| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sirefef.AL und Siref.AQWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
06.08.2012, 18:44
| #1 |
| |  Sirefef.AL und Siref.AQ Microsoft Security Essentials meldet auf meinem Rechner alle 4 Minuten zwei Bedrohungen (siehe oben), die dann immer entfernt wird. Zudem wollte gestern eine Datei vikyrefwaqis.exe ausgeführt werden. Das Ausführen dieser Datei konnte ich mit der Sicherheitsfrage nicht verhindern und beenden; erst nach einigen Minuten und vielen Neins blieb die Meldung in der Taskleiste; ich habe über den Taskmanager den Prozess der Datei beendet; anschließend habe ich die Datei (sie befand sich im Adminprofil) gelöscht. Ich habe wie beschrieben Malwarebytes Anti-Malware laufen lassen; das Ergebnis: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Admin :: ADMIN-PC [Administrator] Schutz: Aktiviert 06.08.2012 17:12:20 mbam-log-2012-08-06 (17-12-20).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 229503 Laufzeit: 5 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\Admin\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\Admin\AppData\Local\{c131cda6-abe8-ef6f-f49c-4367e3e7b080}\n. -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Admin\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart. (Ende) Ich habe dies dann mit der aktuellen Version "mbam-rules.exe" wiederholt; das Ergebnis: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.06.09 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Admin :: ADMIN-PC [Administrator] Schutz: Aktiviert 06.08.2012 19:53:34 mbam-log-2012-08-06 (19-53-34).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215669 Laufzeit: 5 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCR\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Users\Admin\AppData\Roaming\AcroIEHelpe180.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Admin\AppData\Local\Temp\msimg32.dll (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Admin\AppData\Local\Temp\50648548.exe (Trojan.Phex.THAGen3) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Admin\AppData\Local\Temp\50651855.exe (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Waren diese Schritte richtig? Was soll ich tun? Geändert von inselino (06.08.2012 um 19:09 Uhr) |
| Themen zu Sirefef.AL und Siref.AQ |
| acroiehelpe180.dll, ausgeführt, beenden, beendet, blieb, datei, entfernt, essen, gelöscht, gen, gestern, konnte, melde, meldet, meldung, microsoft, minute, minuten, msimg32.dll, profil, prozess, rechner, schließe, security, taskleiste, taskmanager, trojan.phex.thagen, trojan.phex.thagen3, verhindern |
Baum-Darstellung