Facebook-Wurm winsvc.exe
 

Hallo,
nun hats mich leider auch erwischt. Hab nen Wurm abbekommen. Eine Bekannte hat mir einen infizierten USB Stick gegeben und dann hat sich das Ding auch in meinem System eingenistet.

Zuerst zu meiner Bekannten. Sie hat ein "Bild" mit der Endung .JPG.src über Facebook bekommen und natürlich ausgeführt. Dieses Ding verschickt automatisch Nachrichten im Chat von Facebook mit einem Link zu eben diesem "Bild".

Gut ich hab den USB Stick eingesteckt und hab dann gemerkt, dass alle Ordner am Stick als Verknüpfungen angezeigt wurden. Sobald ein Ordner auf den Stick kopiert wird, erscheint eine Verknüpfung mit dem Namen dieses Ordners und der Ordner selbst wird versteckt. Hab dann gemerkt, dass eine Datei im Verzeichnis "C:\User\Name\M-55-23...\winsvc.exe", versuchte nach außen zu kommunizieren. Habs aber mit ESET geblockt. Der Prozess winsvc.exe lies sich nicht stoppen, hab die Datei dann aber im abgesicherten Modus löschen können.
Außerdem wurde noch ein Prozess ausgeführt mit einer Zahlenkombination als Namen: 73899.exe wars glaub ich. Das Ding hab ich auch gelöscht.
Dann hab ich noch die winsvc.exe Datei aus dem Run und dem Autostart Ordner gelöscht.

Bin ich das Mistding nun los? Ein Prozess läuft noch der mir nicht ganz geheuer ist. Und zwar "srvany.exe" aus dem Verzeichnis "C:\Windows\SysWOW64\".
Hab mir die Datei aber mal angesehen, diese wurde aber in letzter Zeit weder erstellt, noch geändert.

Zu meinem System:
Windows 7 64bit
ESET SmartSecurity 64bit mit neuester Signatur

Was wurde gemacht:
-->73899.exe wurde manuell gelöscht

-->ESET Vollständiger Scan:
Prüfung: Prüfung der Systemstartdateien
Datei: Variante von Win32/AutoRun.IRCBot.HO Wurm
Name: Arbeitsspeicher
Aktion: Säubern nicht möglich


-->winsvc.exe wurde manuell gelöscht
-->Autorun Einträge wurden manuell gelöscht

-->Malwarebytes durchlaufen lassen:

-->Online ESET Virenscan durchlaufen lassen:
Der hat nix gefunden.

-->Temp Dateien gelöscht

-->Wiederherstellungsdateien und Schattenkopien gelöscht

Kann sich das Ding noch irgendwo verstecken? Schließlich hat der Virenscan die winsvc.exe Datei auch nicht erkannt.
Wie soll ich weiter vorgehen?

Was mir noch aufgefallen ist, es werden anscheinend irgendwelche Systemanwendungen hergenommen und verändert. Bei mir wars winsvc.exe und bei meiner Bekannten taskmgr.exe. Die waren in untypischen Verzeichnissen, liesen sich nicht stoppen und wollten nach außen kommunizieren.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ich hab 2 log Dateien.
1.) ist die oben gepostete Datei vom Prüfvorgang
2.) ist ein protection log von gestern, wo ein paar Webseiten die ich besuchen wollte blockiert wurden.

Das ist alles.

Das System ist übrigens Up to date.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Danke für die schnelle Antwort:


Mir fällt da nichts auf :D

Der ganze log passt leider nicht in einen Post.
Hier der Rest:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danke hab ich gemacht!

Es kam dann eine Fehlermeldung - Kritischer Fehler - Windows wird in einer Minute neu gestartet...

In der "Custom Scan/Fixes" Box stand nur mehr:
[emptytemp]
[resethosts]

Weiß also nicht ob er das noch ausführen konnte. Die 4 Dateien wurden allerdings gelöscht.
Nach dem Reboot poppte folgendes auf:
Die Datei FXSAPIDebugLogFile.txt ist leer.

Wie soll ich weiter vorgehen?

Könntest du mir bitte noch erklären was genau dein Skript gemacht hat?
Ein paar Dinge kann ich mir glaub ich selbst erklären:
Bei den ersten IE und FF Zeilen werden einfach nur die Standardeinstellungen der Browser wiederhergestellt um sicherzugehen, dass keine manipulierten html Seiten als Startseite und eventuelle Proxies eingestellt wurden um meinen Traffic mitzuloggen?
FF - prefs.js..network.proxy.http: wird hier die Localhost IPv6 Adresse eingestellt?

O4: es wird ein Autoruneintrag gelöscht bei dem das zugehörige File nicht mehr gefunden wird?

O32: Die Autorunfunktion des Laufwerks wird deaktiviert?

O33: Was machen die?

Nächsten 4 Zeilen: Es werden die infizierten Dateien gelöscht?

@Alternate Data Stream...
Wird eine LogDatei geschrieben?

emptytemp: Tempdateien werden gelöscht?

resethosts: hostdatei wird zurückgesetzt?

Wäre echt super wennst mir das beantworten könntest :).

mfg

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Mach danach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habs hochgeladen, werde nun OTL durchlaufen lassen.

So hab jetzt OTL durchlaufen lassen:

Und Teil 2:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hier der Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.