|
Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll Beim Scan eines Windows Server 2008 Systems hat Clam Win AV folgende Meldungen ausgeworfen: C:\Windows\System32\services.exe: Trojan.Sirefef-411 FOUND C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe: Trojan.Sirefef-411 FOUND C:\Windows\winsxs\x86_microsoft-windows-a..ace-ldap-extensions_31bf3856ad364e35_6.0.6001.18000_none_2574a3912534384a\adsmsext.dll: Trojan.Patchload-31 FOUND C:\Windows\winsxs\x86_microsoft-windows-a..terface-ldapc-layer_31bf3856ad364e35_6.0.6001.18000_none_5f327439667d597c\adsldpc.dll: Trojan.Patchload-25 FOUND C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18000_none_2fee07bcc5a8367d\aaclient.dll: Trojan.Patchload-28 FOUND C:\Windows\winsxs\x86_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.0.6001.18564_none_2fb132dac5d53542\aaclient.dll: Trojan.Patchload-28 FOUND Die obigen Trojaner sind möglicherweise bereits seit längerem auf dem System, jedoch unter Trend Micro Internet Security nicht aufgefallen. Von daher bin ich micht sicher wie problematisch diese Dateien sind und welche Schritte erforderlich sind, um diese zu bereinigen. Anbei die Datei Extras.Txt. Die Datei OTL.txt läßt sich leider nichthochladen. Was kann ich da tun? (OTL.Txt: Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 352,0 KB groß.) Herzlichen Dank für eure Unterstützung und Hilfe. |
Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext Anbei noch die in vier Teile zerlegte OTL.txt-Datei |
Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext Hier noch ein weiterer Scanreport über alle Laufwerke bei dem KEINE Infektionen gefunden wurden. Ich bin total ratlos, wie die Meldungen von ClamWin jetzt zu beurteilen sind. Ist das jetzt ein Fehlalarm oder findet Malwarebytes diese Trojaner nicht? :confused: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.28.05 Windows Server 2008 Service Pack 2 x64 NTFS Internet Explorer 9.0.8112.16421 Administrator :: SSD-SERVER [Administrator] Schutz: Aktiviert 28.07.2012 19:19:36 mbam-log-2012-07-28 (19-19-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|M:\|N:\|O:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 548488 Laufzeit: 44 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" |
Hallo Arne, vielen Dank für deine Antwort. Anbei nochmal alle (3) Logfiles von Malwarebytes. Ebenfalls angehängt habe ich den Logfile des Eset-Scans. Wenn ich das richtig sehe, gibt es in allen Logfiles keinen Hinweis auf die Trojaner, die Clam Win AV auswirft. Gruß, Werner |
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo Arne, irgendwie bin ich etwas irritiert. Ich weiß nicht so recht, was ich mit den code-tags jetzt tun soll. Die geposteten Logs sind reine Textfiles. Könntest du das, was du erwartest, vielleicht für Dummies wie mich etwas ausführlicher erläutern? Danke und Gruß, Werner |
Du sollst die Textdateien öffnen, jew. alles kopieren und hier in einen Beitrag direkt einfügen - aber mit CODE-Tags umschlossen - so schwierig kann das nun ja nicht sein |
Sorry, war mir nicht klar, dass du so was Simples meintest. Werde vielleicht sogar ich hinkriegen. Als Letztes habe ich noch eine Kopie des Clam Win AV Logs angehängt. Die darin enthaltenen suspekten Outlook-Express-Mails sind zwischenzeitlich bereits gelöscht worden. Bei den anderen als infiziert gemeldeten Dateien weiß ich halt nicht, wie ich diese korrigieren kann. Gruß, Werner Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: ESETSmartInstaller@High as downloader log:Ursprüngliche Virus-Report aus Clam Win AV Code: |
Code: SSD-SERVER [Administrator]Firmenrechner werden hier eigentlich nicht bereinigt - zudem dürfen viele Tools, die wir hier verwenden, NICHT auf gewerblich eingesetzten Systemen benutzt werden! Siehe => http://www.trojaner-board.de/108422-...-anfragen.html Zitat:
|
Hallo Arne, sorry, diese Einschränkung muß ich wohl übersehen haben. Wir sind aber in der Tat ein Drei-Mann-Unternehmen ohne eigene IT-Abteilung. Dabei bin ich hier unter den Blinden der Einäugige weil ich als persönlicher Freund des Unternehmers bis zu meiner Berentung bei einem IT-Unternehmen im Hardwarebereich tätig war und jetzt hier nebenbei für Gottes Lohn den IG-Guru spiele, der ich de Fakto nun mal nicht wirklich bin. Ich wäre euch daher sehr verbunden, wenn ihr uns trotzdem weiterhelfen könntet. Es geht mir in erster Linie darum, überhaupt zu beurteilen, ob und was für ein Problem wir überhaupt haben. Zur Erinnerung: ein Programm sagt wir hätten mehrere Trojaner im System. Mehrere andere behaupten, alles sei in bester Ordnung. Was soll man davon halten? Danke und Gruß, Werner |
Bei ClamAV sind Fehlalarme m.W. häufiger als bei anderen Scannern - hast du die von ClamAV angemckerten Dateien mal bei Virustotal auswerten lassen? Die Funde in diesem Mailornder ist dir bekannt was es damit auf sich hat? |
Hallo Arne, vielen Dank für den Hinweis auf Virustotal. Ich habe alle suspekten Dateien hochgeladen und checken lassen. Die beiden "services.exe"-Dateien wurden von keinem der Analyseprogramme als infiziert erkannt. Alle suspekten .dll-Dateien wurden nur von Clamwin als mit Trojan.Patchload-xx infiziert erkannt. Ich denke, dass wir diese Meldungen somit als Fehlalarm einstufen können und diesen Fall damit zu den Akten legen können. Was die suspekten eMails angeht, so stammten diese alle aus 2008 und sind damit de Fakto überholt. Ich habe deshalb alle möglicherweise suspekten Dateien rigoros gelöscht. Nochmals besten Dank für deine Hilfe. Gruß, Werner |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board