| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: svhost Trojan.Sirefef.BRWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.05.2012, 11:29
| #16 |
  |  svhost Trojan.Sirefef.BR im abgesicherten Modus kann der Virenscanner garnicht gestartet werden. |
|
23.05.2012, 12:01
| #17 |
| /// Malwareteam    | svhost Trojan.Sirefef.BR FRST 64bit
__________________Downloade dir bitte Farbar's Recovery Scan Tool x64 und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
__________________ |
|
23.05.2012, 23:56
| #18 |
| | svhost Trojan.Sirefef.BR FRST Log...
__________________ |
|
24.05.2012, 08:16
| #19 | |
| /// Malwareteam | svhost Trojan.Sirefef.BR Schritt 1: Fix mit FRST 64 Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter SubSystems: [Windows] ATTENTION! ====> ZeroAccess
2 compaq_rba; C:\Windows\System32\nvsvc.dll [5120 2009-07-14] (Iomega)
2 cpqalert; C:\Windows\System32\olapserver.dll [5120 2009-07-14] (Iomega)
2 ds1; C:\Windows\System32\olapserver.dll [5120 2009-07-14] (Iomega)
2 lhidflt2; C:\Windows\System32\zpsc.dll [5120 2009-07-14] (Iomega)
2 s716bus; C:\Windows\System32\owstimer.dll [5120 2009-07-14] (Iomega)
2 stllssvr; C:\Windows\System32\artourservice.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\nvsvc.dll
C:\Windows\System32\olapserver.dll
C:\Windows\System32\zpsc.dll
C:\Windows\System32\owstimer.dll
C:\Windows\System32\artourservice.dll
NETSVC: compaq_rba
NETSVC: ds1
Schritt 2: combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
24.05.2012, 11:23
| #20 |
| | svhost Trojan.Sirefef.BR Also Combofix auch im Reparaturmodus starten? weil im abgesicherten ging es ja nicht. |
|
24.05.2012, 11:27
| #21 |
| /// Malwareteam | svhost Trojan.Sirefef.BR Nein! Starte Windows nach dem FRST fix im Normalmodus neu, lade dir eine neue Combofix.exe auf den Desktop herunter und führe sie per Doppelklick aus!
__________________ --> svhost Trojan.Sirefef.BR |
|
24.05.2012, 11:43
| #22 |
| | svhost Trojan.Sirefef.BR Fixlog: Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 23-05-2012 Ran by SYSTEM at 2012-05-24 13:42:37 Run:1 Running from G:\ ============================================== HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\SubSystems\\Windows Value was restored. compaq_rba service deleted successfully. cpqalert service deleted successfully. ds1 service deleted successfully. lhidflt2 service deleted successfully. s716bus service deleted successfully. stllssvr service deleted successfully. C:\Windows\System32\nvsvc.dll moved successfully. C:\Windows\System32\olapserver.dll moved successfully. C:\Windows\System32\zpsc.dll moved successfully. C:\Windows\System32\owstimer.dll moved successfully. C:\Windows\System32\artourservice.dll moved successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs compaq_rba Deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs ds1 Deleted successfully. ==== End of Fixlog ==== |
