Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll

kwb · 28.07.2012, 14:31

Beim Scan eines Windows Server 2008 Systems hat Clam Win AV folgende Meldungen ausgeworfen:
C:\Windows\System32\services.exe: Trojan.Sirefef-411 FOUND
C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe: Trojan.Sirefef-411 FOUND

C:\Windows\winsxs\x86_microsoft-windows-a..ace-ldap-extensions_31bf3856ad364e35_6.0.6001.18000_none_2574a3912534384a\adsmsext.dll: Trojan.Patchload-31 FOUND
C:\Windows\winsxs\x86_microsoft-windows-a..terface-ldapc-layer_31bf3856ad364e35_6.0.6001.18000_none_5f327439667d597c\adsldpc.dll: Trojan.Patchload-25 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18000_none_2fee07bcc5a8367d\aaclient.dll: Trojan.Patchload-28 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18564_none_2fb132dac5d53542\aaclient.dll: Trojan.Patchload-28 FOUND

Die obigen Trojaner sind möglicherweise bereits seit längerem auf dem System, jedoch unter Trend Micro Internet Security nicht aufgefallen. Von daher bin ich micht sicher wie problematisch diese Dateien sind und welche Schritte erforderlich sind, um diese zu bereinigen.

Anbei die Datei Extras.Txt. Die Datei OTL.txt läßt sich leider nichthochladen. Was kann ich da tun? (OTL.Txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 352,0 KB groß.)

Herzlichen Dank für eure Unterstützung und Hilfe.

kwb · 28.07.2012, 17:57

Anbei noch die in vier Teile zerlegte OTL.txt-Datei

kwb · 28.07.2012, 22:47

Hier noch ein weiterer Scanreport über alle Laufwerke bei dem KEINE Infektionen gefunden wurden. Ich bin total ratlos, wie die Meldungen von ClamWin jetzt zu beurteilen sind. Ist das jetzt ein Fehlalarm oder findet Malwarebytes diese Trojaner nicht?

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.28.05

Windows Server 2008 Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Administrator :: SSD-SERVER [Administrator]

Schutz: Aktiviert

28.07.2012 19:19:36
mbam-log-2012-07-28 (19-19-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|M:\|N:\|O:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken |

PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 548488
Laufzeit: 44 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus · 01.08.2012, 20:12

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die

+ R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

ATTFilter

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

ATTFilter

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

kwb · 02.08.2012, 15:25

Hallo Arne,

vielen Dank für deine Antwort. Anbei nochmal alle (3) Logfiles von Malwarebytes.
Ebenfalls angehängt habe ich den Logfile des Eset-Scans. Wenn ich das richtig sehe, gibt es in allen Logfiles keinen Hinweis auf die Trojaner, die Clam Win AV auswirft.

Gruß, Werner

cosinus · 03.08.2012, 14:11

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

kwb · 03.08.2012, 21:21

Hallo Arne,
irgendwie bin ich etwas irritiert. Ich weiß nicht so recht, was ich mit den code-tags jetzt tun soll. Die geposteten Logs sind reine Textfiles. Könntest du das, was du erwartest, vielleicht für Dummies wie mich etwas ausführlicher erläutern?
Danke und Gruß,
Werner

cosinus · 03.08.2012, 21:59

Du sollst die Textdateien öffnen, jew. alles kopieren und hier in einen Beitrag direkt einfügen - aber mit CODE-Tags umschlossen - so schwierig kann das nun ja nicht sein

kwb · 04.08.2012, 20:23

Sorry, war mir nicht klar, dass du so was Simples meintest. Werde vielleicht sogar ich hinkriegen.
Als Letztes habe ich noch eine Kopie des Clam Win AV Logs angehängt. Die darin enthaltenen suspekten Outlook-Express-Mails sind zwischenzeitlich bereits gelöscht worden. Bei den anderen als infiziert gemeldeten Dateien weiß ich halt nicht, wie ich diese korrigieren kann.
Gruß, Werner

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.28.05

Windows Server 2008 Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Administrator :: SSD-SERVER [Administrator]

Schutz: Aktiviert

28.07.2012 19:16:48
mbam-log-2012-07-28 (19-16-48).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 211280
Laufzeit: 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

