Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.06.2012, 09:25   #1
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Icon21

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Hallo zusammen!

Ich hab mir da einen (oder mehrere?) hartnäckigen Virus eingefangen, mein Betriebssystem ist Windows 7 Professional 32bit:

Gestern poppte plötzlich ein Fenster auf, wo stand, dass "Security Shell" erfolgreich installiert wurde (hab aber nichts installiert). Die Software hatte ein Icon, das aussah wie ein grünes Ei. Ich habe die Meldung geschlossen, da startete sich das Programm und gab vor, einen Virenscan durchzuführen. Ich habe den Prozess (mpvprqirrp.exe) gleich gekillt und wollte googeln, was es damit auf sich hat. Das funktionierte dann aber nicht mehr (IE9 - es erschien eine Meldung wie bei einem ungültigen SSL Zertifikat). Ich weiß nicht, ob es relevant ist, aber zur ziemlich gleichen Zeit, als die Security Shell-Meldung erschien, hab ich die Meldung erhalten, dass ein Adobe Flash Plugin Update zur Verfügung steht, welches ich dann installiert habe.

Zu dieser Zeit hatte ich "Microsoft Security Essentials" laufen, welches sich überhaupt nicht zu diesem Thema geäußert hat ;-). Hab mir dann den avast heruntergeladen, die Internetverbindung getrennt, MSE deinstalliert, avast installiert und eine Startzeitprüfung (direkt nach dem booten) durchgeführt, die mehrere Stunden gedauert hat und offensichtlich auch einige Viren gefunden und entfernt hat.

Nach dem Neustart funktioniert zwar alles soweit (Internet, usw.), allerdings meldet avast alle paar Minuten zwei Bedrohungen:

Win64:Sirefef-A (Trj)
C:\Windows\Installer\...\80000000.@
Prozess: C:\Windows\system32\services.exe

Win32:Sirefef-AO (Rtk)
C:\Windows\Installer\...\80000000cb.@
Prozess: C:\Windows\system32\services.exe

Aktion (bei beiden): In Container verschoben

Ich habe gelesen, dass der Sirefef-A netbanking Konten ausspionieren könnte usw., zum Glück war ich gestern nicht im netbanking. Hab über einen anderen Rechner mein netbanking-Passwort geändert, damit da nichts passieren kann.

Hab den defogger ausgeführt und auf disable geklickt - keine Fehlermeldung.

Mit OTL.exe hab ich einen Quick Scan durchgeführt, die Logs sind im Anhang.

Weiters habe ich GMER scannen lassen und das Log auch angehängt.

Alle drei Logs befinden sich im angehängten ZIP-File.

Ich würde mich sehr freuen, wenn ihr mir helfen könntet :-).

lg Sabrina

Alt 07.06.2012, 10:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Zitat:
die mehrere Stunden gedauert hat und offensichtlich auch einige Viren gefunden und entfernt hat.
Und wo sind die Logs dazu?
__________________

__________________

Alt 07.06.2012, 12:32   #3
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Hallo Arne!

Danke für deine Antwort. Hab versucht, das Log zu finden... es heißt, avast schreibt das Log des Startzeitscans in die aswboot.txt, die gibt es auf meinem System aber leider nicht :-(. Eventuell löscht avast die nach ein paar Tagen? Soll ich noch einmal den Startzeitscan ausführen?

lg Sabrina
__________________

Alt 07.06.2012, 16:13   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Ich bin mir nnicht mehr sicher, meine mal gesehen zu haben, dass Avast die ins Ereignisprotokoll schreibt
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.06.2012, 17:30   #5
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



hab's gefunden :-):

Code:
ATTFilter
06/04/2012 11:07
Prüfung aller lokalen Laufwerke

Datei C:\Program Files\Android\android-sdk\system-images\android-15\armeabi-v7a\userdata.img|>META-INF\MANIFEST.MF Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Program Files\JGsoft\EditPadLite\EditPadPro.chm|>images\PrefsTabs.png Fehler 42136 {CHM-Archiv ist beschädigt.}
Datei C:\Users\***\android-sdks\platforms\android-7\images\userdata.img|>META-INF\MANIFEST.MF Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OB30CL34\soft4[1].exe ist infiziert von Win32:SecShield-A [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0WFEIAR2\main[2].htm ist infiziert von HTML:Iframe-inf, Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\findtsee[1].htm ist infiziert von HTML:RedirME-inf [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\findtsee[2].htm ist infiziert von HTML:RedirME-inf [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\showthread[1].htm ist infiziert von JS:Downloader-AZE [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\mpvprqirrp.exe ist infiziert von Win32:SecShield-A [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Temp\_TS9BB9.tmp\_TS11.tmp\son2007_proj_2011-08-18.zip|>Release\Setup\Setup\Version 3.5.19\CabCache\FrontendComOcx.cab|>IDSAAKeyplayer.ocx_8_510 Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Local\Temp\_TS9BB9.tmp\_TS11.tmp\son2007_proj_2011-08-18.zip|>Release\Setup\Setup\Version 3.5.19\CabCache\FrontendComOcx.cab Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Roaming\Thunderbird\Profiles\41trowjy.default\Mail\pop.gmx.net\Ablage|>winmail.dat#2069721833|>Gehaltsrechner(1).xls|>_5_DocumentSummaryInformation Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@ ist infiziert von Win64:Sirefef-A [Trj], Reparieren: Fehler 42060 {Die Datei wurde nicht repariert.}, In Container verschieben: Fehler 0xC0000034 {Der Objektname wurde nicht gefunden.}, Gelöscht
Datei C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@ ist infiziert von Win32:Sirefef-AO [Rtk], Gelöscht
Datei D:\Buchhaltung\xxx\6ABD71E3.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Buchhaltung\xxx\DABF28E9.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Buchhaltung\xxx\E085E54D.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Handy\Sony Ericsson Vivaz\Sounds\Sonstige Dateien\Wolfgang_Ambros_-_Singt_Moser_'Der_alte_Sünder'.rar|>Wolfgang Ambros - Singt Moser 'Der alte Sünder'\03 - Hallo Dienstmann (Als Gast Rainhard Fendrich) - Wolfgang Ambros.mp3 Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Install\Handy\Absolute_Tris__MIDP20_240x400_Stylus.jar|>e.class ist infiziert von Java:SMSreg-U [PUP], Gelöscht
Datei D:\Install\Handy\Absolute_Tris__MIDP20_240x400_Stylus.jar|>res\code.jar|>e.class ist infiziert von Java:SMSreg-U [PUP], Löschen: Fehler 0xC0000043 {Eine Datei kann nicht geöffnet werden, da die Attribute für den gemeinsamen Zugriff nicht kompatibel sind.}, Löschen: Fehler 0x80000006 {Keine weiteren Dateien}, Löschen: Fehler 0x80000006 {Keine weiteren Dateien}, In Container verschieben: Fehler 0x80000006 {Keine weiteren Dateien}, Reparieren: Fehler 42060 {Die Datei wurde nicht repariert.}
Datei D:\SBS Rewe 9.4.rar|>SBS Rewe 9.4\Microsoft\SQLServerExpress\SQLEXPR_DEU.EXE|>setup\sqlrun_tools.msi Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei D:\SBS Rewe 9.4.rar|>SBS Rewe 9.4\Microsoft\SQLServerExpress\SQLEXPR_DEU.EXE Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Visual Studio\westWatchers\westWatchers.suo|>DocumentWindowPositions Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Webs\xxx\de\login\auswertungen\Version 20.10.10.zip|>Version 20.10.10\SBS_Info\Installation\Datensicherung und Wartung SQLServer Express.pdf Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Sonstige Dateien\Wolfgang_Ambros_-_Singt_Moser_'Der_alte_Sünder'.rar|>Wolfgang Ambros - Singt Moser 'Der alte Sünder'\03 - Hallo Dienstmann (Als Gast Rainhard Fendrich) - Wolfgang Ambros.mp3 Fehler 42126 {RAR-Archiv ist beschädigt.}
Anzahl durchsuchter Ordner: 59762
Anzahl der geprüften Dateien: 4987150
Anzahl infizierter Dateien: 10
         


Alt 07.06.2012, 21:19   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Wo genau hast du das Log gefunden?

Zitat:
D:\SBS Rewe 9.4.rar
Was ist das, wo hast du das her?
__________________
--> Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen

Alt 07.06.2012, 21:31   #7
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Zitat:
Zitat von cosinus Beitrag anzeigen
Wo genau hast du das Log gefunden?
Ich habe es im Ordner C:\ProgramData\AVAST Software\Avast\report gefunden. Die Datei heißt aswboot.txt. In diversen Foren schreiben die Leute, es wäre im log Verzeichnis, da war es bei mir aber nicht. Ich habe auf der C-Platte mit der Windows 7 Suche nach aswboot.txt gesucht, da hat es mir nichts angezeigt, deshalb dachte ich erst, die Datei wäre bei mir nicht vorhanden...

Zitat:
Was ist das, wo hast du das her?
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.

lg Sabrina

Alt 07.06.2012, 22:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Zitat:
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.
Ich hab aber nach der Quelle gefragt...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.06.2012, 07:58   #9
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



sorry...

Das Programm ist von SBS-Software: www.sbs-software.de

lg Sabrina

Alt 08.06.2012, 11:01   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Zitat:
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.
Ähm Moment mal, ist das ein Büro-/Firmen-PC?

Firmenrechner? Werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.06.2012, 11:28   #11
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Oh, das wusste ich nicht...

Ja, das ist ein Firmenrechner. Ich bin ein Ein-Personen-Unternehmen und werde auch gerne eine Spende überweisen, wenn ihr mir helfen könnt :-).

lg Sabrina

Alt 08.06.2012, 14:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Ja, da machen wir dann natürlich eine Ausnahme

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.06.2012, 23:19   #13
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



super, danke :-).

So, es hat etwas länger gedauert, da ich es ein zweites Mal starten musste, nachdem ich mir nach dem ersten ESET Onlinescan offensichtlich noch einen weiteren Virus eingefangen habe :-(... das WLAN war noch aktiviert, als ich meinen Virenschutz gestoppt hab :-(.

Also hier das Malwarebytes-Log von gestern:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ****** [Administrator]

Schutz: Aktiviert

08.06.2012 15:53:37
mbam-log-2012-06-08 (19-43-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 753422
Laufzeit: 3 Stunde(n), 46 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\00000001.@ (Trojan.Small) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
         
und das von heute:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ****** [Administrator]

Schutz: Aktiviert

09.06.2012 18:41:10
mbam-log-2012-06-09 (23-14-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 756800
Laufzeit: 3 Stunde(n), 41 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\00000001.@ (Trojan.Small) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
         
und hier das von ESET:

Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c1d93256b2e2554f8a35b8e981c0b6ed
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-09 12:49:44
# local_time=2012-06-09 02:49:44 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 80888065 80888065 0 0
# compatibility_mode=5893 16776574 66 94 37946137 90809066 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=508423
# found=14
# cleaned=0
# scan_time=25109
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V1TCZUJ\index-functions[1].js	Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_mygeneration_1303_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_X12-30351_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n	Win32/Sirefef.EV trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\Desktop\Verknüpfungen\registrybooster.exe	Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n	Win32/Sirefef.EV trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@	a variant of Win32/Sirefef.FA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
D:\Install\Dokumentationstools\cnet_mygeneration_1303_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
D:\Install\Dokumentationstools\cnet_X12-30351_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Sirefef.EV trojan	00000000000000000000000000000000	I
esets_scanner_update returned -1 esets_gle=12
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c1d93256b2e2554f8a35b8e981c0b6ed
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-09 02:52:32
# local_time=2012-06-09 04:52:32 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 80938414 80938414 0 0
# compatibility_mode=5893 16776574 66 94 37996486 90859415 0 0
# compatibility_mode=8192 67108863 100 0 46897 46897 0 0
# scanned=510751
# found=14
# cleaned=0
# scan_time=25329
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V1TCZUJ\index-functions[1].js	Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_mygeneration_1303_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_X12-30351_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n	Win32/Sirefef.EV trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\Desktop\Verknüpfungen\registrybooster.exe	Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n	Win32/Sirefef.EV trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@	a variant of Win32/Sirefef.FA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
D:\Install\Dokumentationstools\cnet_mygeneration_1303_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
D:\Install\Dokumentationstools\cnet_X12-30351_exe.exe	a variant of Win32/InstallCore.D application (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Sirefef.EV trojan	00000000000000000000000000000000	I
         

Alt 09.06.2012, 23:41   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Zitat:
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso
Nero 8 Full Retail als ISO? Das ist doch niemals eine legale Version sondern gecrackt!

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2012, 09:54   #15
cheffefrau
 
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Standard

Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen



Das Programm ist sehr alt - hab ich damals von einem Freund bekommen und nie verwendet... ich denke, es ist noch von meinem alten Rechner über und mit der Sicherung auf den neuen gekommen.

OK, trotzdem danke für deine Hilfe, dann werde ich den PC wohl neu aufsetzen müssen.

lg Sabrina

Antwort

Themen zu Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
adobe, ausspionieren, avast, betriebssystem, booten, gen, gmer, icon, internetverbindung, microsoft, neustart, nicht mehr, programm, prozess, rechner, rootkit, scan, security, shell, sirefef.a, software, system32, trojaner, update, verbindung, virus, win, win32, win64, windows



Ähnliche Themen: Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen


  1. Windows 7: Befall von mehreren Trojanern/Viren -Win64/Conedex.B + C + I, Win64/Sirefef.AZ+BJ
    Log-Analyse und Auswertung - 15.02.2014 (86)
  2. Trojan:Win32/Sirefef.AB und Trojan:Win64/Sirefef.P entfernen!
    Log-Analyse und Auswertung - 10.12.2013 (22)
  3. Trojan:Win32/Sirefef.AB und Trojan:Win64/Sirefef.P entfernen!
    Log-Analyse und Auswertung - 02.08.2013 (14)
  4. Win64/Sirefef.M eingefangen vermutlich System bereits befallen
    Log-Analyse und Auswertung - 04.09.2012 (3)
  5. Trojaner eingefangen - Sirefef-A/Sirefef-AHF/BitCoinMiner-U/Malware-gen
    Log-Analyse und Auswertung - 31.08.2012 (27)
  6. Win64/Sirefef.w - Sirefef.ab und Sirefef.M eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (29)
  7. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  8. win 32:Sirefef-AO und Malware.gen, win64:Sirefef-A gefunden von avast!
    Log-Analyse und Auswertung - 11.08.2012 (1)
  9. Win64/Sirefef.AE Trojaner Win64/Agent.BA TrojanerC:\Windows\Installer\{f041020c-58e9-a705-4143-4ddcc
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (7)
  10. Virusbefall (Trojan.Generic, Trojan.Sirefef, Win64.Sirefef, Win32.Atraps) bei windows installer & Co
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (19)
  11. Trojana:Win32/Sirefef.R und Sirefef.AH kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (13)
  12. Hartnäckige Trojaner Win32:Atraps-PF und Win64:Sirefef-A
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  13. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  14. Trojan:Win64/Sirefef.K + .../Sirefef.D + .../Sirefef.E
    Log-Analyse und Auswertung - 13.01.2012 (15)
  15. Trojan:Win64/Sirefef.K, Sirefef.E und Sirefef.D kommen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (1)
  16. Win64/Sirefef.D / E / K
    Plagegeister aller Art und deren Bekämpfung - 03.01.2012 (2)
  17. Trojan:Win64/Sirefef.K & Sirefef.D & Sirefef.E
    Log-Analyse und Auswertung - 02.01.2012 (6)

Zum Thema Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen - Hallo zusammen! Ich hab mir da einen (oder mehrere?) hartnäckigen Virus eingefangen, mein Betriebssystem ist Windows 7 Professional 32bit: Gestern poppte plötzlich ein Fenster auf, wo stand, dass "Security Shell" - Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen...
Archiv
Du betrachtest: Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.