Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.05.2013, 12:34   #1
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hallo,
Ich fürchte, ich habe mir gestern den Wurm w32.patched.uc in der services.exe eingefangen unter Win 8 Pro.
Antivir hat das so gemeldet. Ich habe dann einen Vollscan (nach Update) gemacht, der diverse Threads fand davon.
Dann hab ich nach Recherche hier der den TDSSKiller verwendet (Scan), der ihn auch fand und dann in Quarantäne geaschickt hat.
Die Infektion kam aus einem Flash Player Update, dass sich nicht durch Nein abwürgen liess beim Install, hatte es dann durch Task Manager abgeschossen, aber das schien trotzdem gereicht zu haben zur Infektion, da danach der erste Fund in der services.exe durch den Laufzeitscanner erfolgte. Das Update enthielt laut Antivir TR/Crypt.X.PACK.Gen.

Nach der Quarantäne (durch TDSSkiller) wollte Antivir bei einem erneuten Scan nur noch die Quarantänedateien bereinigen...

Ich habe gerade nach dem Reboot, den Antivir danach wollte, einen neuen Vollscan mit Antivir gemacht, der nichts mehr fand.

TDSSkiller findet nix mehr (nur VCFw ist unsigniert, der PC ist ein Sony VAIO Ultrabook, deshalb denke ich das ist ok? s. hxxp://www.file.net/prozess/vcfw.exe.html).

Stinger Vollscan läuft jetzt gerade.

zoek und OTL mache ich gleich noch.

Ist das System sauber?
Wo bekomme ich die saubere services.exe her? Win meckert jetzt, dass der Systemüberwachungsdienst nicht läuft und kann ihn auch nicht mehr starten (logisch, wenn nicht da).

Schon mal danke im voraus!

mfG,
Stefan
Angehängte Dateien
Dateityp: log AVSCAN-20130526-220853-0347B7FA.LOG (27,0 KB, 133x aufgerufen)
Dateityp: log AVSCAN-20130526-220902-04DA0667.LOG (27,2 KB, 121x aufgerufen)
Dateityp: log AVSCAN-20130526-221310-2FECF53F.LOG (27,0 KB, 121x aufgerufen)
Dateityp: log AVSCAN-20130526-230806-14B72B19.LOG (36,8 KB, 127x aufgerufen)
Dateityp: log zoek-results.log (5,3 KB, 138x aufgerufen)

Geändert von w32ucOpfer (27.05.2013 um 13:08 Uhr)

Alt 27.05.2013, 13:16   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



hi,

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).
  • Doppelklick auf die OTL.exe
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal Ausgabe
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 27.05.2013, 13:55   #3
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
ok, hier die Ausgabe.

Stinger hatte bis ich abgebrochen habe nur die TDSSkiller Quarantäne Dateien gefunden und eine Datei im Browser temp.

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...

mfG,
Stefan
__________________
Angehängte Dateien
Dateityp: txt Extras.Txt (43,4 KB, 153x aufgerufen)

Geändert von w32ucOpfer (27.05.2013 um 14:33 Uhr)

Alt 27.05.2013, 14:05   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



da is noch einiges verbogen.

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2013, 14:28   #5
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
ok, hier!

Vielen Dank, dass Du Dir Zeit dafür nimmst! Ich muss das System (meines Vaters) möglichst heut noch wieder hin bekommen...
Bin jetzt am anderen PC, da der offline ist... nutze immer USB-Stick zum Transfer... (Notfalls kann er den aber auch nur nutzen bis zum nächsten We...)

Soll ich zoek noch machen so:
http://www.trojaner-board.de/134645-...ml#post1058160

mfG,
Stefan


Geändert von w32ucOpfer (27.05.2013 um 14:37 Uhr)

Alt 27.05.2013, 14:40   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
Winsock: Catalog5 04 mswsock.dll [67584] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 05 mswsock.dll [67584] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 04 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
S0 97711875; system32\drivers\42063102.sys [x]
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem Desktop. Poste den Inhalt bitte hier.

===========

Windows-taste+R > netsh winsock reset > Enter.

System rebooten.

==========

Neues FRST Scanlog bitte.
__________________
--> Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe

Alt 27.05.2013, 14:47   #7
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
was meinst du genau mit:
Zitat:
Starte deinen Rechner erneut in die Reparaturoptionen
?

Neustart ist klar... Oder Neustart in Konsole (via F8 und dann erweitert??

Bei Win 8 ist das ja alles etwas anders... (bin selbst XP-Nutzer, da kenn ich alles ;-) )
hxxp://www.drwindows.de/windows-anleitungen-und-faq/52561-erweiterte-startoptionen-windows-8-bootmenue-reparatur-optionen.html

Schon mal danke für die Hilfe!!!

MfG,
Stefan

Alt 27.05.2013, 14:50   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Sorry, ignorier das. Öffne einfach FRST auf dem Desktop und klick Fix, nachdem Du das Script angelegt hast auf dem Desktop.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2013, 15:01   #9
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
ok, das ging.

das netsh klappte so nicht (Rechteproblem), deshalb hab ichs als .bat versucht mit als Admin ausführen, ich hoffe, das klappte...

mfG,
Stefan
Angehängte Dateien
Dateityp: txt Fixlog.txt (948 Bytes, 131x aufgerufen)

Alt 27.05.2013, 15:04   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Dann reboot und einen frischen FRST Scan bitte
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2013, 15:16   #11
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
reboot blieb hängen mit Mauszeiger (der sich bewegen liess, also immer noch so stabil wie eh und je: wenn nix geht, Maustreiber tut, lol) bei Windows wird gestartet...

Dann nach ein paar Min. 4s Power gedrückt und manuell neu gestartet, das ging.
Datei hängt an ;-)

MfG,
Stefan
Angehängte Dateien
Dateityp: txt FRST.txt (41,2 KB, 138x aufgerufen)

Alt 27.05.2013, 15:19   #12
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Ist das bei jedem Reboot der Fall?


Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2013, 15:26   #13
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,ist das Tool Win 8 64 Bit fähig?

Klingt eher nicht so, oder?

Erneuter Reboot ging normal.

Btw: bist echt saufix!!!! DANKE!!!

mfG,
Stefan
Angehängte Dateien
Dateityp: txt FSS.txt (6,0 KB, 134x aufgerufen)

Alt 27.05.2013, 15:41   #14
schrauber
/// the machine
/// TB-Ausbilder
 

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Ich hasse Win8

das Tool läuft einwandfrei unter Win8.

http://download.bleepingcomputer.com...s/8/mpsdrv.reg
http://download.bleepingcomputer.com...s/8/MpsSvc.reg
http://download.bleepingcomputer.com...ices/8/BFE.reg
http://download.bleepingcomputer.com...s/8/wscsvc.reg
http://download.bleepingcomputer.com...8/wuauserv.reg
http://download.bleepingcomputer.com...ces/8/BITS.reg
http://download.bleepingcomputer.com.../WinDefend.reg
http://download.bleepingcomputer.com...aredAccess.reg
http://download.bleepingcomputer.com...8/iphlpsvc.reg

Bite downloaden und mit rechtsklick zur Registry hinzufügen. Reboot und neuer Scan mit FSS.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2013, 16:18   #15
w32ucOpfer
 
Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Standard

Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe



Hi,
so, hab ich gemacht, nach Reboot kommt dies:

mfG,
Stefan

Antwort

Themen zu Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe
diverse, eingefangen, flash, flash player, infektion, install, player, quarantäne, reboot, sauber, scanner, services.exe, task manager, threads, tr/crypt.x.pack.gen, update, verify, verwendet, w32.patched.uc, win, wurm



Ähnliche Themen: Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe


  1. Virus: Win64/Patched.A in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 23.07.2014 (19)
  2. Echtzeitscanner meldet Problem: services.exe w32/patched.uc
    Plagegeister aller Art und deren Bekämpfung - 22.08.2013 (1)
  3. W32/Patched.UC - services.exe anscheinend infiziert.
    Log-Analyse und Auswertung - 02.07.2013 (17)
  4. Echtzeitscanner meldet Problem: services.exe w32/patched.uc
    Log-Analyse und Auswertung - 30.06.2013 (29)
  5. Virus Win64/Patched.A in c:\Windows\System32\services.exe
    Log-Analyse und Auswertung - 30.05.2013 (11)
  6. W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe
    Log-Analyse und Auswertung - 23.05.2013 (54)
  7. 'W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe'
    Log-Analyse und Auswertung - 15.05.2013 (24)
  8. W32/Patched.UC in C:\windows\system32\services.exe gefunden! (Avira)
    Plagegeister aller Art und deren Bekämpfung - 13.02.2013 (23)
  9. Avira findet W32/Patched.UC in C:\windows\system32\services.exe
    Log-Analyse und Auswertung - 08.01.2013 (19)
  10. W32/Patched.UA in services.exe
    Log-Analyse und Auswertung - 27.08.2012 (3)
  11. Trojan.Patched.Sirefef.B in C:\Windows\System32\services.exe
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (3)
  12. W32/Patched.UB in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 02.08.2012 (7)
  13. Datei C:\Windows\System32\services.exe infiziert: W32/Patched.UB, Patched.UA, Patched.ZA
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  14. W32/Patched.UB in services.exe (Win7 32-Bit)
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (3)
  15. W32/Patched.ZA - services.exe
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  16. avira antivirus premium meldet in c:\windows\system32\services.exe Virus w32/patched.ub
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (22)
  17. Infektion durch PATCHED.NBE
    Plagegeister aller Art und deren Bekämpfung - 11.01.2012 (8)

Zum Thema Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe - Hallo, Ich fürchte, ich habe mir gestern den Wurm w32.patched.uc in der services.exe eingefangen unter Win 8 Pro. Antivir hat das so gemeldet. Ich habe dann einen Vollscan (nach Update) - Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe...
Archiv
Du betrachtest: Infektion mit TR/Crypt.X.PACK.Gen bzw. w32.patched.uc in services.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.