|
Log-Analyse und Auswertung: TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.03.2012, 20:44 | #1 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Hallo, habe seit ein paar Tagen folgendes Problem. Avira hat den Virus bzw. Trojanisches Pferd TR/Sirefef.BV.2 mehrmals gefunden und in Quarantäne verschoben. Mit Zugang zum Internet und besuchen von Webseiten, tat sich immer mal ein neuer Tab auf mit Werbung. Danach wurde über Malwarebytes Scan kein weiterer Fund berichtet. Hierzu habe ich leider keinen Bericht. Dann wurde festgestellt, dass die Firewall deaktiviert wurde und ich sie nicht mehr aktivieren kann. Nach Systemprüfung mit Avira wurde folgendes getan: Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 18. März 2012 16:23 Es wird nach 3569307 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : GANDALF-PC Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:55:52 AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:56:29 LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:56:01 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:55:52 AVREG.DLL : 12.1.0.29 228048 Bytes 31.01.2012 07:55:51 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 12:51:57 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 12:51:57 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 12:51:57 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 12:51:57 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 12:51:57 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 12:51:58 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 12:51:58 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 12:51:58 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 12:51:58 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 12:51:58 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 12:52:03 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 12:52:05 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 12:52:06 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 12:52:06 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 12:52:07 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 12:52:07 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 12:52:08 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 12:52:08 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 12:52:09 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 12:52:09 VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 12:52:10 VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 12:52:11 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 12:52:12 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 12:52:13 VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 12:52:13 VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 12:52:13 VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 12:52:13 VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 12:52:13 VBASE031.VDF : 7.11.25.142 71680 Bytes 16.03.2012 12:52:13 Engineversion : 8.2.10.24 AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 07:55:38 AESCRIPT.DLL : 8.1.4.10 455035 Bytes 18.03.2012 12:52:26 AESCN.DLL : 8.1.8.2 131444 Bytes 18.03.2012 12:52:25 AESBX.DLL : 8.2.5.5 606579 Bytes 18.03.2012 12:52:27 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.2.16.5 803190 Bytes 18.03.2012 12:52:25 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.01.2012 07:55:36 AEHEUR.DLL : 8.1.4.7 4501878 Bytes 18.03.2012 12:52:23 AEHELP.DLL : 8.1.19.0 254327 Bytes 18.03.2012 12:52:16 AEGEN.DLL : 8.1.5.23 409973 Bytes 18.03.2012 12:52:15 AEEXP.DLL : 8.1.0.25 74101 Bytes 18.03.2012 12:52:27 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34 AECORE.DLL : 8.1.25.6 201078 Bytes 18.03.2012 12:52:15 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:55:54 AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:55:51 AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 07:55:51 AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:55:46 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:55:47 SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:56:07 AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 07:55:52 NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:56:02 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 07:56:32 RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:56:32 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 18. März 2012 16:23 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\$ntuninstallkb41285$:summaryinformation c:\windows\$ntuninstallkb41285$:summaryinformation [HINWEIS] Der Stream ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'taskeng.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '60' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'GoogleDesktop.exe' - '47' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'OSDUtility.exe' - '69' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'igfxpers.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '128' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '94' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'Dwm.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'TestHandler.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'FSCWBaseUpdaterService.exe' - '87' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'AppleMobileDeviceService.exe' - '40' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'setup.exe' - '54' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'LEXPPS.EXE' - '35' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'LEXBCES.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '140' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'svchost.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '39' Modul(e) wurden durchsucht Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll> [WARNUNG] Die Datei konnte nicht geöffnet werden! Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Windows\System32\RTLE8023xp.dll [FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2 Die Registry wurde durchsucht ( '1172' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\Windows\System32\RTLE8023xp.dll [FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2 Beginne mit der Suche in 'D:\' <DATA> Beginne mit der Desinfektion: Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lxct_device\Parameters> wurde erfolgreich entfernt. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lxct_device\Parameters> wurde erfolgreich entfernt. C:\Windows\System32\RTLE8023xp.dll [FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lxct_device\Parameters\ServiceDll> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lxct_device\Parameters\ServiceDll> wurde erfolgreich repariert. Ende des Suchlaufs: Sonntag, 18. März 2012 17:54 Benötigte Zeit: 1:29:02 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 28983 Verzeichnisse wurden überprüft 496066 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 19 Dateien konnten nicht durchsucht werden 496045 Dateien ohne Befall 6314 Archive wurden durchsucht 19 Warnungen 2 Hinweise 506966 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Nachdem ich die von euch angegebenen Downloads durchgeführt und die Scans übers System laufen ließ, wurde folgendes Berichtet: DDS.txt: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 7.0.6002.18005 BrowserJavaVersion: 1.6.0_29 Run by Gandalf at 21:45:32 on 2012-03-22 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2936.1891 [GMT 1:00] . AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\svchost.exe -k rpcss C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\System32\LEXBCES.EXE C:\Windows\System32\LEXPPS.EXE C:\Windows\System32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Windows\TEMP\lomelc\setup.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\Windows\system32\IoctlSvc.exe C:\Windows\system32\svchost.exe -k imgsvc C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\system32\SearchIndexer.exe C:\Program Files\TeamViewer\Version4\TeamViewer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\FSC OSD Utility\OSDUtility.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Windows\system32\igfxsrvc.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Windows\ehome\ehmsas.exe C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\taskeng.exe C:\Program Files\iPod\bin\iPodService.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\system32\conime.exe C:\Windows\system32\taskeng.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\wbem\wmiprvse.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/firefox mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD uInternet Settings,ProxyOverride = *.local BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe uRun: [{0CFEE880-0826-2F71-3446-46EC31EDB3A4}] c:\users\gandalf\appdata\roaming\zaecyl\agybdoo.exe mRun: [RtHDVCpl] RtHDVCpl.exe mRun: [IgfxTray] c:\windows\system32\igfxtray.exe mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe mRun: [Persistence] c:\windows\system32\igfxpers.exe mRun: [FSC OSD Utility] c:\progra~1\fscosd~1\OSDUTI~1.EXE mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe" mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup mRun: [FSCRecovery] c:\program files\fujitsu siemens computers\fujitsu siemens computers recovery\FSCRecoveryReminder.exe mRun: [NPCTray] c:\program files\norman\npc\bin\npc_tray.exe /LOAD mRun: [Google EULA Launcher] c:\program files\google\google eula\GoogleEULALauncher.exe IE PA mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe" mRun: [Skytel] Skytel.exe mRun: [Lexmark X6100 Series] "c:\program files\lexmark x6100 series\lxbfbmgr.exe" mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe" mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min dRun: [Picasa Media Detector] c:\program files\picasa2\PicasaMediaDetector.exe dRun: [fsc-reg] c:\fsc-reg\fscreg.exe StartupFolder: c:\users\gandalf\appdata\roaming\micros~1\windows\startm~1\programs\startup\openof~1.lnk - c:\program files\openoffice.org 3\program\quickstart.exe mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html LSP: mswsock.dll DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202 TCP: Interfaces\{1CBCFD11-E818-43B0-B559-B1218B3299E8} : DhcpNameServer = 192.168.2.1 TCP: Interfaces\{5B427B96-D381-4272-A732-7AA8475F4F07} : DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202 Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL Notify: igfxcui - igfxdev.dll AppInit_DLLs: c:\progra~1\google\google~2\GOEC62~1.DLL . ================= FIREFOX =================== . FF - ProfilePath - c:\users\gandalf\appdata\roaming\mozilla\firefox\profiles\ywcwjveh.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll FF - plugin: c:\users\gandalf\appdata\roaming\mozilla\firefox\profiles\ywcwjveh.default\extensions\2020player@2020technologies.com\plugins\NP2020Player.dll . ---- FIREFOX POLICIES ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . ============= SERVICES / DRIVERS =============== . R?2 AMService;AMService;c:\windows\temp\lomelc\setup.exe run --> c:\windows\temp\lomelc\setup.exe run [?] R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-3-18 36000] R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-3-18 86224] R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-3-18 110032] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-3-18 74640] R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504] R2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;c:\program files\fujitsu siemens computers\fsclounge\fscwbaseupdaterservice\2\FSCWBaseUpdaterService.exe [2007-6-4 65536] R2 TeamViewer4;TeamViewer 4;c:\program files\teamviewer\version4\TeamViewer_Service.exe [2009-8-24 185640] R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [2008-10-10 337920] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\program files\google\google desktop search\GoogleDesktop.exe [2009-6-12 29744] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504] . =============== Created Last 30 ================ . 