Win64:Sirefef-A [Trj] Hallo alle zusammen, vorhin beim surfen hat sich plötzlich das bekannte Kontrollfenster geöffnet und gefragt, ob ich Adobe updaten wollte. Woltle ich eigentlich nicht, also hab ich auf nein geklickt. Allerdings hat sich das Fenster immer wieder geöffnet und so bin ich dann doch auf ja gegangen. Die Installation hat angefangen und ich hab sie dann abgebrochen. Und nun zeigt mir Avast dauernd an: Objekt:C:\$Recycle.Bin\S-1-5-18\...\80000000.@ Infektion:Win64:Sirefef-A [Trj] Aktion: in Container verschoben Prozess: C:\Windows\system32\services.exe Die Meldung kommt öfter, manchmal steht auch statt "in container verschoben" , "keine aktion erforderlich". Hab Windows 7 Ultimate 32bit Der Pc funktioniert bis jetzt normal weiter. Was muss ich tun? |
Lesestoff: Rootkit-Warnung Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
Teile mir also mit, wie du dich entschieden hast. Schritt 1: Laufwerksemulationen abschalten mit Defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es: Schritt 2: Scan mit aswMBR
Schritt 3: Scan mit dem TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.
Schritt 4: Scan mit DDS+ (mit attach) Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop. |
Also da ich kein online banking mache, gibts da wohl kein problem. Ich würde die bereinigung schon machen, denn neu aufsetzen fänd ich nicht so toll. Habe vorhin angefangen gehabt eine system-startzeit prüfung von avast zu machen und jetzt wird zwar der trojaner angezeigt, aber bei der ausführung 'in container verschieben' kommt der fehler 0xC000007F (an operation failed because the disk was full). Soll ich jetzt einfach die überprüfung abbrechen und alle deine schritte durchführen? Edit: neben sirefef-A (trj) wird auch sirefef-AO (rtk) angezeigt |
Du sollst nichts anderes machen, ausser meiner Anweisungen. Steht in meinen Regeln, die du ja offenbar nicht gelesen hast. |
Tut mir leid, da gibt es offenbar ein missverständnis. Die startzeitprüfung hatte ich schon gestartet bevor ich hier überhaupt gepostet habe. Dann fange ich jetzt mit deinen anweisungen an. |
Ah verstehe, dann abbrechen und loslegen :) |
Okay hier ist der Log. Hoffe im Anhang ist okay, ansonsten kopier ich ab jetzt die Texte. EDIT: Hab den zweiten Schritt begonnen. Da ich Avast schon installiert und die neueste Version habe, komme ich anscheinend direkt in das Fenster wo man Scan, Fix, Save Log usw anklicken kann. Soll ich dann einfach so auf Scan gehen? |
Am besten liest du jetzt nochmal meine Regeln. Und so gehts dann: So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Oh okay, ich entschuldige mich! Dann hier: Code: defogger_disable by jpshortstuff (23.02.10.1) |
Jepp bitte Scan und dann Logfile. |
Okay, kurze Zeit nach Scan-Beginn kam der BlueScreen. Dann versuch ich den Scan jetzt noch mal mit der Einstellung none Code: aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software Code: 17:41:40.0479 2296 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 Die Datei bei Schritt 4 wird vor dem Download bei mir mit einer Warnung angezeigt, dass sie schädlich sein könnte. Ist das normal? |
Meinst du ich biete dir was schädliches zum Download an? Führe bitte den Schritt durch. |
Sollte keine Anschuldigung sein, gehe nur lieber auf Nummer sicher, bevor vllt. doch irgendwas passiert. attach.txt [CODE]. UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT .DDS Logfile: Code: DDS (Ver_2012-11-20.01) Code: DDS (Ver_2012-11-20.01) - NTFS_x86 |
Dann geht es weiter: Schritt 1: Deinstallation von Programmen
Schritt 1: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Temporäre Dateien löschen mit TFC Schritt 4: Scan mit Combofix
|
Hey, bevor ich die schritte durchführen kann, gibt es noch ein problem. Ich starte den pc grade zum ersten mal heute und bis zum willkommensbildschirm ist auch alles normal, aber nachdem ich mein passwort eingebe kommt nur 'willkommen' und es lädt und lädt und lädt. Nach einem neustart bin ich zwar bis zum desktop gekommen, aber der wurde nur schwarz angezeigt und man sah nur den mauspfeil. Was soll ich also machen? Abgesicherter modus oder so? |
Schau mal ob abgesichert läuft, wenn nicht ... dann: Scan mit Farbar's Recovery Scan Tool
|
Abgesicherter modus läuft. Dann mache ich jetzt die oben stehenden schritte. Ach man, im dem modus gibts ja kein internet. Na dann mach ichs über nen zweiten pc |
