Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.06.2012, 18:12   #1
benutzer1
 
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw - Standard

Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw



Habe folgendes Problem, ich habe gegoogelt und auf einmal hat AntiVir geschrien und gelöscht/Quarantäne geschoben, dieses Spiel ist so alle 10 Minuten gekommen und dabei ist die Internetverbindung in die Knie gegangen. Habe im Internet gegoogelt und gelesen das Bitdefender eventuell das Problem lösen kann. Ok, installiert und schreibt mir brav das er den Trojaner Sirefe.FT gelöscht hat. Aber diese Meldung komt immer wieder und auch die Internetverbindung wird langsamer.
Ok, gegoogelt und euer Bord entdeckt und hoffe ihr könnt mir helfen. Habe jetzt einmal Malewarebytes heruntergeladen und einen Flashscann machen lassen, es wurde der Trojan.Zaccess gefunden und gelöscht.

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:12:07
mbam-log-2012-06-03 (18-12-07).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 148980
Laufzeit: 2 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Sigi\AppData\Local\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Danach einen normalen scan gemacht und dort wurde dann
Trojan.Dropper.PE4 und Rootkit.0Access gefunden

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:15:58
mbam-log-2012-06-03 (18-15-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191681
Laufzeit: 9 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
gelöscht und den Rechner nach Anweisung neu gestartet
das start-protection log hat dann folgendes gefunden
Trojan.Small

Code:
ATTFilter
 2012/06/03 18:09:33 +0200	LAPI	Sigi	MESSAGE	Executing scheduled update:  Daily
2012/06/03 18:09:33 +0200	LAPI	Sigi	MESSAGE	Starting protection
2012/06/03 18:09:38 +0200	LAPI	Sigi	MESSAGE	Protection started successfully
2012/06/03 18:09:40 +0200	LAPI	Sigi	MESSAGE	Database already up-to-date
2012/06/03 18:09:41 +0200	LAPI	Sigi	MESSAGE	Starting IP protection
2012/06/03 18:09:41 +0200	LAPI	Sigi	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:14:02 +0200	LAPI	Sigi	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	QUARANTINE
2012/06/03 18:19:03 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:24:04 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:29:05 +0200	LAPI	(null)	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	DENY
2012/06/03 18:29:07 +0200	LAPI	(null)	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	DENY
2012/06/03 18:33:52 +0200	LAPI	Sigi	MESSAGE	Starting protection
2012/06/03 18:34:00 +0200	LAPI	Sigi	MESSAGE	Protection started successfully
2012/06/03 18:34:03 +0200	LAPI	Sigi	MESSAGE	Starting IP protection
2012/06/03 18:34:03 +0200	LAPI	Sigi	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:36:21 +0200	LAPI	Sigi	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	QUARANTINE
2012/06/03 18:41:42 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:46:45 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
         
Bitdefender schreibt in sein Protokoll das er den Trojaner Sirfef.FT in
C:\windows\installer....(siehe Bild) gefunden hat.

Hoffe ihr könnt mir weiterhelfen !
Miniaturansicht angehängter Grafiken
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw-bitdefender.jpg  

Alt 03.06.2012, 23:19   #2
Psychotic
/// Malwareteam
 
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw - Standard

Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  1. Bitte arbeite alle Schritte der Reihe nach ab.
  2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!

    ...und ganz wichtig:

  7. Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).


Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread



Schritt 3: Gmer



Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________

__________________

Alt 06.06.2012, 07:15   #3
Psychotic
/// Malwareteam
 
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw - Standard

Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw



Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
__________________

Alt 11.06.2012, 06:29   #4
Psychotic
/// Malwareteam
 
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw - Standard

Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Antwort

Themen zu Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw
800000cb.@, administrator, anti-malware, antivir, appdata, autostart, bild, bitdefender, code, dateien, dateisystem, defender, explorer, failed, folge, heuristiks/extra, heuristiks/shuriken, internetverbindung, malwarebytes, meldung, neu, problem, rechner, speicher, system32, trojan.small, trojan.zaccess, trojaner, update, verbindung, vista



Ähnliche Themen: Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw


  1. Drooper.Generic7.clbu auf alter CD gefunden. Ist mein System noch sauber?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2013 (11)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  4. Sirefe-A[Trj]
    Log-Analyse und Auswertung - 18.09.2012 (3)
  5. Win 7 64 bit trojaner befall Trojan.Apppatch olinb.exe rootkit.0Acces 800000cb.@
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (10)
  6. Trojaner TR/Small.FI , TR/ATRAPAS.Gen2 und TR/Sirefe.AG.35 im verzeichniss C:\Windows\Installer\{
    Plagegeister aller Art und deren Bekämpfung - 27.06.2012 (21)
  7. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  8. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  9. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. viele trojaner (drooper, alureon) und umleitung über ukrainische seite, was tun?
    Log-Analyse und Auswertung - 12.03.2010 (2)
  12. TR/Drooper.gen Problem
    Log-Analyse und Auswertung - 12.03.2010 (8)
  13. TR/Drooper.Gen Mit anti vir gefunden Hilfe !!
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2009 (9)
  14. Tjojan-Drooper.SEH, Adware.softomate und Trojan.CDur
    Plagegeister aller Art und deren Bekämpfung - 04.03.2009 (6)
  15. tr/drooper.gen
    Log-Analyse und Auswertung - 28.02.2009 (6)
  16. Drooper DR/Softomate.AA.a mit AntiVir festgestellt
    Log-Analyse und Auswertung - 18.12.2007 (11)
  17. drooper gefunden ? hijackthis-log inside / help
    Log-Analyse und Auswertung - 26.10.2005 (1)

Zum Thema Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw - Habe folgendes Problem, ich habe gegoogelt und auf einmal hat AntiVir geschrien und gelöscht/Quarantäne geschoben, dieses Spiel ist so alle 10 Minuten gekommen und dabei ist die Internetverbindung in die - Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw...
Archiv
Du betrachtest: Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.