Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw (https://www.trojaner-board.de/116381-trojaner-sirefe-ft-drooper-pe4-rootkit-0acces-usw.html)

benutzer1 03.06.2012 18:12
Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw
 
Liste der Anhänge anzeigen (Anzahl: 1)
Habe folgendes Problem, ich habe gegoogelt und auf einmal hat AntiVir geschrien und gelöscht/Quarantäne geschoben, dieses Spiel ist so alle 10 Minuten gekommen und dabei ist die Internetverbindung in die Knie gegangen. Habe im Internet gegoogelt und gelesen das Bitdefender eventuell das Problem lösen kann. Ok, installiert und schreibt mir brav das er den Trojaner Sirefe.FT gelöscht hat. Aber diese Meldung komt immer wieder und auch die Internetverbindung wird langsamer.
Ok, gegoogelt und euer Bord entdeckt und hoffe ihr könnt mir helfen. Habe jetzt einmal Malewarebytes heruntergeladen und einen Flashscann machen lassen, es wurde der Trojan.Zaccess gefunden und gelöscht.

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:12:07
mbam-log-2012-06-03 (18-12-07).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 148980
Laufzeit: 2 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Sigi\AppData\Local\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Danach einen normalen scan gemacht und dort wurde dann
Trojan.Dropper.PE4 und Rootkit.0Access gefunden

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:15:58
mbam-log-2012-06-03 (18-15-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191681
Laufzeit: 9 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
gelöscht und den Rechner nach Anweisung neu gestartet
das start-protection log hat dann folgendes gefunden
Trojan.Small

Code:
2012/06/03 18:09:33 +0200        LAPI        Sigi        MESSAGE        Executing scheduled update:  Daily
2012/06/03 18:09:33 +0200        LAPI        Sigi        MESSAGE        Starting protection
2012/06/03 18:09:38 +0200        LAPI        Sigi        MESSAGE        Protection started successfully
2012/06/03 18:09:40 +0200        LAPI        Sigi        MESSAGE        Database already up-to-date
2012/06/03 18:09:41 +0200        LAPI        Sigi        MESSAGE        Starting IP protection
2012/06/03 18:09:41 +0200        LAPI        Sigi        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:14:02 +0200        LAPI        Sigi        DETECTION        C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@        Trojan.Small        QUARANTINE
2012/06/03 18:19:03 +0200        LAPI        Sigi        DETECTION        c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@        Trojan.Small        DENY
2012/06/03 18:24:04 +0200        LAPI        Sigi        DETECTION        c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@        Trojan.Small        DENY
2012/06/03 18:29:05 +0200        LAPI        (null)        DETECTION        C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@        Trojan.Small        DENY
2012/06/03 18:29:07 +0200        LAPI        (null)        DETECTION        C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@        Trojan.Small        DENY
2012/06/03 18:33:52 +0200        LAPI        Sigi        MESSAGE        Starting protection
2012/06/03 18:34:00 +0200        LAPI        Sigi        MESSAGE        Protection started successfully
2012/06/03 18:34:03 +0200        LAPI        Sigi        MESSAGE        Starting IP protection
2012/06/03 18:34:03 +0200        LAPI        Sigi        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:36:21 +0200        LAPI        Sigi        DETECTION        C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@        Trojan.Small        QUARANTINE
2012/06/03 18:41:42 +0200        LAPI        Sigi        DETECTION        c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@        Trojan.Small        DENY
2012/06/03 18:46:45 +0200        LAPI        Sigi        DETECTION        c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@        Trojan.Small        DENY
Bitdefender schreibt in sein Protokoll das er den Trojaner Sirfef.FT in
C:\windows\installer....(siehe Bild) gefunden hat.

Hoffe ihr könnt mir weiterhelfen !

Psychotic 03.06.2012 23:19
:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  1. Bitte arbeite alle Schritte der Reihe nach ab.
  2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!

    ...und ganz wichtig:

  7. Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).


Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread



Schritt 3: Gmer



Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Psychotic 06.06.2012 07:15
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Psychotic 11.06.2012 06:29
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129