|
24.05.2012, 14:45
| #23 |
| /// Malwareteam | svhost Trojan.Sirefef.BR Dann noch das CF-Log
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
24.05.2012, 22:15
| #24 |
| | svhost Trojan.Sirefef.BR Combofix Log |
|
25.05.2012, 07:45
| #25 |
| /// Malwareteam | svhost Trojan.Sirefef.BR ------------------------------------------
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
25.05.2012, 07:49
| #26 | |
| /// Malwareteam | svhost Trojan.Sirefef.BR Schritt 1: Programme deinstallieren
Schritt 2: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter NETSVC::
3compxe
a016bus
acedrv07
adobeactivefilemonitor4.0
AEADIFilters
ALABULK
ARCSOFTVIRTUALCAPTURE
ASMMAP
atikmdag
atksgt
bb-run
BCMTPM
btaudio
Cap7134
cics.region1
ctljystk
CTMFLT
cvslock
defwatch
delldmi
dnetc
EACSvrMngr
emu10k1
enodpl
entech
es1371
evteng
fa_scheduler
filter
FireTDI
gameenum
hamachi
HSXHWBS2
igateway
IntelC53
ipassconnectengine
irmon
k750mdm
Ktp
lemsgt
lvmvdrv
lwwlicense
mcmispupdmgr
mcproxy
megamonitorsrv
mqdmbus
MSFWHLPR
MtxDma0
mysql
nic1394
NICSer_WPC54G
ni_nic
Nmea
npkcmsvc
NWSAP
obvious
OVT511Plus
p1110vid
paamsrv
PAR1284
pdreli
ProcObsrv
rkhdrv31
RMSvc
rt2500
RTL8023xp
rtl8029
rtl8187Se
rupsmon
s217mgmt
s616bus
sbpci
SE2Cmdfl
SE2Cobex
se44nd5
SGIR
sony_ssm.sys
SQLBrowser
st330
stac97
SWNC8U51
symredrv
T6963C
tapvpn
tnbrlds
tosrfhid
trlokom_rmhsvc
tunmp
TUWinStylerThemeSvc
vmusb
DRIVER::
3compxe
a016bus
acedrv07
adobeactivefilemonitor4.0
AEADIFilters
ALABULK
ARCSOFTVIRTUALCAPTURE
ASMMAP
atikmdag
atksgt
bb-run
BCMTPM
btaudio
Cap7134
cics.region1
ctljystk
CTMFLT
cvslock
defwatch
delldmi
dnetc
EACSvrMngr
emu10k1
enodpl
entech
es1371
evteng
fa_scheduler
filter
FireTDI
gameenum
hamachi
HSXHWBS2
igateway
IntelC53
ipassconnectengine
irmon
k750mdm
Ktp
lemsgt
lvmvdrv
lwwlicense
mcmispupdmgr
mcproxy
megamonitorsrv
mqdmbus
MSFWHLPR
MtxDma0
mysql
nic1394
NICSer_WPC54G
ni_nic
Nmea
npkcmsvc
NWSAP
obvious
OVT511Plus
p1110vid
paamsrv
PAR1284
pdreli
ProcObsrv
rkhdrv31
RMSvc
rt2500
RTL8023xp
rtl8029
rtl8187Se
rupsmon
s217mgmt
s616bus
sbpci
SE2Cmdfl
SE2Cobex
se44nd5
SGIR
sony_ssm.sys
SQLBrowser
st330
stac97
SWNC8U51
symredrv
T6963C
tapvpn
tnbrlds
tosrfhid
trlokom_rmhsvc
tunmp
TUWinStylerThemeSvc
vmusb
Wichtig:
Schritt 3: OTL (custom) Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! Geändert von Psychotic (25.05.2012 um 08:47 Uhr) |
|
25.05.2012, 22:24
| #27 |
| | svhost Trojan.Sirefef.BR ich schreibe dir erstmal nur den CFscryptlog. ich glaube nämlich das es den nicht ausgeführt hat. weil nachdem ich den draufgezogen hatte. kam erstmal die installation von Combofix, will damit nur auf nummer sicher gehen. Combofix Scryptlog |
|
25.05.2012, 22:44
| #28 |
| /// Malwareteam | svhost Trojan.Sirefef.BR Dann weiter mit OTL
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
25.05.2012, 23:10
| #29 |
| | svhost Trojan.Sirefef.BR hier die beiden Logs von OTL |
|
