Trojan:Wind32/Sirefef.P wurde von MS Essentials gemeldet...

gebro

Hallo liebe Helfende,
auf dem PC meiner Freundin war Microsoft Internet Security Essentials installiert. Dieses Programm meldete "plötzlich" nacheinander:
Trojan:Wind32/Sirefef.P
Trojan:Win32/Conedex.C
Trojan:Win32/Sirefef.J
TrojanDropper:Win32/Sirefef.N

Es wurde jeweils angeboten, die Bedrohung zu entfernen (jeweils mit Neustart verbunden) aber obige Meldungen tauchten immer wieder mit nur wenigen Abwandlungen auf.

Ich habe dann zunächst Microsoft Internet Security Essential DEinstalliert und von www.norton.de das Online-Scan Programm NPE.exe ausgeführt. Beim 1. Durchlauf wurde auch hier eine Sicherheitsbedrohung erkannt und entfernt. Leider hatte ich versäumt, mir den Namen dieser Bedrohung aufzuschreiben, war auf jeden Fall ein anderer Name als einer von denen (siehe oben), die Microsoft Internet Security gemeldet hatte.

Nun installierte ich eine 30-Tage-Test-Version von Norton Anti-Virus 2012. Beim Versuch, die Virensignaturen upzudaten fror die Anwendung ein. Über den Taskmanager beendete ich den NAV Task und startete den Rechner neu.
Nun endlich fand ich Euer fantastisches Forum und habe mich an die Anleitung gehalten:

Es handelt sich um einen PC von HP mit Windows 7 Professional in der 32-bit-Version.

Den Scan von Norton Anti-Virus habe ich vorher angehalten/beendet.

Hier das Ergebnis von defogger (es ergab eine Error-Log-Datei), wie folgt:

defogger-disable-log:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:59 on 03/03/2012 (Ingeborg)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Ergebnis von dds.com:

dds.txt
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_26
Run by Ingeborg at 18:01:54 on 2012-03-03
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.1918.1098 [GMT 1:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Norton AntiVirus\Engine\19.1.0.28\ccSvcHst.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Norton AntiVirus\Engine\19.1.0.28\ccSvcHst.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\LWS\Webcam Software\LWS.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Logitech\LWS\Webcam Software\CameraHelperShell.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop
uDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop
mDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop
uInternet Settings,ProxyOverride = *.local
uWinlogon: Shell=c:\users\ingeborg\appdata\local\1cf6efbe\X
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Norton Vulnerability Protection: {6d53ec84-6aae-4787-aeee-f4628f01010c} - c:\program files\norton antivirus\engine\19.1.0.28\ips\IPSBHO.DLL
BHO: Windows Live ID-Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Skype Plug-In: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [amd_dc_opt] c:\program files\amd\dual-core optimizer\amd_dc_opt.exe
mRun: [SetRefresh] c:\program files\hp\setrefresh\SetRefresh.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [LWS] c:\program files\logitech\lws\webcam software\LWS.exe -hide
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
StartupFolder: c:\users\ingeborg\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{B9745E66-9622-4BB2-BE5D-0F34591491D2} : DhcpNameServer = 192.168.2.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\ingeborg\appdata\roaming\mozilla\firefox\profiles\ohi0ksl0.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\microsoft\office live\npOLW.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\users\ingeborg\appdata\roaming\mozilla\firefox\profiles\ohi0ksl0.default\extensions\logmeinclient@logmein.com\plugins\npRACtrl.dll
.
============= SERVICES / DRIVERS ===============
.
R0 SMR250;Symantec SMR Utility Service 2.5.0;c:\windows\system32\drivers\SMR250.SYS [2012-3-3 83064]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\nav\1301000.01c\SymDS.sys [2012-3-3 340088]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\nav\1301000.01c\SymEFA.sys [2012-3-3 897656]
R1 BHDrvx86;BHDrvx86;c:\programdata\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nav_19.1.0.28\definitions\bashdefs\20110723.001\BHDrvx86.sys [2012-3-3 815736]
R1 ccSet_NAV;Norton AntiVirus Settings Manager;c:\windows\system32\drivers\nav\1301000.01c\ccSetx86.sys [2012-3-3 132744]
R1 IDSVix86;IDSVix86;c:\programdata\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nav_19.1.0.28\definitions\ipsdefs\20110726.001\IDSvix86.sys [2012-3-3 368248]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\nav\1301000.01c\Ironx86.sys [2012-3-3 149624]
R1 SymNetS;Symantec Network Security WFP Driver;c:\windows\system32\drivers\nav\1301000.01c\symnets.sys [2012-3-3 314488]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AMD FUEL Service;AMD FUEL Service;c:\program files\ati technologies\ati.ace\fuel\Fuel.Service.exe [2011-4-19 294400]
R2 NAV;Norton AntiVirus;c:\program files\norton antivirus\engine\19.1.0.28\ccSvcHst.exe [2012-3-3 138760]
R3 amdiox86;AMD IO Driver;c:\windows\system32\drivers\amdiox86.sys [2011-5-28 37944]
R3 b57nd60x;Broadcom NetXtreme-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [2009-12-28 27632]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 fssfltr;fssfltr;c:\windows\system32\drivers\fssfltr.sys [2009-9-16 54632]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\program files\windows live\family safety\fsssvc.exe [2009-8-5 704864]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [2010-3-27 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [2010-3-27 114728]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-5-28 52224]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\wpffontcache_v0400.exe --> c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [?]
.
=============== Created Last 30 ================
.
2012-03-03 15:38:00 83064 ----a-w- c:\windows\system32\drivers\SMR250.SYS
2012-03-03 15:12:50 -------- d-----w- c:\programdata\NortonInstaller
2012-03-03 15:12:50 -------- d-----w- c:\program files\NortonInstaller
2012-02-27 17:21:37 -------- d-----w- c:\windows\system32\%LOCALAPPDATA%
2012-02-27 12:36:35 -------- d-----w- c:\users\ingeborg\appdata\local\NPE
2012-02-27 12:36:35 -------- d-----w- c:\programdata\Norton
2012-02-22 19:56:21 0 --sha-w- c:\windows\system32\dds_log_trash.cmd
2012-02-22 19:55:45 -------- d-sh--w- c:\users\ingeborg\appdata\local\1cf6efbe
2012-02-18 12:10:39 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-18 12:10:35 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-18 12:10:30 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-18 12:10:29 2343424 ----a-w- c:\windows\system32\win32k.sys
.
==================== Find3M ====================
.
2012-03-03 15:13:49 127096 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2012-01-31 03:59:04 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
.
============= FINISH: 18:02:26,96 ===============

Die Datei attach.txt habe ich geZIPt und hier angehängt.

Da es sich ja um ein 32-bit Win7 handelt, habe ich auch GMER gestartet und die Häkchen gesetzt/entfernt, wie in Eurer Anleitung beschrieben.

Der Scan startet, dann erhalte ich jedoch nach kurzer Zeit eine Fehlermeldung. Hiervon habe ich einen Screenshot gemacht und ebenfalls hier angehängt.

Ich habe nun Norton Antivirus 2012 DEinstalliert und GMER nochmal ausprobiert. Gleiche Fehlermeldung/Absturz.

Natürlich habe ich NICHTS am PC gemacht während GMER lief, und ich habe - wo in Eurer Anleitung aufgefordert - die Tools jeweils mit Administrator-Rechten ausgeführt.

Herzlichen Dank im Voraus für Eure Hilfe.

Viele Grüße aus Reutlingen
GeBro

Miniaturansicht angehängter Grafiken