![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan:Win32/Sirefef.AC lässt sich einfach nicht entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 | |
| ![]() Trojan:Win32/Sirefef.AC lässt sich einfach nicht entfernen Hallo, es kommen pro Tag min. 30 Meldungen über ein und denselben Trojaner.. Egal ob ich ihn in Quarantäne verschiebe oder entferne - es bringt nichts.. Bitte um Hilfe ![]() ![]() ![]() weiss net weiter :-/ Zitat:
Hier ein Log... GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-03-26 16:41:02 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVT-22ZCT0 rev.11.01A11 Running: 0sj525gg.exe; Driver: C:\Users\Ludaa\AppData\Local\Temp\ugloapow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKey + 13C1 828483D9 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82881D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} ? System32\drivers\isghcf.sys Das System kann den angegebenen Pfad nicht finden. ! .text C:\Windows\System32\Drivers\dfsc.sys section is writeable [0x8FE7A000, 0xAC31, 0xE8000020] ? C:\Windows\System32\Drivers\dfsc.sys suspicious PE modification PAGE spsys.sys!?SPRevision@@3PADA + 4F90 AC631000 290 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...] PAGE spsys.sys!?SPRevision@@3PADA + 50B3 AC631123 32 Bytes [C5, 62, AC, FE, 05, 34, C5, ...] PAGE spsys.sys!?SPRevision@@3PADA + 50D4 AC631144 596 Bytes [62, AC, A0, 34, C5, 62, AC, ...] PAGE spsys.sys!?SPRevision@@3PADA + 5329 AC631399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...] PAGE spsys.sys!?SPRevision@@3PADA + 538F AC6313FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...] PAGE ... ---- User code sections - GMER 1.0.15 ---- .text C:\Windows\System32\ping.exe[1764] ntdll.dll!NtCreateProcess 76DF5698 5 Bytes JMP 0051000A .text C:\Windows\System32\ping.exe[1764] ntdll.dll!NtCreateProcessEx 76DF56A8 5 Bytes JMP 0052000A .text C:\Windows\System32\ping.exe[1764] ntdll.dll!NtCreateUserProcess 76DF5778 5 Bytes JMP 0053000A .text C:\Windows\System32\ping.exe[1764] USER32.dll!GetCursorPos 75F2A4B3 5 Bytes JMP 008B000A .text C:\Windows\System32\ping.exe[1764] USER32.dll!CreateWindowExW 75F2EC7C 5 Bytes JMP 008E000A .text C:\Windows\System32\ping.exe[1764] USER32.dll!GetForegroundWindow 75F3335D 5 Bytes JMP 008D000A .text C:\Windows\System32\ping.exe[1764] USER32.dll!WindowFromPoint 75F56BE9 5 Bytes JMP 008C000A .text C:\Windows\System32\ping.exe[1764] ole32.dll!CoCreateInstance 75339D0B 5 Bytes JMP 008A000A .text C:\Windows\System32\ping.exe[2316] ntdll.dll!NtCreateProcess 76DF5698 5 Bytes JMP 0027000A .text C:\Windows\System32\ping.exe[2316] ntdll.dll!NtCreateProcessEx 76DF56A8 5 Bytes JMP 0049000A .text C:\Windows\System32\ping.exe[2316] ntdll.dll!NtCreateUserProcess 76DF5778 5 Bytes JMP 004A000A .text C:\Windows\System32\ping.exe[2316] USER32.dll!GetCursorPos 75F2A4B3 5 Bytes JMP 0087000A .text C:\Windows\System32\ping.exe[2316] USER32.dll!CreateWindowExW 75F2EC7C 5 Bytes JMP 008E000A .text C:\Windows\System32\ping.exe[2316] USER32.dll!GetForegroundWindow 75F3335D 5 Bytes JMP 0089000A .text C:\Windows\System32\ping.exe[2316] USER32.dll!WindowFromPoint 75F56BE9 5 Bytes JMP 0088000A .text C:\Windows\System32\ping.exe[2316] ole32.dll!CoCreateInstance 75339D0B 5 Bytes JMP 0058000A .text C:\Windows\System32\ping.exe[2636] ntdll.dll!NtCreateProcess 76DF5698 5 Bytes JMP 0050000A .text C:\Windows\System32\ping.exe[2636] ntdll.dll!NtCreateProcessEx 76DF56A8 5 Bytes JMP 0051000A .text C:\Windows\System32\ping.exe[2636] ntdll.dll!NtCreateUserProcess 76DF5778 5 Bytes JMP 0052000A .text C:\Windows\System32\ping.exe[2636] USER32.dll!GetCursorPos 75F2A4B3 5 Bytes JMP 0058000A .text C:\Windows\System32\ping.exe[2636] USER32.dll!CreateWindowExW 75F2EC7C 5 Bytes JMP 005C000A .text C:\Windows\System32\ping.exe[2636] USER32.dll!GetForegroundWindow 75F3335D 5 Bytes JMP 005B000A .text C:\Windows\System32\ping.exe[2636] USER32.dll!WindowFromPoint 75F56BE9 5 Bytes JMP 005A000A .text C:\Windows\System32\ping.exe[2636] ole32.dll!CoCreateInstance 75339D0B 5 Bytes JMP 0057000A ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000047 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) ---- Modules - GMER 1.0.15 ---- Module (noname) (*** hidden *** ) 8FE64000-8FE79000 (86016 bytes) ---- Processes - GMER 1.0.15 ---- Process C:\Windows\System32\ping.exe (*** hidden *** ) 1764 Process C:\Windows\System32\ping.exe (*** hidden *** ) 2316 Process PING.EXE (*** hidden *** ) 2516 Process C:\Windows\System32\ping.exe (*** hidden *** ) 2636 ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\Users\Ludaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\SimCity\x2122 Societies\SimCity\x2122 Societies.lnk 1 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts@C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts\SimCity\x2122 Societies\SimCity\x2122 Societies.lnk 1 ---- Files - GMER 1.0.15 ---- File C:\Windows\$NtUninstallKB15430$\479339512 0 bytes File C:\Windows\$NtUninstallKB15430$\602152866 0 bytes File C:\Windows\$NtUninstallKB15430$\602152866\@ 2048 bytes File C:\Windows\$NtUninstallKB15430$\602152866\cfg.ini 297 bytes File C:\Windows\$NtUninstallKB15430$\602152866\Desktop.ini 4608 bytes File C:\Windows\$NtUninstallKB15430$\602152866\L 0 bytes File C:\Windows\$NtUninstallKB15430$\602152866\L\xadqgnnk 78336 bytes File C:\Windows\$NtUninstallKB15430$\602152866\oemid 289 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U 0 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\00000001.@ 2048 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\00000002.@ 224768 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\00000004.@ 1024 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\80000000.@ 66560 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\80000004.@ 12800 bytes File C:\Windows\$NtUninstallKB15430$\602152866\U\80000032.@ 115200 bytes File C:\Windows\$NtUninstallKB15430$\602152866\version 861 bytes ---- EOF - GMER 1.0.15 ---- |
Themen zu Trojan:Win32/Sirefef.AC lässt sich einfach nicht entfernen |
80000000.@, denselben, desktop.ini, einfach, entferne, entfernen, gen, locker, meldungen, ntdll.dll, quarantäne, troja, trojan, win |