Appcrash und mögliche Malware


0

Zunächst führe ich MS Intune Endpoint Protection aus. Es ist völlig auf dem neuesten Stand.

Am 25.10. Um 23:53 Uhr bin ich auf eine Seite gestoßen, die Intune ausflippen ließ:

Microsoft Antimalware has detected malware or other potentially unwanted software.
 For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/Sirefef.B&threatid=2147646729
    Name: Trojan:Win64/Sirefef.B
    ID: 2147646729
    Severity: Severe
    Category: Trojan
    Path: file:_C:\Windows\System32\consrv.dll
    Detection Origin: Local machine
    Detection Type: Concrete
    Detection Source: Real-Time Protection
    User: NT AUTHORITY\SYSTEM
    Process Name: C:\Windows\explorer.exe
    Signature Version: AV: 1.115.526.0, AS: 1.115.526.0, NIS: 10.7.0.0
    Engine Version: AM: 1.1.7801.0, NIS: 2.0.7707.0

Ich habe mich natürlich dafür entschieden, die Datei einfach zu löschen.

Seitdem hat mein Computer nach dem Zufallsprinzip eine Fehlermeldung ausgegeben, dass "Host Process for Windows Services" nicht mehr funktioniert. Grundsätzlich gibt es zwei verschiedene Informationen:

Description
Faulting Application Path:  C:\Windows\System32\svchost.exe

Problem signature
Problem Event Name: BEX64
Application Name:   svchost.exe
Application Version:    6.1.7600.16385
Application Timestamp:  4a5bc3c1
Fault Module Name:  StackHash_52d4
Fault Module Version:   0.0.0.0
Fault Module Timestamp: 00000000
Exception Offset:   000062bdabe00000
Exception Code: c0000005
Exception Data: 0000000000000008
OS Version: 6.1.7601.2.1.0.256.27
Locale ID:  1033
Additional Information 1:   52d4
Additional Information 2:   52d47b8b925663f9d6437d7892cdf21b
Additional Information 3:   ed24
Additional Information 4:   ed24528f3b69e8539b5c5c2158896d3e

und

Description
Faulting Application Path:  C:\Windows\System32\svchost.exe

Problem signature
Problem Event Name: APPCRASH
Application Name:   svchost.exe
Application Version:    6.1.7600.16385
Application Timestamp:  4a5bc3c1
Fault Module Name:  mshtml.dll
Fault Module Version:   9.0.8112.16437
Fault Module Timestamp: 4e5f1784
Exception Code: c0000005
Exception Offset:   00000000002ed3c2
OS Version: 6.1.7601.2.1.0.256.27
Locale ID:  1033
Additional Information 1:   3e9e
Additional Information 2:   3e9e8b83f6a5f2a25451516023078a83
Additional Information 3:   432a
Additional Information 4:   432a0284c502cce3bbb92a3bd555fe65

Intune behauptet, die Maschine sei sauber. Ich habe auch einige der Online-Scanner wie trendmicro ausprobiert, von denen alle behaupteten, das System sei sauber.

Schließlich habe ich das "sfc / scannow" ausprobiert und es stand fest, dass alles gut war.

Nachdem ich gestern Abend gegangen war, ließ ich mein Gerät an und es gab ungefähr 50 dieser Nachrichten.

Ideen, wie es weitergehen soll?


Haben Sie eine Systemwiederherstellung bis zu einem Punkt versucht, bevor das Problem begann? Haben Sie ein Offline-Dienstprogramm für Malware wie MalwareBytes ausprobiert? Wie wäre es mit etwas, das nach Rootkits sucht (außerhalb Ihrer Installationskopie von Windows? Sirefef.B wird normalerweise von Sirefef.A (und nicht direkt von sich aus) installiert. Sirefef.A und .B haben beide Rootkit-Varianten, die sich verbergen von Ihrem Betriebssystem und (wiederum) Ihre AV auf diesem Betriebssystem installiert Sie sind auch bekannt , sich in svchost.exe zu injizieren See.. microsoft.com/security/portal/Threat/Encyclopedia/...
Ƭᴇcʜιᴇ007


@ techie007: Nein, ich habe keine Systemwiederherstellung versucht. Ich werde in MalwareBytes nachsehen, ob das helfen kann.
NotMe

Antworten:


0

Schon eine Weile darüber nachgedacht: Es war ein Virus; und ich endete mit einer langen Liste von Methoden, um es zu beheben. MalwareBytes hat geholfen.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.