_____________________________________

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.28.05

Windows Server 2008 Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Administrator :: SSD-SERVER [Administrator]

Schutz: Aktiviert

28.07.2012 19:17:07
mbam-log-2012-07-28 (19-17-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 243003
Laufzeit: 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

__________________________________

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.28.05

Windows Server 2008 Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Administrator :: SSD-SERVER [Administrator]

Schutz: Aktiviert

28.07.2012 19:19:36
mbam-log-2012-07-28 (19-19-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|M:\|N:\|O:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 548488
Laufzeit: 44 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

______________________________

Code:

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ce27a3e3cea6e14e9c22469d3bae2a2f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-08-02 01:02:27
# local_time=2012-08-02 03:02:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=crash
# scanned=313349
# found=0
# cleaned=0
# scan_time=6543

_________________________

Ursprüngliche Virus-Report aus Clam Win AV

Code:

ATTFilter

 

C:\Windows\winsxs\x86_microsoft-windows-a..ace-ldap-extensions_31bf3856ad364e35_6.0.6001.18000_none_2574a3912534384a\adsmsext.dll: Trojan.Patchload-31 FOUND
C:\Windows\winsxs\x86_microsoft-windows-a..terface-ldapc-layer_31bf3856ad364e35_6.0.6001.18000_none_5f327439667d597c\adsldpc.dll: Trojan.Patchload-25 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18000_none_2fee07bcc5a8367d\aaclient.dll: Trojan.Patchload-28 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18564_none_2fb132dac5d53542\aaclient.dll: Trojan.Patchload-28 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278150
Engine version: 0.97.5
Scanned directories: 31094
Scanned files: 137035
Infected files: 4
Total errors: 64
Data scanned: 22579.62 MB
Data read: 28887.50 MB (ratio 0.78:1)
Time: 3302.882 sec (55 m 2 s)

Scan Started Tue Jul 24 22:50:00 2012
-------------------------------------------------------------------------------

 *** Scanning Programs in Computer Memory ***
 *** Memory Scan: using ToolHelp ***


 *** Scanned 5 processes - 107 modules ***
 *** Computer Memory Scan Completed ***

D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\14102975-00000030.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\19BB28C3-00000185.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\1C517BE9-000000F8.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\21CC679B-00000131.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\3E6A0B15-00000237.eml: HTML.Phishing.Bank-473 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4F8C46F3-00000058.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4FBD1BAF-00000031.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\6F9323B2-0000002F.eml: HTML.Phishing.Bank-485 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\75632074-000000CA.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\149C736E-0000039E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\244704F9-000003E9.eml: HTML.Phishing.Bank-623 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\247761AE-0000070E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\26631120-00000390.eml: HTML.Phishing.SPK-4 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\29C23A44-00000279.eml: HTML.Phishing.Bank-345 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\3C942858-000003A4.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\44F36013-00000769.eml: E-Mail.Phishing.SMT FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\557A133C-000003DB.eml: HTML.Phishing.Bank-598 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\70095695-000002D1.eml: HTML.Phishing.Bank-573 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\744E40F7-000006B6.eml: HTML.Phishing.Bank-879 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\793B7737-00000347.eml: HTML.Phishing.Bank-573 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278150
Engine version: 0.97.5
Scanned directories: 4682
Scanned files: 61164
Infected files: 20
Total errors: 9
Data scanned: 27946.93 MB
Data read: 29548.14 MB (ratio 0.95:1)
Time: 2506.159 sec (41 m 46 s)

Scan Started Wed Jul 25 22:30:00 2012
-------------------------------------------------------------------------------

 *** Scanning Programs in Computer Memory ***
 *** Memory Scan: using ToolHelp ***


 *** Scanned 5 processes - 107 modules ***
 *** Computer Memory Scan Completed ***


C:\Windows\System32\services.exe: Trojan.Sirefef-411 FOUND
WARNING: Can't open file \\?\C:\Windows\System32\wins\wins.mdb: Permission denied
WARNING: Can't open file \\?\C:\Windows\System32\wins\winstmp.mdb: Permission denied
C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe: Trojan.Sirefef-411 FOUND

C:\Windows\winsxs\x86_microsoft-windows-a..ace-ldap-extensions_31bf3856ad364e35_6.0.6001.18000_none_2574a3912534384a\adsmsext.dll: Trojan.Patchload-31 FOUND
C:\Windows\winsxs\x86_microsoft-windows-a..terface-ldapc-layer_31bf3856ad364e35_6.0.6001.18000_none_5f327439667d597c\adsldpc.dll: Trojan.Patchload-25 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18000_none_2fee07bcc5a8367d\aaclient.dll: Trojan.Patchload-28 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18564_none_2fb132dac5d53542\aaclient.dll: Trojan.Patchload-28 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278763
Engine version: 0.97.5
Scanned directories: 31094
Scanned files: 137037
Infected files: 6
Total errors: 64
Data scanned: 22574.13 MB
Data read: 28887.48 MB (ratio 0.78:1)
Time: 3349.132 sec (55 m 49 s)

Scan Started Wed Jul 25 22:50:00 2012
-------------------------------------------------------------------------------

 *** Scanning Programs in Computer Memory ***
 *** Memory Scan: using ToolHelp ***


 *** Scanned 5 processes - 107 modules ***
 *** Computer Memory Scan Completed ***

D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\14102975-00000030.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\19BB28C3-00000185.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\1C517BE9-000000F8.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\21CC679B-00000131.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\3E6A0B15-00000237.eml: HTML.Phishing.Bank-473 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4F8C46F3-00000058.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4FBD1BAF-00000031.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\6F9323B2-0000002F.eml: HTML.Phishing.Bank-485 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\75632074-000000CA.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\149C736E-0000039E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\244704F9-000003E9.eml: HTML.Phishing.Bank-623 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\247761AE-0000070E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\26631120-00000390.eml: HTML.Phishing.SPK-4 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\29C23A44-00000279.eml: HTML.Phishing.Bank-345 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\3C942858-000003A4.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\44F36013-00000769.eml: E-Mail.Phishing.SMT FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\557A133C-000003DB.eml: HTML.Phishing.Bank-598 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\70095695-000002D1.eml: HTML.Phishing.Bank-573 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\744E40F7-000006B6.eml: HTML.Phishing.Bank-879 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\793B7737-00000347.eml: HTML.Phishing.Bank-573 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278763
Engine version: 0.97.5
Scanned directories: 4682
Scanned files: 61164
Infected files: 20
Total errors: 9
Data scanned: 27946.93 MB
Data read: 29548.14 MB (ratio 0.95:1)
Time: 2649.112 sec (44 m 9 s)

Scan Started Thu Jul 26 22:30:00 2012
-------------------------------------------------------------------------------

 *** Scanning Programs in Computer Memory ***
 *** Memory Scan: using ToolHelp ***


 *** Scanned 5 processes - 107 modules ***
 *** Computer Memory Scan Completed ***


C:\Windows\System32\services.exe: Trojan.Sirefef-411 FOUND
C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe: Trojan.Sirefef-411 FOUND

C:\Windows\winsxs\x86_microsoft-windows-a..ace-ldap-extensions_31bf3856ad364e35_6.0.6001.18000_none_2574a3912534384a\adsmsext.dll: Trojan.Patchload-31 FOUND
C:\Windows\winsxs\x86_microsoft-windows-a..terface-ldapc-layer_31bf3856ad364e35_6.0.6001.18000_none_5f327439667d597c\adsldpc.dll: Trojan.Patchload-25 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18000_none_2fee07bcc5a8367d\aaclient.dll: Trojan.Patchload-28 FOUND
C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18564_none_2fb132dac5d53542\aaclient.dll: Trojan.Patchload-28 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278771
Engine version: 0.97.5
Scanned directories: 31094
Scanned files: 137038
Infected files: 6
Total errors: 64
Data scanned: 22581.14 MB
Data read: 28887.95 MB (ratio 0.78:1)
Time: 2950.927 sec (49 m 10 s)

Scan Started Thu Jul 26 22:50:00 2012
-------------------------------------------------------------------------------

