| |
| |||||||
Log-Analyse und Auswertung: TR/Sirefef.BP.1 und andere - Backup?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.02.2012, 20:08
| #1 |
| |  TR/Sirefef.BP.1 und andere - Backup? Hallo zusammen, nun hat es anscheinend auch mich getroffen. Seit heute Mittag habe ich auch dieses Zero Access Rootkit wie es scheint. Zumindest behauptet AntiVir dies. TR/Sirefef.BP.1 und ähnliche sowie Exp/JAVA.Vedenbi.Gen wurden gefunden. Im Moment läuft noch Malwarebytes Anti Malware. OTL steht auch noch aus. Da mir die Zeit drängt (bin mitten in der Klausurphase und bräuchte mein Notebook in den nächsten Tagen) hier schonmal der Thread - die fehlenden Logfiles werden noch nachgereicht. GMER: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit quick scan 2012-02-29 17:58:24
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6 ST9160821AS rev.3.ALC
Running: gmerkyborl0k.exe; Driver: C:\Users\xxx\AppData\Local\Temp\fwlcypoc.sys
---- System - GMER 1.0.15 ----
Code 874C8C4C ZwTraceEvent
Code 874C8C4B NtTraceEvent
---- Devices - GMER 1.0.15 ----
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 86E531F8
Device \Driver\atapi \Device\Ide\IdePort0 86E531F8
Device \Driver\atapi \Device\Ide\IdePort1 86E531F8
Device \Driver\atapi \Device\Ide\IdePort2 86E531F8
Device \Driver\atapi \Device\Ide\IdePort3 86E531F8
Device \Driver\atapi \Device\Ide\IdePort4 86E531F8
Device \Driver\atapi \Device\Ide\IdePort5 86E531F8
Device \Driver\msahci \Device\Ide\PciIde2Channel0 86E541F8
Device \Driver\msahci \Device\Ide\PciIde2Channel1 86E541F8
Device \Driver\msahci \Device\Ide\PciIde2Channel2 86E541F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-6 86E531F8
Device \Driver\agmnf4e5 \Device\Scsi\agmnf4e51 873D91F8
Device \Driver\agmnf4e5 \Device\Scsi\agmnf4e51Port7Path0Target0Lun0 873D91F8
Device \FileSystem\Ntfs \Ntfs 86E571F8
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
Device \FileSystem\fastfat \Fat 865711F8
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
---- Threads - GMER 1.0.15 ----
Thread System [4:424] 873E6540
Thread System [4:428] 873E6540
---- EOF - GMER 1.0.15 ----
MBR: Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: ST9160821AS rev.3.ALC -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: >>UNKNOWN [0x83406000]<< >>UNKNOWN [0x8C7B8000]<< >>UNKNOWN [0x8C7A7000]<< >>UNKNOWN [0x873E5BC0]<<
1 ntkrnlpa!IofCallDriver[0x8343D52A] -> \Device\Harddisk0\DR0[0x87091030]
\Driver\Disk[0x87090F38] -> IRP_MJ_CREATE -> 0x8C7BC39F
3 [0x8C7BC59E] -> ntkrnlpa!IofCallDriver[0x8343D52A] -> [0x873A1C28]
\Driver\00000995[0x873B0DE8] -> IRP_MJ_CREATE -> 0x873E5BC0
kernel: MBR read successfully
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
Wie kann ich weiter vorgehen? (wie gesagt, MBAM und OTL Logs kommen gleich) Ich habe eine Sicherung des Notebooks auf einer externen HDD von vor ca. 1 Monat via Acronis True Image 2009. Kann ich diese verwenden? Wenn ja, wie? Erst Windows 7 neu installieren und dann Backup wiederherstellen? Muss ich meinen MBR vor der Windows Installation von Hand löschen? Oder einfach Win7 DVD rein - und dann neu installieren? Reparieren wird ja wohl nicht ausreichen, oder? Leider hatte ich zum Zeitpunkt der Erstmeldung des Virus meine große externe HDD angeschlossen. Muss ich nun Angst haben, dass alle Daten dort verseucht sind? Unter anderem ist dort die Installationsdatei meines Office drauf (Downloadversion, gekauft! also legal.). Vielen Dank schonmal für die Hilfe! dummesschaf EDIT: MBAM: Code:
ATTFilter Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.01.13.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Andreas :: ANDREASNOTEBOOK [Administrator] 29.02.2012 18:02:17 mbam-log-2012-02-29 (20-33-20).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 539461 Laufzeit: 2 Stunde(n), 30 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Andreas\AppData\Local\75422588\X -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 20 C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\hpci.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\incdrec.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\wwsecsvc.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Users\Andreas\AppData\Local\75422588\U\00000001.@ (Backdoor.0Access) -> Keine Aktion durchgeführt. C:\Users\Andreas\AppData\Local\75422588\U\000000c0.@ (Trojan.Agent) -> Keine Aktion durchgeführt. C:\Users\Andreas\AppData\Local\75422588\U\000000cb.@ (Trojan.Agent) -> Keine Aktion durchgeführt. C:\Users\Andreas\AppData\Local\75422588\U\000000cf.@ (Trojan.Agent) -> Keine Aktion durchgeführt. C:\Users\Andreas\AppData\Local\75422588\U\800000c0.@ (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\adihdaudaddservice.dll.VIR (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\belgium_id_card_service.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\hap17v2k.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\lightscribeservice.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\svchost.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\tosrfcom.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\usbatapi2000.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\v124.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\windrvNT.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\System32\venturi2.dll (Rootkit.0Access) -> Keine Aktion durchgeführt. (Ende) Geändert von dummesschaf (29.02.2012 um 20:50 Uhr) |
| Themen zu TR/Sirefef.BP.1 und andere - Backup? |
| acronis, antivir, appdata, backdoor.0access, backup, code, desktop.ini, driver, dvd, harddisk, heuristiks/extra, heuristiks/shuriken, hilfe!, ide, image, installation, logfiles, löschen, löschen?, malwarebytes, microsoft, neu, notebook, reparieren, rootkit, rootkit.0access, scan, security, sirefef, system, temp, win7, windows7 |
Baum-Darstellung