Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Sirefef.BP.1 und andere - Backup?

TR/Sirefef.BP.1 und andere - Backup?


Log-Analyse und Auswertung: TR/Sirefef.BP.1 und andere - Backup?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 29.02.2012, 20:08   #1
dummesschaf
 
TR/Sirefef.BP.1 und andere - Backup? - Icon21

TR/Sirefef.BP.1 und andere - Backup?


Hallo zusammen,

nun hat es anscheinend auch mich getroffen. Seit heute Mittag habe ich auch dieses Zero Access Rootkit wie es scheint. Zumindest behauptet AntiVir dies.

TR/Sirefef.BP.1
und ähnliche
sowie
Exp/JAVA.Vedenbi.Gen

wurden gefunden.

Im Moment läuft noch Malwarebytes Anti Malware. OTL steht auch noch aus. Da mir die Zeit drängt (bin mitten in der Klausurphase und bräuchte mein Notebook in den nächsten Tagen) hier schonmal der Thread - die fehlenden Logfiles werden noch nachgereicht.

GMER:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit quick scan 2012-02-29 17:58:24
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6 ST9160821AS rev.3.ALC
Running: gmerkyborl0k.exe; Driver: C:\Users\xxx\AppData\Local\Temp\fwlcypoc.sys


---- System - GMER 1.0.15 ----

Code            874C8C4C                                                      ZwTraceEvent
Code            874C8C4B                                                      NtTraceEvent

---- Devices - GMER 1.0.15 ----

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2                   86E531F8
Device          \Driver\atapi \Device\Ide\IdePort0                            86E531F8
Device          \Driver\atapi \Device\Ide\IdePort1                            86E531F8
Device          \Driver\atapi \Device\Ide\IdePort2                            86E531F8
Device          \Driver\atapi \Device\Ide\IdePort3                            86E531F8
Device          \Driver\atapi \Device\Ide\IdePort4                            86E531F8
Device          \Driver\atapi \Device\Ide\IdePort5                            86E531F8
Device          \Driver\msahci \Device\Ide\PciIde2Channel0                    86E541F8
Device          \Driver\msahci \Device\Ide\PciIde2Channel1                    86E541F8
Device          \Driver\msahci \Device\Ide\PciIde2Channel2                    86E541F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-6                   86E531F8
Device          \Driver\agmnf4e5 \Device\Scsi\agmnf4e51                       873D91F8
Device          \Driver\agmnf4e5 \Device\Scsi\agmnf4e51Port7Path0Target0Lun0  873D91F8
Device          \FileSystem\Ntfs \Ntfs                                        86E571F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                        AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)

Device          \FileSystem\fastfat \Fat                                      865711F8

AttachedDevice  \FileSystem\fastfat \Fat                                      fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                      AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)

---- Threads - GMER 1.0.15 ----

Thread          System [4:424]                                                873E6540
Thread          System [4:428]                                                873E6540

---- EOF - GMER 1.0.15 ----

MBR:
Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: ST9160821AS rev.3.ALC -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: >>UNKNOWN [0x83406000]<< >>UNKNOWN [0x8C7B8000]<< >>UNKNOWN [0x8C7A7000]<< >>UNKNOWN [0x873E5BC0]<< 
1 ntkrnlpa!IofCallDriver[0x8343D52A] -> \Device\Harddisk0\DR0[0x87091030]
\Driver\Disk[0x87090F38] -> IRP_MJ_CREATE -> 0x8C7BC39F
3 [0x8C7BC59E] -> ntkrnlpa!IofCallDriver[0x8343D52A] -> [0x873A1C28]
\Driver\00000995[0x873B0DE8] -> IRP_MJ_CREATE -> 0x873E5BC0
kernel: MBR read successfully
user & kernel MBR OK 
Warning: possible TDL3 rootkit infection !


Wie kann ich weiter vorgehen? (wie gesagt, MBAM und OTL Logs kommen gleich)
Ich habe eine Sicherung des Notebooks auf einer externen HDD von vor ca. 1 Monat via Acronis True Image 2009. Kann ich diese verwenden? Wenn ja, wie? Erst Windows 7 neu installieren und dann Backup wiederherstellen? Muss ich meinen MBR vor der Windows Installation von Hand löschen? Oder einfach Win7 DVD rein - und dann neu installieren? Reparieren wird ja wohl nicht ausreichen, oder?
Leider hatte ich zum Zeitpunkt der Erstmeldung des Virus meine große externe HDD angeschlossen. Muss ich nun Angst haben, dass alle Daten dort verseucht sind? Unter anderem ist dort die Installationsdatei meines Office drauf (Downloadversion, gekauft! also legal.).

Vielen Dank schonmal für die Hilfe!

dummesschaf


EDIT:

MBAM:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.01.13.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Andreas :: ANDREASNOTEBOOK [Administrator]

29.02.2012 18:02:17
mbam-log-2012-02-29 (20-33-20).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 539461
Laufzeit: 2 Stunde(n), 30 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Andreas\AppData\Local\75422588\X -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 20
C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\hpci.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\incdrec.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\wwsecsvc.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\00000001.@ (Backdoor.0Access) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000c0.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000cb.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000cf.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\800000c0.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\adihdaudaddservice.dll.VIR (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\belgium_id_card_service.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\hap17v2k.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\lightscribeservice.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\svchost.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\tosrfcom.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\usbatapi2000.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\v124.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\windrvNT.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\venturi2.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
OTL Logs im Anhang
Geändert von dummesschaf (29.02.2012 um 20:50 Uhr)

 

Themen zu TR/Sirefef.BP.1 und andere - Backup?
acronis, antivir, appdata, backdoor.0access, backup, code, desktop.ini, driver, dvd, harddisk, heuristiks/extra, heuristiks/shuriken, hilfe!, ide, image, installation, logfiles, löschen, löschen?, malwarebytes, microsoft, neu, notebook, reparieren, rootkit, rootkit.0access, scan, security, sirefef, system, temp, win7, windows7


« Unbekannter Traffic- dynamic-FTTB.kharkov.volia.com | abnow/Zaccess.L/große Probleme nach avira scan »


Ähnliche Themen: TR/Sirefef.BP.1 und andere - Backup?


  1. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  2. Trojaner Sirefef.AG.9 u. Sirefef.AL.50 in C:\$Recycle.Bin\, Vista-Sicherheitscenter u. Firewall nach anschl. VistaUpdate nicht mehr startbar
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (41)
  3. Sirefef-A und Sirefef.mc Virenfund - eigenständiges Öffnen von Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (9)
  4. Sirefef.a Sirefef.AH und andere per Netzwerk entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (3)
  5. Trojaner eingefangen - Sirefef-A/Sirefef-AHF/BitCoinMiner-U/Malware-gen
    Log-Analyse und Auswertung - 31.08.2012 (27)
  6. Win64/Sirefef.w - Sirefef.ab und Sirefef.M eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (29)
  7. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  8. win 32:Sirefef-AO und Malware.gen, win64:Sirefef-A gefunden von avast!
    Log-Analyse und Auswertung - 11.08.2012 (1)
  9. sirefef.ah und sirefef.r auf Win7 (32bit) gefunden. Rechner fährt automatisch runter.
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (37)
  10. Trojana:Win32/Sirefef.R und Sirefef.AH kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (13)
  11. Trojaner: Sirefef.X / Sirefef.E / Conedex.A und Exploit: JS/Blacole.FF
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (37)
  12. !Tojaner TR/ATRAPS.GEN2 und TR/Sirefef.AG.35 und andere
    Log-Analyse und Auswertung - 13.06.2012 (18)
  13. Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
    Log-Analyse und Auswertung - 10.06.2012 (14)
  14. Win32.Sirefef von Spybot entdeckt - andere Virenscanner melden aber alles OK
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (13)
  15. Trojan:Win64/Sirefef.K + .../Sirefef.D + .../Sirefef.E
    Log-Analyse und Auswertung - 13.01.2012 (15)
  16. Trojan:Win64/Sirefef.K, Sirefef.E und Sirefef.D kommen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (1)
  17. Trojan:Win64/Sirefef.K & Sirefef.D & Sirefef.E
    Log-Analyse und Auswertung - 02.01.2012 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Sirefef.BP.1 und andere - Backup? - Hallo zusammen, nun hat es anscheinend auch mich getroffen. Seit heute Mittag habe ich auch dieses Zero Access Rootkit wie es scheint. Zumindest behauptet AntiVir dies. TR/Sirefef.BP.1 und ähnliche sowie - TR/Sirefef.BP.1 und andere - Backup?...
Archiv
Du betrachtest: TR/Sirefef.BP.1 und andere - Backup? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22