[Windows 7-64 bit] Avast/ Microsoft Security Essential - Funde zum Systemstart benötigt - Paules-PC-Forum.de

Senskei · 10.01.2012, 22:54

Hallo, ich werde hier noch zum Dauerpatienten :( habe mir kürzlich avast heruntergeladen, gescannt und hatte einige Treffer - diese in Quarantäne verschoben. Beiom nächsten Hochfahren öffnet sich die Starthilfe und ich muss eine Systemwiederherstellung mahen -> Infizierte Dateien wieder da, Avast deinstalliert. Jetzt habe ich MSE heruntergeladen und gleiches Problem, die Funde lauten (Bei MSE, kann leider keinen Logfile finden):

TrojanProxy:Win32/Sefbov.E
bei Elemente steht das:
containerfile:C:\Windows\Temp\kyhvdw\setup.exe
file:C:\Windows\Temp\kyhvdw\setup.exe->(UPX)
process:pid:2964
service:AMService

Trojan:Win64/Sirefef.B
bei Elemente steht das:
file:C:\Windows\assembly\temp\U\00000002.$
file:C:\Windows\assembly\temp\U\00000002.@

Trojan:Win32/Alureon.TK
bei Elemente steht das:
file:C:\Windows\assembly\temp\U\80000032.$
file:C:\Windows\assembly\temp\U\80000032.@

Trojan:Win64/Sirefef.B
bei Elemente steht das:
file:C:\Windows\System32\consrv.dll

Trojan:Win32/Alureon.TK
bei Elemente steht das:
file:C:\Windows\assembly\temp\U\80000032.@

Die Funde haben sich teilweise wiederholt, einzige Abwandlung war Trojan:Win64/Sirefef.J (statt .B)

Weiterhin hat MSE bei Prüfung meiner Windows Firewall gesagt sie könne nicht aktiviert werden, ich solle es manuell versuchen - ging auch nicht.
Habe einen Win 7 64bit acer laptop und das Gefühl da ist jmd an ihm zugange...

edit: achso, wenn ich die Win Firewall einschalten möchte kommt die Fehlermeldung 0x80070424 (was eigentlich ein xp fehler ist, wenn ich das richtig verstanden habe ) - ein anderer Fehler, der beagt dass ich nicht auf die erweiterten Einstellungen der Firewall zugreifen kann heißt 0x6D9...

**WhiteKnight** · 11.01.2012, 10:26

Hallo

Sieht nicht gut aus. Wohl mind. ein Rootkit eingefangen.

Phase I und II abarbeiten
Anleitung zum Löschen von Viren / Thread erstellen

Senskei · 11.01.2012, 21:39

Phase 1
http://www.file-upload.net/download-.../logi.txt.html
File-Upload.net - mbam-log-2012-01-11--20-38-11-.txt

Senskei · 11.01.2012, 21:44

Bei Windows Scan steht nur für xp, trotzdem anwenden?

**WhiteKnight** · 12.01.2012, 07:09

HALLO

Gehe bei Malwarebytes auf Aktualisierung und führe diese durch. Neuer Scan diesmal auch die Funde löschen lassen!

Zitat:

C:\Windows\assembly\temp\kwrd.dll (PUP.BitMiner) -> Keine Aktion durchgeführt.

Vistascan müsste laufen, ansonsten mach mit CCleaner u. Combofix weiter.

Senskei · 12.01.2012, 18:06

Hm hatte aktualisiert... und der Log ist bevor ich den Fund gelöscht habe

.. so hier Phase 2 also:
Kann den Scanlog nicht hochladen, irgendwas mit File upload stimmt wohl nicht.. habe aber jetzt cccleaner ausgeführt und combofix folgt gleich...

Senskei · 12.01.2012, 18:31

Ok.. Combofix ist auch durch, hat die Funde gelöscht und der Start hat trotzdem funktioniert :O
hier die logs:
File-Upload.net - Vista.txt-.txt
File-Upload.net - ComboFix1.txt

**WhiteKnight** · 12.01.2012, 19:41

Hallo

Bitte ausführen
Rootkit.TDSS entfernen: Kaspersky TDSS Killer

Senskei · 12.01.2012, 20:03

Hier nochmal den log von Malwarebytes: File-Upload.net - mbam-log-2012-01-12--18-31-58-.txt
und tdss killer hat nichts gefunden

Die Firewall kann ich jedoch noch immer nicht anschalten oder konfigurieren, WindowsDefender genauso... Habe auch gerade wieder Microsoft Security Essentials installiert und im Sicherheitscenter steht einmal es sei aktiv und direkt darunter steht "sowohl Windows Defender als auch MSE haben gemeldet dass sie ausgeschaltewt sind"...

Auch der MSE Scan hat keine Funde.
Microsoft Defender kann ich nicht aktivieren weil es nicht mehr installiert ist, warum auch immer vielleicht war das ein Versehen von mir, kann es aber auch nicht neu herunterladen, da eine Meldung kommt es sei nicht nötig weil es ja bei Vista/ 7 direkt dabei ist -.-
MSE hatte gerade wieder einen Fund, nämlich dieses Alureon [...] was ich oben schon mal gepostet habe . . . .

**WhiteKnight** · 13.01.2012, 15:05

Hallo

Einmal das hier tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Scandauer (mindestens) 40 Minuten - je nach Rechner.

Senskei · 15.01.2012, 10:38

File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - Modules.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt
File-Upload.net - Warnings.txt

**AHT** · 15.01.2012, 14:56

Acer Notebook?
Hast du Recovery CDs für dein Gerät oder eine Installations CD für dein System um die Kiste in die Werkseinstellungen zurückzusetzen (kein full Backup)?
Wenn nicht, mache das hier beschriebene: ftp://ftp.support.acer-euro.com/notebook/empowering_technology/NB%20ET2%20user's%20guide/Acer%20eRecovery%20Management%20German.pdf

Kaspersky TDSSKiller

Download : TDSSKiller.zip

Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Den TDSS-Killer bitte genau so einstellen, wie oben beschrieben!!!

Senskei · 16.01.2012, 08:57

Kann den Link nicht öffnen

irgenndein Problem mit Adobe Reader..

**AHT** · 16.01.2012, 11:29

Aus der PDF Datei:

Zitat:

Klicken Sie auf Start > All Programs (Alle Programme) > Acer Empowering Technology > Acer eRecovery Management.
Klicken Sie auf das Symbol von Acer eRecovery Management in der Empowering Technology-Symbolleiste auf dem Desktop.
Die Hauptseite von Acer eRecovery Management erscheint.
Wird das Programm zum ersten Mal ausgeführt, fordert es Sie auf, das Abbild der werkseitigen Standardeinstellungen, das in einer versteckten Partition auf der Festplatte gespeichert ist, auf eine optische Disk zu kopieren.
Legen Sie die optische Disk in das optische Laufwerk und klicken Sie auf OK, um den Brennvorgang zu starten. Diese Funktion ist deaktiviert, wenn das Abbild der werkseitigen Standardeinstellungen kopiert wird oder wenn Sie die Option Don't remind me again (Nicht mehr erinnern) anwählen.

10.01.2012, 22:54	#1 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Avast/ Microsoft Security Essential - Funde zum Systemstart benötigt Hallo, ich werde hier noch zum Dauerpatienten :( habe mir kürzlich avast heruntergeladen, gescannt und hatte einige Treffer - diese in Quarantäne verschoben. Beiom nächsten Hochfahren öffnet sich die Starthilfe und ich muss eine Systemwiederherstellung mahen -> Infizierte Dateien wieder da, Avast deinstalliert. Jetzt habe ich MSE heruntergeladen und gleiches Problem, die Funde lauten (Bei MSE, kann leider keinen Logfile finden): TrojanProxy:Win32/Sefbov.E bei Elemente steht das: containerfile:C:\Windows\Temp\kyhvdw\setup.exe file:C:\Windows\Temp\kyhvdw\setup.exe->(UPX) process:pid:2964 service:AMService Trojan:Win64/Sirefef.B bei Elemente steht das: file:C:\Windows\assembly\temp\U\00000002.$ file:C:\Windows\assembly\temp\U\00000002.@ Trojan:Win32/Alureon.TK bei Elemente steht das: file:C:\Windows\assembly\temp\U\80000032.$ file:C:\Windows\assembly\temp\U\80000032.@ Trojan:Win64/Sirefef.B bei Elemente steht das: file:C:\Windows\System32\consrv.dll Trojan:Win32/Alureon.TK bei Elemente steht das: file:C:\Windows\assembly\temp\U\80000032.@ Die Funde haben sich teilweise wiederholt, einzige Abwandlung war Trojan:Win64/Sirefef.J (statt .B) Weiterhin hat MSE bei Prüfung meiner Windows Firewall gesagt sie könne nicht aktiviert werden, ich solle es manuell versuchen - ging auch nicht. Habe einen Win 7 64bit acer laptop und das Gefühl da ist jmd an ihm zugange... edit: achso, wenn ich die Win Firewall einschalten möchte kommt die Fehlermeldung 0x80070424 (was eigentlich ein xp fehler ist, wenn ich das richtig verstanden habe ) - ein anderer Fehler, der beagt dass ich nicht auf die erweiterten Einstellungen der Firewall zugreifen kann heißt 0x6D9... Geändert von Senskei (10.01.2012 um 23:03 Uhr)

11.01.2012, 10:26	#2 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Sieht nicht gut aus. Wohl mind. ein Rootkit eingefangen. Phase I und II abarbeiten Anleitung zum Löschen von Viren / Thread erstellen __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

12.01.2012, 19:41	#8 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Bitte ausführen Rootkit.TDSS entfernen: Kaspersky TDSS Killer __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

12.01.2012, 20:03	#9 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Hier nochmal den log von Malwarebytes: File-Upload.net - mbam-log-2012-01-12--18-31-58-.txt und tdss killer hat nichts gefunden Die Firewall kann ich jedoch noch immer nicht anschalten oder konfigurieren, WindowsDefender genauso... Habe auch gerade wieder Microsoft Security Essentials installiert und im Sicherheitscenter steht einmal es sei aktiv und direkt darunter steht "sowohl Windows Defender als auch MSE haben gemeldet dass sie ausgeschaltewt sind"... Auch der MSE Scan hat keine Funde. Microsoft Defender kann ich nicht aktivieren weil es nicht mehr installiert ist, warum auch immer vielleicht war das ein Versehen von mir, kann es aber auch nicht neu herunterladen, da eine Meldung kommt es sei nicht nötig weil es ja bei Vista/ 7 direkt dabei ist -.- MSE hatte gerade wieder einen Fund, nämlich dieses Alureon [...] was ich oben schon mal gepostet habe . . . . Geändert von Senskei (13.01.2012 um 00:12 Uhr)

13.01.2012, 15:05	#10 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Einmal das hier tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Scandauer (mindestens) 40 Minuten - je nach Rechner. __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

11.01.2012, 21:39	#3 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Phase 1 http://www.file-upload.net/download-.../logi.txt.html File-Upload.net - mbam-log-2012-01-11--20-38-11-.txt

11.01.2012, 21:44	#4 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Bei Windows Scan steht nur für xp, trotzdem anwenden?

12.01.2012, 18:06	#6 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Hm hatte aktualisiert... und der Log ist bevor ich den Fund gelöscht habe .. so hier Phase 2 also: Kann den Scanlog nicht hochladen, irgendwas mit File upload stimmt wohl nicht.. habe aber jetzt cccleaner ausgeführt und combofix folgt gleich...

12.01.2012, 18:31	#7 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Ok.. Combofix ist auch durch, hat die Funde gelöscht und der Start hat trotzdem funktioniert :O hier die logs: File-Upload.net - Vista.txt-.txt File-Upload.net - ComboFix1.txt

15.01.2012, 10:38	#11 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt

15.01.2012, 14:56	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Acer Notebook? Hast du Recovery CDs für dein Gerät oder eine Installations CD für dein System um die Kiste in die Werkseinstellungen zurückzusetzen (kein full Backup)? Wenn nicht, mache das hier beschriebene: ftp://ftp.support.acer-euro.com/notebook/empowering_technology/NB%20ET2%20user's%20guide/Acer%20eRecovery%20Management%20German.pdf Kaspersky TDSSKiller Download : *TDSSKiller.zip* Lade die *TDSSKiller.zip* herunter und entpacken sie auf dem Desktop. Starte die Datei TDSSKiller.exe Klicke auf Change parameters Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system Klick auf OK und anschließend auf Start scan Warte bis zum Ende der Untersuchung . Sollten Threats gefunden werden so wähle Skip aus. Bestätige unten Links mit Continue Schließe das Fenster vom TDSSKiller Navigiere nun zu C: Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Den TDSS-Killer bitte genau so einstellen, wie oben beschrieben!!! __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (15.01.2012 um 15:07 Uhr)

16.01.2012, 08:57	#13 (Direktlink)
Senskei War schon mal da Registriert seit: 14.12.2010 Beiträge: 44	Kann den Link nicht öffnen irgenndein Problem mit Adobe Reader..

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MS Security Essentials oder AVAST?	Sylvia2004	PC-Sicherheit, Spam und Phishing	6	07.10.2009 16:19
Avast - Ausführung eines Programms bei Systemstart erlauben	Unregistriert	Software - Allgemein	5	21.12.2008 22:06
Microsoft Security Bulletin MS08-040 - Hoch: Sicherheitsanfälligkeiten in Microsoft	Info	Microsoft Updates & Patches	0	04.10.2008 16:39
Sämtliche Microsoft Dienste bei Systemstart gestoppt	Hohmann	Viren-Forum	9	24.08.2008 20:59