jepp Kann gut sein, dass dann Combofix alles gerade biegt. |
Also neues problem. Toolbars habe ich deinstalliert, aber wenn ich bei hotspotshield auf deinstallieren gehe öffnet sich nur der internet explorer, eine deinstallation wird nicht begonnen. Bei java 6 und 7 kommt der fehler, dass auf den windows installer-dienst nicht zugegriffen werden konnte und das dies auftreten kann, wenn der installer nicht richtig installiert wurde (obwohl er vorher ja funktioniert hat). Und zu allerletzt lässt sich auch der uniblue registry booster nicht deinstallieren, hier kommt: Runtime error (at -1:0): cannot import dll:C:\programfiles\uniblue\registrybooster\installerextensions.dll. Was soll ich denn jetzt machen? :( |
Dann überspringe mal alles und lasse Combofix laufen. Bereite dich schon mal mental auf eine Neuinstallation vor. Nur zur Info: Die vorliegende Infektion ist sehr hartnäckig und evtl sehr tief. |
alle schritte überspringen und nur den letzten schritt combofix? okay ... Na super mit der Neuinstallation .... Edit Combofix hat wegen Avast gemeckert, aber das ist durch den abgesichterten Modus ja eh deaktiviert. |
Ich hab doch geschrieben, dass es meckern könnte. |
Ich weiss, aber ich dachte du hättest auch geschrieben, dass man dir das trotzdem mitteilen soll. Combofix läuft ja schon... Combofix.txt Code: ComboFix 13-01-17.04 - Flavia 18.01.2013 18:40:36.1.4 - x86 MINIMAL |
Korrekt, aber da ich das Log nicht gesehen hatte war ich der Meinung dir ist wieder etwas suspekt :) So da hat es einige Bösewichter entfernt. Das sieht soweit gut aus. Eine weitere Kontrolle bevor wir fortfahren: Scan mit MBAR Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Okay, nach dem Neustarten nach dem ersten Durchlauf, ist der Pc jetzt ohne abgesicherten Modus hochgefahren und ich bin wieder recht normal auf den Desktop gekommen, der jetzt auch wieder normal aussieht. Beim zweiten Durchlauf wurde nichts gefunden. Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1016 |
Sehr schön, dann versuche jetzt bitte die genannten Dateien zu deinstallieren. Schritt 1: Deinstallation von Programmen Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Temporäre Dateien löschen mit TFC
Schritt 4: Noch einmal Combofix zur Kontrolle. |
Okay, java und hotspotshield wurden erfolgreich deinstalliert, aber beim uniblue registry booster kommt der selbe runtime fehler, den ich vorhin schon genannt hatte. Soll ich dann trotzdem mit den weiteren schritten fortfahren? |
Ja. ------------ |
Hier schonmal die adwcleaner Logfile Code: # AdwCleaner v2.106 - Logfile created 01/18/2013 at 20:13:30 Code: ComboFix 13-01-17.04 - Flavia 18.01.2013 20:36:07.2.4 - x86 |
Gut! :daumenhoc Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Wichtig: Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2 |
Malwarebytes Code: Malwarebytes Anti-Malware (Test) 1.70.0.1100 Code: C:\Qoobox\Quarantine\C\$Recycle.Bin\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\n.vir Win32/Sirefef.EV trojan Code: Results of screen317's Security Check version 0.99.57 |
Gut, dann das infizierte BAckup löschen und dann ein neues anlegen. Prima! :daumenhoc Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Schritt 3: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Abschließend noch Tipps zu folgenden Themen:
Lesestoff: Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff: Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff: Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
Lesestoff: Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Bevor ich mit dem "Aufräumen" beginne, eine hoffentlich nicht allzu dumme Frage: Wie lösche ich das Back-Up und erstelle ein neues? |
Irgendwie musst du das Backup ja mal angefertigt haben? Du gehst in den Ordner und löschst die gefundene Datei (ESET). |
Gut, hab alles ausgeführt. Bin jetzt vom IE 9 zu FireFox gewechselt. Eine Frage noch, soll ich dann einmal wöchentlich Malwarebytes UND Eset laufen lassen? Oder nur eines der beiden? |
Ich persönlich empfehle immer beides. Bei einem Fund aber nicht in Panik geraten. Oft sind die Dinger übersensibel. |
Hmm okay, aber wenn was gefunden wird, den Fund löschen? |
Genau Schön, dass wir helfen konnten :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/ |
Vielen Dank nochmal :) Edit: Hab leider den letzten Satz übersehen, Beiträge kann man ja nicht löschen. Sorry ... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board