2012-03-18 19:28:34 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll 2012-03-18 19:28:34 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll 2012-03-18 12:53:20 -------- d-----w- c:\users\gandalf\appdata\roaming\Avira 2012-03-18 12:50:53 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-03-18 12:50:53 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2012-03-18 12:50:48 -------- d-----w- c:\programdata\Avira 2012-03-18 12:50:48 -------- d-----w- c:\program files\Avira 2012-03-16 21:53:47 0 --sha-w- c:\windows\system32\dds_trash_log.cmd 2012-03-16 10:45:58 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{d9b50d52-572e-4e23-9d34-458a297d25ac}\mpengine.dll 2012-03-14 19:58:36 2044416 ----a-w- c:\windows\system32\win32k.sys 2012-03-14 19:58:34 683008 ----a-w- c:\windows\system32\d2d1.dll 2012-03-14 19:58:34 219648 ----a-w- c:\windows\system32\d3d10_1core.dll 2012-03-14 19:58:34 160768 ----a-w- c:\windows\system32\d3d10_1.dll 2012-03-14 19:58:34 1172480 ----a-w- c:\windows\system32\d3d10warp.dll 2012-03-14 19:58:34 1068544 ----a-w- c:\windows\system32\DWrite.dll 2012-03-14 19:58:20 613376 ----a-w- c:\windows\system32\rdpencom.dll 2012-03-14 19:58:20 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-03-14 19:58:18 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat 2012-02-27 12:54:49 -------- d-----w- c:\users\gandalf\appdata\roaming\Zaecyl 2012-02-27 12:54:49 -------- d-----w- c:\users\gandalf\appdata\roaming\Lasa . ==================== Find3M ==================== . 2012-03-16 21:52:49 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe 2006-05-03 10:06:54 163328 --sha-r- c:\windows\system32\flvDX.dll 2007-02-21 11:47:16 31232 --sha-r- c:\windows\system32\msfDX.dll 2008-03-16 13:30:52 216064 --sha-r- c:\windows\system32\nbDX.dll . ============= FINISH: 21:46:54,39 =============== Während ich die Berichte in eurer Forum stellen wollte, hat sich mein System aufgehangen. Zudem hat sich Avira aufgetan und von folgendem Virus berichtet und in Quarantäne verschoben. TR/Rootkit.Gen in c:windows/system32/drivers/netbt.sys Zudem stellt sich das Problem, dass ich keine Sicherungskopien vom System gemacht habe.. Ich hoffe, dass ihr mir trotzdem helfend könnt und vor allem, dass ich das hier alles richtig gemacht habe... Verzweifelte Grüße Nicole |
28.03.2012, 10:21 | #2 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll hi,
__________________nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________ |
28.03.2012, 19:25 | #3 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Hallo,
__________________ja, habe mit dem Rechner Onlinebanking und dergleichen getätigt. Habe dahingehend auch alle meine Passwörter geändert und als mir das so komisch vorkam gar nicht erst genutzt. Zur Zeit mache ich mit dem Rechner garkeine Internetaktivitäten, sondern nutze das Internet über einen zweiten Rechner. |
28.03.2012, 20:16 | #4 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll hi ich hoffe du hast die passwörter nicht von dem infiziertem pc aus geendert, denn das wäre sinnlos :-) da du damit onlinebanking machst, und du ein rootkit hast: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
29.03.2012, 20:45 | #5 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Hallo und danke erstmal für die Antwort. Die Passwörter habe ich über einen anderen Rechner geändert Ich habe überhaupt keine Ahnung wie formatiert wird. Problem ist auch, dass ich kein Betriebssystem auf CD besitze und die Hersteller CD nicht auffindbar ist (im Moment). Kann jetzt erstmal nur die Daten sichern und dann weiß ich auch nicht weiter ... |
30.03.2012, 10:11 | #6 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll wie heißt das gerät genau? hersteller und geräte typ
__________________ --> TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll |
30.03.2012, 11:07 | #7 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Fujitsu Siemens Amilo Notebook Li 3710 Ich hoffe, dass ist mit Hersteller und Typ gemeint |
30.03.2012, 16:10 | #8 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll wenn ich das richtig sehe, muss man dvds selbst erstellen, hattest du das gemacht?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
31.03.2012, 18:15 | #9 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Nein, leider nicht. Dass ist ja das blöde |
01.04.2012, 18:26 | #10 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll hast du noch nen handbuch zu dem gerät, häufig gibts ja recovery funktionen, falls man keine cds erstellt hatt.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.04.2012, 19:48 | #11 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Derzeit leider nicht auffindbar. Stelle gerade die ganze Wohnung auf den Kopf, aber leider ohne Erfolg. Muss ich mir ein neues Betriebssystem kaufen? |
02.04.2012, 14:03 | #12 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll ja, sieht leider so aus. ich würd aber dann eher auf windows 7 setzen. Windows 7 Upgrade Advisor - Download - Microsoft Windows teste mal mit diesem tool, ob der pc windows 7 tauglich ist.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
02.04.2012, 20:46 | #13 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Ok..das könnte jetzt aber erstmal 1-3 Tage dauern. Ich hoffe, dass ist kein Problem, wenn ich mich nicht gleich wieder melde. Wieviel würde denn das neue Betriebssystem dann kosten, wenn es auf dem Rechner laufen würde? Muss ich noch etwas beachten, wenn ich mir die Datei downloade, wegen dem Virus.. |
03.04.2012, 08:41 | #14 |
/// Malware-holic | TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll nein, musst du nicht. aber vor dem kauf das tool nutzen. da muss man vergleichen, über google shopping ergebnisse kann man windows 7 für 60 € rund bekommen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
07.04.2012, 22:44 | #15 |
| TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll Es ist vollbracht. Extern hat mir ein Freund geholfen den Rechner frei vom Befall zu bekommen und ich wollte mich auf diesem Wege nochmal für dein Unterstützung bedanken und natürlich auch ein Danke, dass du dir die Zeit genommen hattest, mir zu antworten. Erleichternde Grüße Nicole-Yvonne |
Themen zu TR/Sirefef.BV.2 in c:windows/system32/RTLE8023xp.dll |
.dll, adobe, avg, bonjour, defender, desktop, firefox, firewall, fontcache, home, internet, mozilla, norman, nt.dll, picasa, plug-in, programm, prozesse, realtek, registry, scan, services.exe, svchost.exe, trojanisches pferd, usb, usb 2.0, verweise, virus, warnung, windows, winlogon.exe |