winsvc.exe - Laptop befallen - Auf USB- Stick nur noch Verknüpfungen
 

Hallo,

ich habe folgendes Problem: Ein Kumpel von mir wollte Bilder von unserem letzten Ausflug haben und hat mich gebeten ihm die auf USB- Stick zu machen. Hab ich auch getan und gab ihm den Stick. Er kam daraufhin zurück und sagte er könne die Bilder nicht öffen, da das nur Verknüpfungen sein.
Hab ihm dann gesagt: "Naja, dann lass mich mal schauen". USB- Stick bei mir eingesteckt und siehe da, nur Verknüpfungen von den Ordnern, die eigentlich die Bilder enthalten sollten. Ordner ließen sich nicht öffnen, Wenn überhaupt, dann waren sie leer. Ein Rechtsklick auf Eigenschaften (von USB- Stick) zeigte mir, dass der Speicher belegt war.

Nach einigem Googlen bin ich darauf gekommen (u.a. auch hier), dass es sich wohl um einen Virus handelt. Daraufhin habe ich Avira gestartet und laufen lassen. Ergebnis nach 2 Stunden --> nichts.

Habe dann mal den Quickscan von bitdefender gemacht. Daraufhin wurde mir der Virus "winsvc.exe" angezeigt. Logfile findet sich weiter unten.
Nun wollte ich die "große" Version von bitdefender installieren, allerdings scheitert er am Download für die Virendefinitionsdateien (habe hier extrem schlechtes Internet). Bin wie hier beschrieben nach Anleitung vorgegangen (Antivir aus, Firewall aus, IE benutzt (nutze sonst Chrome), Chrome geschlossen). Dasselbe Problem bei ESET (er sagt nur "unexpected error 2002"). Deswegen wende ich mich nun an euch.

Ich schätze dass der USB- Stick mittlerweile Clean ist, denn ich habe ihn formatiert (vorher habe ich den Prozess winsvc.exe beendet) und konnte die Dateien dann aufspielen uns sie waren auch da. Dann zum Kollegen gegangen um zu schauen ob das bei ihm klappt. Also bei ihm winsvc.exe geschlossen und USB- Stick rein, danach dann die Bilder auf seinen Rechner kopiert, alles ohne Probleme.

Allerdings hat es mein Handy erwischt. Das war während des Einsteckens des infizierten USB- Sticks am PC. Auch hier taucht dasselbe Phänomen auf, dass die Dateien zwar noch auf dem Handy sind (ich kann über das Handy darauf zugreifen), aber sie lassen sich nicht mehr über den PC abrufen.
Da dort doch einige wichtige Dinge drauf sind, möchte ich den Speicher nur sehr sehr ungern formatieren (microSD Karte). Eine Frage, ist der Telefonspeicher auch betroffen? Ich hoffe nicht, denn diesen kann ich im Explorer nicht sehen (konnte ich vorher auch schon nicht).

Deswegen hoffe ich, dass mir hier jemand helfen kann.

Habe aufgrund der Logfile, nach der Anwendung gesucht, allerdings nicht gefunden. Konnte zwar den Ordner "
C:\Users\Christian\M-1-52-5782-8752-5245\" öffnen, allerdings war darin keine Datei (Versteckte Ordner habe ich zuvor sichtbar gemacht) vorhanden.
Ich hoffe, dass mir jemand helfen kann ohne dass ich den kompletten Rechner formatieren muss (ich nutze übrigens Windows 7 - 64 Bit).

Vielen Dank im Voraus!!!

Freundliche Grüße

Christian

(1.) Attribute korrigieren

Das Handy ist wohl nicht infiziert aber die dort auf der Speicherkarte liegenden Ordner werden Versteckt- und Systemattribute bekommen haben, damit Windows diese in der Standardeinstellung nicht anzeigt.

Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Vgl. diesen Strang => http://www.trojaner-board.de/102950-...traeger-2.html


(2.) MBAM/ESET

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So,
das mit dem Handy hat schonmal geklappt. :dankeschoen:
Woher weiß ich allerdings, ob der Wurm nicht noch irgendwo auf der Speicherkarte sitzt? Hat sich ja auch über den USB- Stick eingeschleust. Ich möchte nämlich nicht, dass ich dasselbe Problem bekomme, wenn ich das Handy mal an meinen Tower anschließe.
USB- Stick ist Clean, an anderem PC getestet, ohne Zwischenfall.

Allerdings kann ich ESET und die Aktualisierung von MBAM NICHT nutzen(siehe Screenshots)!

http://www.abload.de/img/mbamrrgg.jpg

http://www.abload.de/img/eset6efi.jpg


Deswegen hab ich mal MBAM OHNE vorherige Aktualisierung laufen lassen (logfile am Ende).

Mittlerweile finde ich auch die Datei.
So sieht es in dem Ordner aus:

http://www.abload.de/img/winsvctpm0.jpg

Im Ordner "Logs" ist eine logdatei enthalten.
Darin befindet sich folgender Code:

Kann ich die Datei einfach löschen, bzw. den Ordner. Ich schätze mal nicht, dass er sich im System ausgebreitet hat. Bzw. die Einträge in der Registry müssten ja auffindbar sein.

Danke schonmal!

Freundliche Grüße

Christian


Edit 2:

Antivir findet keinen Virus, selbst wenn ich die Datei direkt scannen lasse (Antivir = Schrott?).
Komischerweise findet aber MBAM auch keinen Virus.


http://img88.imageshack.us/img88/8672/antivirklein.jpg

Bitte beachten und umsetzen => http://www.trojaner-board.de/94344-p...n-pruefen.html

Dann MBAM/ESET nochmal probieren und testen ob die Updates klappen.

Hallo,

also die Aktualisierung von MBAM hat geklappt. Bei ESET funktioniert es allerdings immer noch nicht. Er lädt immer bis 52%, dann kommt lange Zeit nichts und dann kommt dieser unexpected error 2002.
Allerdings hat MBAM den Trojaner jetzt gefunden und gelöscht. :taenzer:

Ich hoffe, dass damit alles wieder behoben ist.
Hier noch die logfile.

Denken Sie, dass ich das Handy problemlos an "nicht befallene" Rechner anschließen kann ohne mir Sorgen zu machen?

Danke nochmals!!!!

Freundliche Grüße

Christian

Selbst danach und anschließendem Windows-Neustart geht ESET immer noch nicht?

Nein, leider nicht(gerade nochmal getestet - wieder error 2002).
Denken Sie dass der Virus auch so nicht mehr vorhanden ist?
Wie sieht es mit dem Handy aus?

Freundliche Grüße

Christian

In einem Forum duzt man sich, also lass bitte die "Sie" Anrede.

Auf dem Rechner wird wohl noch mehr sein, aber das Handy wohl nicht betroffen abgesehen von der Speicherkarte, aber das kann so nciht das Handy-OS kompromittieren, deswegen schrieb ich ja auch



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,

alles klar, dann ab jetzt du :party:

Hier die logfile von OTL:

Ich hoffe, dass du darin nicht schlechtes findest.

Freundliche Grüße

Christian

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Alles klar, vielen Dank!!!

Kann ich den ersten OTL Code auch an meinen Kollegen weitergeben, damit er mal sein System scannt. (MBAM hat er schon ausgeführt).
ESET geht bei ihm genausowenig (wohnen in einem Studentenwohnheim mit mickrigem Internet).

Hier der Code vom OTL Fix:

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habs gepackt und hochgeladen!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo,

der Scan hat nichts gefunden :)
Für mich sind alle Ordner sichtbar. Zumindest habe ich noch kein Fehlen bemerkt, weswegen unhide denke ich erstmal nicht notwendig erscheint.

Hier die logfile von TDSSKiller: