TR/Sirefef.BV.2 // System Check // Desktop unsichtbar
 

Guten Abend zusammen,

es scheinen ja mehrere dieses Problem zu haben in letzter Zeit - beim Besuchen einer vermeintlich sicheren Seite (Fahrrad-Forum) hat Antivir vor Trojanern gewarnt, dann ging es ziemlich schnell - System Check wurde installiert, zahlreiche Popups, Neustart - danach war der Desktop leer, alle Laufwerke ebenfalls leer, alle Programme (Start-Menü) verschwunden bis auf besagtes System Check, der Task-Manager war gesperrt.
Über msconfig->Systemstart konnte ich das Programm pdOPCHAeNauu.exe deaktivieren, somit erschien zumindest "System Check" nicht bei jedem Neustart. Den Taskmanager, die Desktop-Symbole sowie den Inhalt der einzelnen Laufwerke habe ich über Regedit bzw. die Ordner/Ansicht-Optionen wiederhergestellt - Inhalt der Laufwere ist noch "unsichtbar" markiert.
Es bleiben weiterhin die laufenden Meldungen von Avira, die (noch) unsichtbar markierten Inhalte der Laufwerke, sowie das komplett leere Startmenü.
Folgende Viren/Trojaner/Exploits hat Avira bisher genannt:
- EXP/CVE-2010-4452.J
- TR/Crypt.XPACK.Gen8
- EXP/Pdfjsc.RF.130
- JS/Blacole.AR.3
- TR/Sirefef.BV.2 (kommt am häufigsten)

Bisher habe ich abgesehen von den o.g. Maßnahmen (Regedit, Msconfig, Ordneransicht) die folgenden Programme laufen lassen:

-Defogger
-DDS
-GMER
-Malwarebytes Anti-Malware - die hierbei gefundenen Schädlinge habe ich über den entsprechenden Knopf in die Quarantäne verschoben und danach neu gestartet.

Logs der genannten Programme folgen.
DDS ist direkt im Post, attach.txt, gmer.txt sowie Malwarebyte Logs siehe .zip im Anhang.

Ich bedanke mich bereits im Vorraus für jegliche Hilfe -
julius



DDS

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Bitte poste in deiner nächsten Antwort
Combofix.txt

Grüß dich Daniel,

danke dir für die rasche Antwort. Combofix habe ich laufen lassen, Antivir hatte ich zuvor deaktiviert.
In einem Pop-up hatte Combofix vor einem .Zeroaccess Rootkit gewarnt, dann folgten ein paar Neustarts.
Ich hatte leider vergessen Antivir aus dem Autostart zu nehmen, während des Scans von Combofix (nach Neustart) hat Antivir noch JS/Hiloti.C.1 gefunden --> Quarantäne.

Alle Dateien/Ordner sind zumindest nicht mehr unsichtbar, das Startmenü ist auch wieder prall gefüllt.
In der Schnellstartleiste befindet sich immer noch ein Link zu System Check (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HxLaqQcvvQXQQ5.exe), die .exe ist dort aber nicht zu finden.

Anbei der Logfile von Combofix.

Danke dir für die Hilfe, schönen Tag noch und bis später - julius

--

Hy


Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\mspmsnsv.dll

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.



Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
VT Link
OTL.txt
Extras.txt
TDSSKiller Log

Moin Daniel,

anbei die folgenden Inhalte:

- VT-Link
- OTL.txt
- Extras.txt
- Tdsskiller.....txt

VT
https://www.virustotal.com/file/9eb9e7befff061e1bababb13c6c9194e835e53f2d550f5c666f5a4b2fac2b6d5/analysis/1330106847/

OTL
EXTRAS
TDSSKiller

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Bitte poste in deiner nächsten Antwort
Combofix.txt
Berichte wie der Rechner läuft

Grüß dich Daniel,

anbei der Combofix Log:

Der Rechner läuft soweit eigentlich wieder recht flüssig, bis auf:

- Startmenü: in den Programmen sind zwar alle Ordner vorhanden, diese sind jedoch alle leer - als ob alle Verknüpfungen gelöscht wurden. Die Schnellstartleiste ist ebenfalls leer (mittlerweile wieder von mir händisch gefüllt), die Symbolleiste "Eingabegebietsschemaleiste" (Tastaturlayout DE-EN-) ist ebenfalls leer bzw. lässt sich gar nicht mehr widerherstellen.

- Antivir hat heute abend noch TR/Trash.Gen im Ordner C:\System Vol Information\...\system restore\A0120682.exe gefunden
Den Ordner Sys Vol Information finde ich jedoch gar nicht, auch nicht wenn ich die Ordneransicht auf "Alle Dateien und Ordner anzeigen" umstelle. Ich komme über die Adresszeile in den Ordner (händische Eingabe), Ordner ist aber komplett leer: Rechtsklick -> Eigenschaften -> Größe 2,86 GB


Wie weiter vorgehen?
Schönen Abend noch,

Julius

Start --> Ausführen und kopiere folgendes in die Run Box und clicke OK
C:\Qoobox\ComboFix-quarantined-files.txt


Es wird sich ein Textdokument öffnen, poste diese bitte hier

Hallo Daniel,

anbei der Log:


Verrückt, das scheinen tatsächlich die ganzen Start/Programme/..-Verknüpfungen zu sein..

Bis dann,
Julius

Hy,
Sorry für die Verzögerung. Mich hat ne Grippe erwischt und mir gehts dementsprechend.


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\DeQuarantine.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Downloade bitte Grinler's unhide.exe auf deinem Desktop
Starte das Tool mit Doppelklick.

Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen




Bitte poste in deiner nächsten Antwort
Berichte ob die Ordner immer noch leer sind.
DeQuarantine.txt

Moin,
hoff es geht dir wieder besser - anbei der Log vom Combofix - allerdings wurde C:\ComboFix.txt, und nicht C:\DeQuarantine.txt erstellt:


Antivir hat heute Abend erneut den XPack.GEN8 gefunden: --> Quarantäne.

Habe unhide.exe laufen lassen, bei deaktiviertem Antivir, anbei der Logfile - die Ordner/Dateien sind nämlich immer noch nicht wieder aufgetaucht im Startmenü..


Gruß und einen schönen Abend,
julius

Versuchen wir mal folgendes.


Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: sm.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die sm.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Berichte, ob das Start Menu immer noch leer ist.

Hallo,

scheint immer noch nicht so richtig zu funktionieren.
Anbei mal ein screenshot des Startmenüs - Ordner sind soweit ich das sehe alle da, nur eben größtenteils leer (siehe z.B. ../Zubehör/Systemprogramme)

Lass mich mal was anderes prüfen.


Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: look.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die look.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Ahoi,
nun hats mich erwischt, lag mit erkältung im Bett.
Bin so vorgegangen wie beschrieben, habe leider keine Veränderung zum vorherigen Stand feststellen können.. Startmenü enthält noch immer nur die leeren Ordner.