Trojan.Sirifef und Trojan.Small auf meinem PC!
 

Hallo Forum,
Ich habe heute meinem Pc mit dem MalwareBytes QuickScan geprüft und bin dort auf die Viren/Trojaner Trojan.Small Trojan.Sirifef und Rootkit.0Access gestoßen.
Ich habe diese versucht mit Malwarebytes zu löschen doch direkt danach beim nächsten Quickscan waren sie wieder da. Ich habe darauf mit Malwarebytes einen Fullscan und mit Avira AntiVir ebenfalls das ganze System überprüft. Darauf wurden die Trojaner wieder entdeckt und ich habe sie mit dem jeweiligem Programm gelöscht, doch sie waren kurz danach wieder da.
Sie beeinfullsen mein Sytem, denn wenn ich Einstellungen am Desktop oder in Ordnern vornehme sind diese beim nächsten Neutstart nicht gespeichert.
Hier noch die LOG-Datei:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.14.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Philipp :: PHILIPP-PC [Administrator]

Schutz: Aktiviert

14.06.2012 16:07:13
mbam-log-2012-06-14 (16-25-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 226226
Laufzeit: 5 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\Installer\{df28e464-d8e7-079e-2418-b0ea3ccd31c5}\U\00000001.@ (Trojan.Small) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{df28e464-d8e7-079e-2418-b0ea3ccd31c5}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{df28e464-d8e7-079e-2418-b0ea3ccd31c5}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)




Bitte um schnelle Hilfe!

Hier noch Die LOg Dateien davor:
und :

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hier der DDS Text
--- --- ---
--- --- ---


und der Attach Text

Und Gmer ?

Hier noch die Gmer Datei, kommt verspätet weil der ungefähr 90 min. scannen musste
GMER Logfile:
--- --- ---

[code]

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

OK ich habe Combofix gestartet und der Pc hat auch erfolgreich neugestartet, aber es hat keine Logfile erstellt. Was jetzt?

Starte bitte Combofix erneut.

Hier die Combofix Log Datei
Combofix Logfile:
--- --- ---

Sieht gut aus.

Update bitte Malwarebytes und lass einen vollständigen Scan laufen.
Lass alle Funde entfernen und poste das Logfile hier.


Berichte ausserdem, wie der Rechner läuft.

Soll ich die vorherigen und die neuen Funde entfernen oder in der Quarantäne lassen?

In Quarantäne lassen.

und der Scan von MBAM
Es klappt also soweit alles gut der PC speichert auch die Position von den Icons aufm Desktop.Alles tiptop.Noch eine Frage: Ich wollte mir jetz ein kostenpflichtiges Antiviren Programm zulegen, hast du da einen Tipp für mich?
Und nochmal vielen vielen vielen Dank für die Hilfe bei der Trojanerbekämpfung
LG Philipp

Auf deine Frage gehe ich dann später ein. Hab nur ein paar Minuten gerade.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Starte bitte DDS

• Wenn der Scan fertig ist, wird es 2 Logfiles erstellen. :
  1. DDS.txt
  2. Attach.txt
• Speichere beide auf deinem Desktop und poste diese bitte hier

Ok ESET hat keine Threats gefunden, darum kann ich logischerweise auch keine posten, weil der Button "List of found Threats" garnicht da war. Hier die zwei DDS Dateien
[code] .DDS Logfile:
--- --- ---

und der Attach

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.




Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 32 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Berichte bitte ob dies problemlos gelaufen ist :)

Ok hat alles super geklappt, nur soll ich auch das Java FX 2.1.1 löschen?
MfG Philipp

Nope, das solltest du behalten.

Im Grunde sind wir hier fertig aber ich muss noch auf einen BugFix von einem Tool warten. Wenn wir das jetzt deinstallieren würden, ginge deine Internetverbindung flöten.


Sieh einfach morgen Abend nochmal hier vorbei. Ich denke bis dahin sollte sich das erledigt haben und von mir genaueres dabei stehen.


Bezugnehmend auf deine Frage.
Ehrlich, ich würde für keine Anti Viren- Software zahlen. Eine FreeVersion reicht vollkommen aus.
Auch eine bezahlte Software hätte dich vor dieser Infektion wahrscheinlich nicht geschützt.
Wenn, dann die Pro Version von Malwarebytes. Hat höhere Erkennungsraten und um einiges mehr Power, ersetzt aber keine Anti Viren- Software.

Vielen Dank schonmal,
aber mir ist noch etwas merkwürdiges aufgefallen:
Wenn ich die temporären Interetdateien löschen will hängt sich irgendwie das Java Control Panel auf denn ich mach einen Haken bei allen 3 Sachen, drücke dann auf OK und dann lädt der Mauszeiger 5 Sekunden und hört dann auf. Das Programm scheint stehengeblieben zu sein. Ich schließe das dann immer mim Task Manager aber ich weiß halt nicht ob er die Internetdateien gelöscht hat? Oder kann es vielleicht daran liegen dass ich den Haken bei "Temporäre Dateien auf Rechner behalten" weg machen muss?

Keine Idee. Klappt bei mir in beiden Versionen. Browser alle geschlossen ?


Lösche bitte die vorhandene Combofix Version und downloade dir von hier eine neue Version.

Speichere diese auf dem Desktop.



Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Downloade dir bitte OTC
Starte das Tool mit Doppelklick. Dies wird die meisten Logfiles, Tools usw die wir benötigt haben, entfernen. Sollte etwas bestehen bleiben, bitte manuell löschen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher, immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Eine out of date Anti Virensoftware ist nutzlos!

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

OK ich habe die alte Combofix.exe gelöscht und mir die neue dowgeloaded. Wenn ich aber jetz bei Ausführen Combofix /Uninstall eingebe sagt er Combofix konnte nicht gefunden werden". Was nun?

Ist die Datei auf dem Desktop ?

Versuch es mit folgendem Befehl

"%userprofile%\Desktop\Combofix.exe" /uninstall

Ja ich habs auf dem Desktop, aber mit dem 2. Link hat es Super funktioniert.
PS: Soll ich die Viren jetzt aus der Quarantäne von MBAM und AntiVir löschen?
MfG, Philipp

Die sind in Quarantäne gut aufgehoben :)

OK super vielen Dank nochmal, dass du mir so schnell geholfen hast! Vielleicht begegnet man sich ja nochmal.
LG. Philipp

Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen