Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.01.2012, 06:14   #1
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Seit vorgestern (20.01.2012) habe ich lt. MS Essentials zwei Trojaner
- TrojanDropper:Win32/Sirefef.B
- PWS:Win32/Fareit

Meine Frau rief mich in der Firma an, als die Meldung von MSE kam. Ich habe dummerweise nicht den Befehl gegeben, die Bereinigung zu starten, sondern den PC runter zu fahren bzw. nachdem das nicht ging, hart auszuschalten.
Ein im Netz angeschlossenes NAS habe ich zwei Minuten später vom Netzkabel trennen lassen.

Als ich zuhause war, habe ich den PC gestartet. Alles sah sehr merkwürdig und übersichtlich (leer) aus. Partition E: war total leer. Etliche Programmeinträge waren weg und es verschwanden im Laufe der Zeit immer mehr.

MSE hat nochmal den Sirefef gemeldet. Ich habe ihn bereinigen lassen. Jetzt sind drei Einträge drin, die ich nur nach meiner Erinnerung hier wieder geben kann:
- Sirefef entfernt
- Sirefef zugelassen
- Fareit zugelassen

Die letzten beiden Einträge rühren daher, denke ich, dass ich nicht hab bereinigen lassen.

Nach dem was ich bisher gelesen habe, will PSW wohl auch Passwörter klauen. Deswegen habe ich meine wichtigsten Passwörter im Internet geändert.

Ich habe hier noch kein Log von dem empfohlenen Programmen gepostet, weil ich mich nicht traue, den PC ohne professionelle Hilfe zu starten. Deswegen ein dringender Appell an alle Leser: PLEASE HELP ME.

Systembeschreibung:
- Windows Home SP3
- MS Essentials
- Threatfire

Außerdem habe ich im Netz noch
- diesen Laptop mit Win7 64 Professional (darunter noch eine VirtualBox mit WinXP 32bit Home SP3)
- einen alten Laptop Windows Home 32bit SP3
- eine NAS Buffalo Station
- Internzugang via FritzBox 7170
Auf den beiden Laptops habe ich einen Online-Scan via Reimage laufen lassen und nichts gefunden

Frage 1:
Kann ich die Log-Programme, die hier empfohlen werden, installieren und laufen lassen? Soll ich dazu über eine CD booten? Soll ich vom Internet getrennt bleiben?

Frage 2:
Folgende Frage brennt mir unter den Nägeln, da ich kurzfristig an die Datensicherung auf dem NAS ran muss: ist es möglich, dass sich die Trojaner auf das NAS geschmuggelt haben. Wie kann ich es (von meinem hoffentlich nicht infizierten Laptop aus) scannen, und wenn infiziert, wie kann ich es wieder bereinigen.

Frage 3:
Interessieren würde mich auch die Frage, wie eine Infizierung überhaupt möglich war, da MSE und Threatfire auf dem aktuellen Stand waren und ich auch jede Woche einen Scan laufen lasse. Auch das MS Update lass ich dauernd laufen.
Dazu muss man wissen, dass ich einen Tag zuvor (Mittwoch, 18.01.2012) den sonst nie von mir benutzten IE8 starten musste, um mit meiner Firma via CSGP zu arbeiten.
Ich weiß, dass die Beantwortung dieser Frage nicht leicht ist. Ist auch nicht dringend. Aber ich möchte halt gerne aus Fehlern lernen.

Geändert von knuedo (21.01.2012 um 06:24 Uhr) Grund: Präzisiert und erweitert

Alt 21.01.2012, 16:24   #2
markusg
/// Malware-holic
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



hi,
threadfire hat probleme mit aktuellen rootkits.
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder
das nas sollte sauber sein.ähnlich wichtiges?
schaun wir mal was dein system so zu bieten hatt...
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 21.01.2012, 17:04   #3
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Danke, dass Du Dich kümmern möchtest. War schon verzweifelt.
Online-Banking mache ich ja. Auch einige Einkäufe. Hab alle wichtigen PINs geändert. Von daher dürfte es hoffentlich kein Problem geben.
Super, wenn das NAS sauber ist. Gelobt sei die Datensicherung.

Hab ne grundlegende Frage: Soll ich OTL mit diesem Laptop downloaden und per USB-Stick auf den infizierten PC übertragen oder soll ich den PC starten und sogar online gehen?
__________________

Alt 21.01.2012, 17:23   #4
markusg
/// Malware-holic
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



geh mit dem infizierten pc online.
ich will mir das mal angucken, aber formatierung wird wohl nötig sein.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.01.2012, 17:34   #5
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Ich glaube, dass ist keine gute Idee, online zu gehen. Es tauchen 20 Fenster auf, dass er etwqas nicht verändern konnte und dann eine System control panel, dass vier kritische Fehler beim Computer status meldet, 1 kritischer RAM-Fehler + 2 medium, 1 kritischer System drive fehler + 3 medium, sowie 2 kritische system registry-EWinträge + ein medium.
Dann kommt ein Fenster "Windows - kein Datenträger" mit einer Exception processor message. Ich mach den PC erstmal lieber aus.

Kann ich nicht offline und irgendwie im abgesicherten Modus etwas machen?


Alt 21.01.2012, 18:59   #6
markusg
/// Malware-holic
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
--> Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar

Alt 21.01.2012, 19:18   #7
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Auf dem infizierten PC kann ich weder firefox noch IE starten.

Hab combofix mit Laptop runtergeladen und dann den PC im abgesicherten Modus gestartet. Beim Überspielen via USB-Stick sagt er beim Einfügen sagt TeraCopy (ersetzt den Windows Kopier-Befehl) "Error Preparing File List".

Ein Tool zum deinstallieren von Sirefef habe ich bei ESET gefunden. Fehlt mir nur noch eins für Fareit.A

Hab mal combofix vom Stick aus gestartet. Da kommt n blauer Bildschirm: "Combofix wird vorbereitet, um ausgeführt zu werden.".

Hältst Du es für sinnvoll, so weiter zu machen, obwohl ich vom Stick aus gestartet habe oder ist es vergebene Liebesmüh?

Vielen Dank für Deine Unterstützung.
Ritchie

Alt 22.01.2012, 08:49   #8
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



ComboFix hatte sich leider aufgehängt. Er hat eine Infektion mit ZeroAccess gemeldet und wollte sie beheben.
Entschuldige bitte, wenn ich dann selbständig ESETSirefefRemover hab laufen lassen: er hat keine ZeroAccess-Infektion gefunden.
Der ESTEOnlineScanner hat dafür 2x Kryptik.ZDN, 1x Kryptik.ZFH und 2x mjultiple threats gefunden und auch bereinigt.
Seitdem kann ich wenigstens wieder im normalen Modus starten und so simple Dinge wie den TaskManager aufrufen.

Ich bin dann Deinem Tipp nochmal gefolgt und habe vom Desktop aus ComboFix gestartet. Er hat innerhalb der angegebenen 10min eine ZeroAccess-Infektion gemeldet und mich zwischenzeitlich darauf hingewiesen, dass er eine Rootkit-Infektion bereinigen will. Die Meldungen habe ich mit OK jeweils weggeklickkt.
Hätte ich das nicht machen sollen?
Der ComboFix läuft jetzt schon fast eine Stunde und ich habe nicht das Gefühl, dass er noch was macht. Bin ich jetzt zu ungeduldig oder hat er sich der PC wieder aufgehängt?

Gruß Ritchie

Alt 22.01.2012, 16:37   #9
markusg
/// Malware-holic
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



hi,
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.01.2012, 21:08   #10
knuedo
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



Schade! Und danke für Dein Angebot, mir weiter zu helfen. Hab grad zu wenig Zeit. Werde mich aber ggf. hier nochmal melden am Wochenende.

Vielen Dank für Deine bisherige Unterstützung.
Ritchie

Alt 25.01.2012, 13:56   #11
markusg
/// Malware-holic
 
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Standard

Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar



kein problem, meld dich einfach
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar
booten, buffalo, dateien, datensicherung, dropper, fareit, fehler, help, home, infizierte, internet, kein log, laptop, leer, log, löschen, meldung, merkwürdig, passwörter, please help, reimage, scan, sirefef, starten, system, total, update, win, win7, win7 64, windows



Ähnliche Themen: Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar


  1. Virus TR/ATRAPS.Gen2 und TR/SIREFEF.AB.77... wie kann ich sie löschen?
    Mülltonne - 25.08.2013 (1)
  2. TR/Sirefef.A.77 lässt sich nicht löschen
    Log-Analyse und Auswertung - 07.04.2013 (8)
  3. Der Virus TR/Sirefef.AB.78 lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (13)
  4. Hab von Docmorris eine email mit Viren installiert. Alle Dateien unbrauchbar zum teil umgeschrieben
    Plagegeister aller Art und deren Bekämpfung - 01.03.2013 (9)
  5. Unsicheres System brauche Anleitung für System neu aufsetzten, Dateien überprüfen, Virenprogramm
    Plagegeister aller Art und deren Bekämpfung - 16.02.2013 (3)
  6. MSE: Sirefef, Necurs, Fareit und CVE-2012-1723
    Log-Analyse und Auswertung - 13.09.2012 (14)
  7. Encrypter eingefangen Eigene Dateien unbrauchbar
    Log-Analyse und Auswertung - 04.06.2012 (1)
  8. Dateien unbrauchbar
    Log-Analyse und Auswertung - 31.05.2012 (1)
  9. Dateien "unbrauchbar", manche Dateinamen komplett verändert, Dateien nicht mehr zu öffnen...
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  10. Ukash Trojaner - alle privaten Dateien unbrauchbar (neueste Variante)
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (3)
  11. (2x) Nach OTL alle Dateien auf dem Laptop locked und unbrauchbar
    Mülltonne - 26.04.2012 (1)
  12. TR/Sirefef BV 2 Befall auf .dll Dateien im System
    Log-Analyse und Auswertung - 24.04.2012 (13)
  13. Sirefef.bv.2 in System32 - verschiedene Dateien
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (9)
  14. TR/Sirefef.BV.2 system32 verschiedene dateien mit virus
    Plagegeister aller Art und deren Bekämpfung - 04.03.2012 (6)
  15. TR/Sirefef.BP.1 in C:\Windows\system32 Dateien gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (7)
  16. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  17. Trojan:Win64/Sirefef.K, Sirefef.E und Sirefef.D kommen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (1)

Zum Thema Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar - Seit vorgestern (20.01.2012) habe ich lt. MS Essentials zwei Trojaner - TrojanDropper:Win32/Sirefef.B - PWS:Win32/Fareit Meine Frau rief mich in der Firma an, als die Meldung von MSE kam. Ich habe - Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar...
Archiv
Du betrachtest: Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.