27.05.2012, 10:28
| #30 | |
| /// Malwareteam | svhost Trojan.Sirefef.BR Schritt 1: Fix mit OTL
Code:
ATTFilter :OTL
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found
IE - HKLM\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60465
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=2&q="
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60465
FF - prefs.js..network.proxy.type: 0
[2012.01.09 19:35:01 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Luisa\AppData\Roaming\mozilla\Firefox\Profiles\161hpcsf.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.06.20 14:07:00 | 000,000,931 | ---- | M] () -- C:\Users\Luisa\AppData\Roaming\Mozilla\Firefox\Profiles\161hpcsf.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
NetSvcs:64bit: stac97 - C:\Windows\SysNative\stac97.dll (Iomega)
NetSvcs:64bit: ASNDIS5 - C:\Windows\SysNative\ASNDIS5.dll (Iomega)
NetSvcs:64bit: cwafadmincontroller - C:\Windows\SysNative\cwafadmincontroller.dll (Iomega)
NetSvcs:64bit: belmonitorservice - C:\Windows\SysNative\belmonitorservice.dll (Iomega)
NetSvcs:64bit: om518p - C:\Windows\SysNative\om518p.dll (Iomega)
NetSvcs:64bit: pfc - C:\Windows\SysNative\pfc.dll (Iomega)
NetSvcs:64bit: bobo - C:\Windows\SysNative\bobo.dll (Iomega)
NetSvcs:64bit: BVRPMPR5 - C:\Windows\SysNative\BVRPMPR5.dll (Iomega)
NetSvcs:64bit: se2Eunic - C:\Windows\SysNative\se2Eunic.dll (Iomega)
NetSvcs:64bit: backupexecnamingservice - C:\Windows\SysNative\backupexecnamingservice.dll (Iomega)
NetSvcs:64bit: HPSLPSVC - C:\Windows\SysNative\HPSLPSVC.dll (Iomega)
NetSvcs:64bit: cdmservice - C:\Windows\SysNative\cdmservice.dll (Iomega)
NetSvcs:64bit: dlaudf_m - C:\Windows\SysNative\dlaudf_m.dll (Iomega)
NetSvcs:64bit: ssm_mdm - C:\Windows\SysNative\ssm_mdm.dll (Iomega)
NetSvcs:64bit: naimagent32 - C:\Windows\SysNative\naimagent32.dll (Iomega)
NetSvcs:64bit: starwindserviceae - C:\Windows\SysNative\starwindserviceae.dll (Iomega)
NetSvcs:64bit: VRFIL - C:\Windows\SysNative\VRFIL.dll (Iomega)
NetSvcs:64bit: fsbwsys - C:\Windows\SysNative\fsbwsys.dll (Iomega)
NetSvcs:64bit: sdhelper - C:\Windows\SysNative\sdhelper.dll (Iomega)
NetSvcs:64bit: StMp3Rec - C:\Windows\SysNative\StMp3Rec.dll (Iomega)
NetSvcs:64bit: nvnetbus - C:\Windows\SysNative\nvnetbus.dll (Iomega)
NetSvcs:64bit: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - C:\Windows\SysNative\{95808DC4-FA4A-4c74-92FE-5B863F82066B}.dll (Iomega)
NetSvcs:64bit: w810mgmt - C:\Windows\SysNative\w810mgmt.dll (Iomega)
NetSvcs:64bit: opcenum - C:\Windows\SysNative\opcenum.dll (Iomega)
NetSvcs:64bit: cq_mem - C:\Windows\SysNative\cq_mem.dll (Iomega)
NetSvcs:64bit: MSSQL$MSSMLBIZ - C:\Windows\SysNative\MSSQL$MSSMLBIZ.dll (Iomega)
NetSvcs:64bit: wacomvhid - C:\Windows\SysNative\wacomvhid.dll (Iomega)
NetSvcs:64bit: NICM - C:\Windows\SysNative\NICM.dll (Iomega)
NetSvcs:64bit: pdlnsx25 - C:\Windows\SysNative\pdlnsx25.dll (Iomega)
NetSvcs:64bit: VRADFIL - C:\Windows\SysNative\VRADFIL.dll (Iomega)
NetSvcs:64bit: nwlnkipx - C:\Windows\SysNative\nwlnkipx.dll (Iomega)
NetSvcs:64bit: TPM - C:\Windows\SysNative\tpm.msc ()
NetSvcs:64bit: sgectl - C:\Windows\SysNative\sgectl.dll (Iomega)
NetSvcs:64bit: tones - C:\Windows\SysNative\tones.dll (Iomega)
NetSvcs:64bit: mwsarcpkt - C:\Windows\SysNative\mwsarcpkt.dll (Iomega)
NetSvcs:64bit: Spsmqvsm - C:\Windows\SysNative\Spsmqvsm.dll (Iomega)
NetSvcs:64bit: autostore - C:\Windows\SysNative\autostore.dll (Iomega)
NetSvcs:64bit: symtdi - C:\Windows\SysNative\symtdi.dll (Iomega)
NetSvcs:64bit: epfw - C:\Windows\SysNative\epfw.dll (Iomega)
NetSvcs:64bit: vmount2 - C:\Windows\SysNative\vmount2.dll (Iomega)
NetSvcs:64bit: xpadminserver - C:\Windows\SysNative\xpadminserver.dll (Iomega)
NetSvcs:64bit: imonitor - C:\Windows\SysNative\imonitor.dll (Iomega)
NetSvcs:64bit: utilman - C:\Windows\SysNative\Utilman.exe (Microsoft Corporation)
NetSvcs:64bit: ulcdrhlp - C:\Windows\SysNative\ulcdrhlp.dll (Iomega)
NetSvcs:64bit: filemon701 - C:\Windows\SysNative\filemon701.dll (Iomega)
NetSvcs:64bit: nicconfigsvc - C:\Windows\SysNative\nicconfigsvc.dll (Iomega)
NetSvcs:64bit: tsmservice - C:\Windows\SysNative\tsmservice.dll (Iomega)
NetSvcs:64bit: CTEDSPIO.DLL - C:\Windows\SysNative\CTEDSPIO.DLL.dll (Iomega)
NetSvcs:64bit: SQLAgent$MICROSOFTSMLBIZ - C:\Windows\SysNative\SQLAgent$MICROSOFTSMLBIZ.dll (Iomega)
NetSvcs:64bit: icepack - C:\Windows\SysNative\icepack.dll (Iomega)
NetSvcs:64bit: AtiHdmiService - C:\Windows\SysNative\AtiHdmiService.dll (Iomega)
NetSvcs:64bit: w300bus - C:\Windows\SysNative\w300bus.dll (Iomega)
NetSvcs:64bit: hcf_msft - C:\Windows\SysNative\hcf_msft.dll (Iomega)
NetSvcs:64bit: GMSIPCI - C:\Windows\SysNative\GMSIPCI.dll (Iomega)
NetSvcs:64bit: avsinc - C:\Windows\SysNative\avsinc.dll (Iomega)
NetSvcs:64bit: rrrspy - C:\Windows\SysNative\rrrspy.dll (Iomega)
NetSvcs:64bit: Wbutton - C:\Windows\SysNative\Wbutton.dll (Iomega)
NetSvcs:64bit: backupclientsvc - C:\Windows\SysNative\backupclientsvc.dll (Iomega)
NetSvcs:64bit: navex15 - C:\Windows\SysNative\navex15.dll (Iomega)
NetSvcs:64bit: PAR1284 - C:\Windows\SysNative\PAR1284.dll (Iomega)
NetSvcs:64bit: vmusb - C:\Windows\SysNative\vmusb.dll (Iomega)
[2011.12.25 18:19:53 | 000,000,000 | ---D | M] -- C:\Users\Luisa\AppData\Roaming\1293A
[2011.12.25 18:20:04 | 000,000,000 | ---D | M] -- C:\Users\Luisa\AppData\Roaming\3A05B
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:CB0AACC9
:Commands
[emptytemp]
Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
| Themen zu svhost Trojan.Sirefef.BR |
| abgesicherten, anwendung, bitdefender, boot, boot menu, control, defender, dienste, internet, komplett, konfiguration, laptop, melde, modus, netzwerk, neu, online, scan, security, service, system, system32, trojan dropper win32 sirefef.b, trojaner, verbindung, windows, windows 7 |
Textbox.
Linear-Darstellung