 *** Scanning Programs in Computer Memory ***
 *** Memory Scan: using ToolHelp ***


 *** Scanned 5 processes - 107 modules ***
 *** Computer Memory Scan Completed ***

D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\14102975-00000030.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\19BB28C3-00000185.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\1C517BE9-000000F8.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\21CC679B-00000131.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\3E6A0B15-00000237.eml: HTML.Phishing.Bank-473 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4F8C46F3-00000058.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\4FBD1BAF-00000031.eml: HTML.Phishing.Pay-287 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\6F9323B2-0000002F.eml: HTML.Phishing.Bank-485 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\75632074-000000CA.eml: Heuristics.Phishing.Email.SpoofedDomain FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\149C736E-0000039E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\244704F9-000003E9.eml: HTML.Phishing.Bank-623 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\247761AE-0000070E.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\26631120-00000390.eml: HTML.Phishing.SPK-4 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\29C23A44-00000279.eml: HTML.Phishing.Bank-345 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\3C942858-000003A4.eml: HTML.Phishing.Bank-626 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\44F36013-00000769.eml: E-Mail.Phishing.SMT FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\557A133C-000003DB.eml: HTML.Phishing.Bank-598 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\70095695-000002D1.eml: HTML.Phishing.Bank-573 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\744E40F7-000006B6.eml: HTML.Phishing.Bank-879 FOUND
D:\Gesamt - Archiv\mail alexa\Local Folders\Importierte 661\Entwürfe\Info-SSH\persönlich\XXX@tele cb0\af@sciences 5ab\793B7737-00000347.eml: HTML.Phishing.Bank-573 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1278771
Engine version: 0.97.5
Scanned directories: 4682
Scanned files: 61164
Infected files: 20
Total errors: 9
Data scanned: 27946.93 MB
Data read: 29548.14 MB (ratio 0.95:1)
Time: 2552.632 sec (42 m 32 s)

cosinus · 05.08.2012, 13:54

Code:

ATTFilter

SSD-SERVER [Administrator]

Hm, das fällt mir ja jetzt erst auf...

Firmenrechner werden hier eigentlich nicht bereinigt - zudem dürfen viele Tools, die wir hier verwenden, NICHT auf gewerblich eingesetzten Systemen benutzt werden!

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

kwb · 05.08.2012, 16:42

Hallo Arne,

sorry, diese Einschränkung muß ich wohl übersehen haben. Wir sind aber in der Tat ein Drei-Mann-Unternehmen ohne eigene IT-Abteilung. Dabei bin ich hier unter den Blinden der Einäugige weil ich als persönlicher Freund des Unternehmers bis zu meiner Berentung bei einem IT-Unternehmen im Hardwarebereich tätig war und jetzt hier nebenbei für Gottes Lohn den IG-Guru spiele, der ich de Fakto nun mal nicht wirklich bin.
Ich wäre euch daher sehr verbunden, wenn ihr uns trotzdem weiterhelfen könntet. Es geht mir in erster Linie darum, überhaupt zu beurteilen, ob und was für ein Problem wir überhaupt haben. Zur Erinnerung: ein Programm sagt wir hätten mehrere Trojaner im System. Mehrere andere behaupten, alles sei in bester Ordnung. Was soll man davon halten?

Danke und Gruß,
Werner

cosinus · 05.08.2012, 17:26

Bei ClamAV sind Fehlalarme m.W. häufiger als bei anderen Scannern - hast du die von ClamAV angemckerten Dateien mal bei Virustotal auswerten lassen?

Die Funde in diesem Mailornder ist dir bekannt was es damit auf sich hat?

kwb · 05.08.2012, 22:01

Hallo Arne,

vielen Dank für den Hinweis auf Virustotal. Ich habe alle suspekten Dateien hochgeladen und checken lassen. Die beiden "services.exe"-Dateien wurden von keinem der Analyseprogramme als infiziert erkannt. Alle suspekten .dll-Dateien wurden nur von Clamwin als mit Trojan.Patchload-xx infiziert erkannt. Ich denke, dass wir diese Meldungen somit als Fehlalarm einstufen können und diesen Fall damit zu den Akten legen können.

Was die suspekten eMails angeht, so stammten diese alle aus 2008 und sind damit de Fakto überholt. Ich habe deshalb alle möglicherweise suspekten Dateien rigoros gelöscht.

Nochmals besten Dank für deine Hilfe.
Gruß, Werner

Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll

Log-Analyse und Auswertung: Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll