Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kritischerfehler in MS security Essential beim entferen von Win64/Sirefef.Y (https://www.trojaner-board.de/121262-kritischerfehler-ms-security-essential-beim-entferen-win64-sirefef-y.html)

minirich 04.08.2012 18:16
Kritischerfehler in MS security Essential beim entferen von Win64/Sirefef.Y
 
Hallo!

MSSE hat beim scannen von meinem System einen kritischen Fehler festgestellt und startet das System immer neu.

Folgenden Meldung hab ich dann in der Ereigniss anzeige gefunden

Code:
Beim Anwenden von Aktionen auf Schadsoftware und potenziell unerwünschte Software wurde von Microsoft-Antischadsoftware ein schwerwiegender Fehler festgestellt.
 Weitere Informationen finden Sie hier:
hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/Sirefef.Y&threatid=2147655285
        Name: Trojan:Win64/Sirefef.Y
        ID: 2147655285
        Schweregrad: Schwerwiegend
        Kategorie: Trojaner
        Pfad: containerfile:_C:\Windows\System32\services.exe;file:_C:\Windows\System32\services.exe->731;process:_pid:11784
        Ursprung der Erkennung: Lokaler Computer
        Typ der Erkennung: Konkret
        Quelle der Erkennung: System
        Benutzer: NT-AUTORITÄT\SYSTEM
        Prozessname: C:\Windows\system32\services.exe
        Aktion: Quarantäne
        Aktionsstatus:  No additional actions required
        Fehlercode: 0x800704ec
        Fehlerbeschreibung: Dieses Programm wurde durch eine Gruppenrichtlinie geblockt. Wenden Sie sich an den Systemadministrator, um weitere Informationen zu erhalten.
        Signaturversion: AV: 1.131.1245.0, AS: 1.131.1245.0, NIS: 11.159.0.0
        Modulversion: AM: 1.1.8601.0, NIS: 2.0.8001.0
Ein paar Warnings zum selben Trojaner hab ich dann auch noch gefunden.
Siehe Anhang.


Ich fahre meinen Computer zur Zeit in "Abgesicherter Modus".
Ich habe den Defrogger ausgeführt.
Dann habe ich den OTL scan durchgeführt,
habe eine Fehlermedung bekommen siehe Anhang und 21 mal im Dialog "weiter" geklickt bis es er nicht mehr wieder erschienen ist und weiter gescannt hat.
Es kam dann nur ein otl.txt und kein Extra.txt raus.
(Ich habe otl so wie in diesem http://www.trojaner-board.de/85104-o...-oldtimer.html thread angegeben konfiguriert.

Grüße
Michael

cosinus 06.08.2012 19:25
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

minirich 08.08.2012 15:53
Danke für die Beschreibung ich habe schon angefangen sie umzusetzten.
Allerdings hat es jetzt auch schon im Abgesicherten Modus mit den Kritischen Fehlern begonnen. Das heißt ich habe ca. 82 Sekunden Zeit etwas zu tun bevor die Maschine neu startet.
MBAM update konnte ich erfolgreich machen.
Aber ein vollständiger Scan geht sich nie aus.


Grüße Michael

cosinus 09.08.2012 12:35
Wenn das so ist, ist das System offensichtlich total im Eimer
Man kann nicht immer mit Biegen und Brechen jedes System bereinigen
In vielen Fällen ist eine Neuinstallation der sinnvollere Weg

Willst du das machen? Hast du noch Fragen zur Datensicherung bevor du neu installierst?

minirich 09.08.2012 12:52
Soviel ich weiß gibt es eine Systemwiederherstellungspartition vom Hersteller (vertreiber).
Aber ich habe sonst auch fragen.
Soll ich alle Platten leer machen?
Wenn ich nur windows neu installiere würden dann die User verzeichnisse auch verschwinden? (Sie liegen nicht standard mäßig auf der c platte sondern auf einer anderen).

Zum Backupen würde ich mir einen Bootbaren USB stick mit warscheinlich Linux besorgen. Oder hast du einen anderen Vorschlag?

Grüße Michael

cosinus 10.08.2012 12:15
Zitat:
Wenn ich nur windows neu installiere würden dann die User verzeichnisse auch verschwinden? (Sie liegen nicht standard mäßig auf der c platte sondern auf einer anderen).
Und was willst du mit den Benutzerprofilen noch anfangen?! Die Profile selbst könnten auch kompromittiert sein
Sichere einfach nur über die Live-CD oder einem Live-Stick selektiv alle wichtigen Daten-Dateien, KEINE ausführbaren Datein (Programme/Spiele/Setups)

Anschließend den Artikel zur Neuinstallation lesen und umsetzen

minirich 12.08.2012 18:23
Ok, werde ich machen,
DANKE!!!

Michael

minirich 18.08.2012 15:19
Hi, hat ein paar Tag und Anläufe gedauert, aber mein System ist nicht neu augesetzt und aber sauber.

Ich habe mit einer UBUNTU Live Disk auf einem USB ClamAV ausgeführt und der hat nach 2 min. Die services.exe in Windows/System32/ gefunden.
Mit hielfe dieses Artikels Do It Scared! » Blog Archive » Recover From The “win64/Sirefef.W” Virus Infection konnte ich dann alles wieder herstellen.

Vielleicht kann euch dieser Artikel auch helfen bei ähnlichen fällen.

Liebe Grüße und vielen Dank
Michael

cosinus 19.08.2012 18:02
Und jetzt läuft Windowes erstmal wieder einigermaßen? :wtf:
Eine vom Schädling gepatchte services.exe ist bei dieser Infektion typisch, aber nicht diese Probleme

Kannst du jetzt ESET und MBAM ausführen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131