kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)
 

Hallo miteinander.

Gestern Abend hatte ich das Problem, dass mein Internet vom einen auf den anderen Moment den Geist aufgegeben hat. Da wir einen älteren Router haben und dies öfter vorkommt (Überhitzung), habe ich mir dabei nichts gedacht. Allerdings war es heute morgen noch genauso der Fall, was schon komisch war. Habe dann an meinen Laptop statt dem WLAN ein Kabel angeschlossen und sieh da, es funktionierte damit, WLAN alerdings definitiv nicht.
Hatte mich dann vorest mit der Lösung abgefunden, bis ich diverse Meldungen von MSE bekam, dass irgendwelche Schädlinge auf dem PC sind. Da ich aber zu dem Zeitpunkt des Internet-Ausfalls ausschließlich auf bekannten Seiten gesurft hatte, konnte ich mir das nicht erklären. Nach mehreren Reinigungsvorgängen und Neustarts habe ich auch andere Programme durchlaufen lassen, immer wurde die Bedrohung entfernt, war aber nach dem Neustart wieder da, in den meisten Fällen eine "sirefef.??"-Datei (Fragezeichen = dirverse Buchstaben). Selbst das Internet war danach komplett weg, egal ob mit Kabel oder über WLAN. Hab dann hier schon etwas rumgeschaut und bin auf diesen Thread gestoßen,

http://www.trojaner-board.de/111083-...tml#post787670

da ich eigentlich ebenso alle Programme schon durchlaufen lassen habe, die der Threadersteller auch hatte. Auch ohne Erfolg. Hab dann noch die dort vorgeschlagenen Programme OTL, TDSS-Killer und MBR-Check laufen lassen und die Logfiles im Anhang angeheftet. Momentan sind die sirefef-Dinger weg, aber das Internet ebenso, auch wenn er mir eine scheinbar funktionierende Verbindung anzeigt.

Da jenes Problem in dem Thread auch gelöst wurde, habe ich vollstes Vertrauen in euch, dass ihr einem PC-Laien wie mir auch bei der Sache helfen könnt.


Vielen Dank im Vorraus,

Alex

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


NICHT gut - du hast das ZeroAccess-Rootkit auf dem Rechner, das ist immer ziemlich nervig!


FRST


Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 1: Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Achtung: Versetze die durch "*" veränderten Werte wieder in ihren Ursprungszustand zurück!

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Schritt 2: Defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 3: Gmer

Starte Windows normal!


Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Erstmal danke, Marius, dass du mir das so erklärst! Könntest du mir noch sagen, welches Antivirenprogramm deiner Meinung nach das beste ist (bzw. welches du nutzt), um seinen PC zu schützen?

Files im Anhang.

Dazu später mehr!


:)

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Während Combofix läuft, sagt er mir, dass der Papierkorb auf C:\ beschädigt ist und fragt, ob ich ihn leeren möchte. Scheinbar befindet sich darin ein Ordner, der sich nicht löschen lässt. Überspringen kann man den Schritt auch irgendwie nicht, da die Meldung nach ein paar Sekunden stets wiederkommt.

Versuche, die Meldung mit Ja zu bestätigen. Ansonsten, starte den Rechner im abgesicherten Modus mit Netzwerktreibern und versuche CF erneut.

Berichte! ;)

Das Problem mit dem Papierkorb kommt nicht mehr (egal ob abgesichert oder nicht), aber Combofix läuft einfach nicht. Weiter als "Dies dauert normalerweise nicht länger als 10 Minuten." hat es die ganze Nacht nicht geschafft. Auch nach mehrmaligen Versuchen nicht.

edit: Problem wird die Fehlermeldung von iSaverCrtl.exe sein: "Diese Anwendung hat einen schweren Fehler gefunden und muss neu gestartet werden". Die kommt alle 10 Minuten. Unter 'Details' steht, dass irgendeine Datei nicht erstellt werden kann...

Warte auf weitere Anweisungen

Hab ich ja, der lief bestimmt 12 Stunden und ist nicht weiter gekommen als zu den Worten...

So, nach bestimmt einem Dutzend Versuchen hat es endlich geklappt. ;-)

MBAM

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Das Problem mit dem Papierkorb taucht ab und zu noch auf, das Problem mit der iSaverCtrl.exe kommt allerdings doch noch relativ häufig. Und neuerdings bekomme ich nach dem Hochfahren eine Meldung über die Settings.ini-Datei, mit der ich irgendwas nicht machen kann, da sie noch geöffnet ist / benutzt wird.
Und Firefox kann ich beispielsweise gar nicht mehr öffnen momentan... IE läuft dagegen wieder normal, WLAN ist also wohl wieder da. Würde auch gerne nen Screen der einen Fehlermeldung hochladen, allerdings verbietet mit das System grundsätzlich, das Bild zu speichern, egal an welchem Ort, welcher Festplatte, Stick oder sonstwo.

Neues DDS-Log


Starte bitte DDS

• Wenn der Scan fertig ist, wird DDS 2 Logfiles erstellen. :
  1. DDS.txt
  2. Attach.txt
• Speichere beide auf deinem Desktop und poste diese bitte hier