinst du, das System ist dann wieder komplett sauber und bedenkenlos nutzbar? Sonst überlege ich ernsthaft, ob ich das Gerät in den Werkszustand zurücksetze, dazu gibts die versteckte Partition mit nem Image. Es geht darum, dass das Gerät natürlich für alles dienen soll (also auch Passworteingaben etc. erfolgen online...). Hier ist die Empfehlung ja auch meist Neuinstall (geht aber mangels Installmedium nicht, danke MS...). Aber es gibt halt das VAIO CARE Tool, das das ein Image zurückspielen könnte... Oder ist diese Partition auch schon verseucht? mfG, Stefan |
Nee die Recovery ist meist geschützt. Wie Du magst. Setz zurück oder poste ein frisches FRST Log, ich schau nochmal drüber :) Was gibt es denn noch für Probleme mit dem System? |
Hi, die Firewall ist nicht aktivierbar... und danach ist das nächste kaputt fürchte ich, bin halt auch nur manchmal am Wochenende hier, deshalb muss ichs dies We hinbekommen... Ist Zufall, dass ich schon wieder hier bin... Hat ja letztes Wochenende auch schon sehr viel Zeit von uns beiden gekostet... mfG, Stefan |
mach bittte noch einmal nen Scan mit FSS: Downloade dir bitte Farbar's Service Scanner
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board