Seit vorgestern (20.01.2012) habe ich lt. MS Essentials zwei Trojaner
- TrojanDropper:Win32/Sirefef.B
- PWS:Win32/Fareit

Meine Frau rief mich in der Firma an, als die Meldung von MSE kam. Ich habe dummerweise nicht den Befehl gegeben, die Bereinigung zu starten, sondern den PC runter zu fahren bzw. nachdem das nicht ging, hart auszuschalten.
Ein im Netz angeschlossenes NAS habe ich zwei Minuten später vom Netzkabel trennen lassen.

Als ich zuhause war, habe ich den PC gestartet. Alles sah sehr merkwürdig und übersichtlich (leer) aus. Partition E: war total leer. Etliche Programmeinträge waren weg und es verschwanden im Laufe der Zeit immer mehr.

MSE hat nochmal den Sirefef gemeldet. Ich habe ihn bereinigen lassen. Jetzt sind drei Einträge drin, die ich nur nach meiner Erinnerung hier wieder geben kann:
- Sirefef entfernt
- Sirefef zugelassen
- Fareit zugelassen

Die letzten beiden Einträge rühren daher, denke ich, dass ich nicht hab bereinigen lassen.

Nach dem was ich bisher gelesen habe, will PSW wohl auch Passwörter klauen. Deswegen habe ich meine wichtigsten Passwörter im Internet geändert.

Ich habe hier noch kein Log von dem empfohlenen Programmen gepostet, weil ich mich nicht traue, den PC ohne professionelle Hilfe zu starten. Deswegen ein dringender Appell an alle Leser: PLEASE HELP ME.

Systembeschreibung:
- Windows Home SP3
- MS Essentials
- Threatfire

Außerdem habe ich im Netz noch
- diesen Laptop mit Win7 64 Professional (darunter noch eine VirtualBox mit WinXP 32bit Home SP3)
- einen alten Laptop Windows Home 32bit SP3
- eine NAS Buffalo Station
- Internzugang via FritzBox 7170
Auf den beiden Laptops habe ich einen Online-Scan via Reimage laufen lassen und nichts gefunden

Frage 1:
Kann ich die Log-Programme, die hier empfohlen werden, installieren und laufen lassen? Soll ich dazu über eine CD booten? Soll ich vom Internet getrennt bleiben?

Frage 2:
Folgende Frage brennt mir unter den Nägeln, da ich kurzfristig an die Datensicherung auf dem NAS ran muss: ist es möglich, dass sich die Trojaner auf das NAS geschmuggelt haben. Wie kann ich es (von meinem hoffentlich nicht infizierten Laptop aus) scannen, und wenn infiziert, wie kann ich es wieder bereinigen.

Frage 3:
Interessieren würde mich auch die Frage, wie eine Infizierung überhaupt möglich war, da MSE und Threatfire auf dem aktuellen Stand waren und ich auch jede Woche einen Scan laufen lasse. Auch das MS Update lass ich dauernd laufen.
Dazu muss man wissen, dass ich einen Tag zuvor (Mittwoch, 18.01.2012) den sonst nie von mir benutzten IE8 starten musste, um mit meiner Firma via CSGP zu arbeiten.
Ich weiß, dass die Beantwortung dieser Frage nicht leicht ist. Ist auch nicht dringend. Aber ich möchte halt gerne aus Fehlern lernen.

hi,
threadfire hat probleme mit aktuellen rootkits.
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder
das nas sollte sauber sein.ähnlich wichtiges?
schaun wir mal was dein system so zu bieten hatt...
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Danke, dass Du Dich kümmern möchtest. War schon verzweifelt.
Online-Banking mache ich ja. Auch einige Einkäufe. Hab alle wichtigen PINs geändert. Von daher dürfte es hoffentlich kein Problem geben.
Super, wenn das NAS sauber ist. Gelobt sei die Datensicherung.

Hab ne grundlegende Frage: Soll ich OTL mit diesem Laptop downloaden und per USB-Stick auf den infizierten PC übertragen oder soll ich den PC starten und sogar online gehen?

geh mit dem infizierten pc online.
ich will mir das mal angucken, aber formatierung wird wohl nötig sein.

Ich glaube, dass ist keine gute Idee, online zu gehen. Es tauchen 20 Fenster auf, dass er etwqas nicht verändern konnte und dann eine System control panel, dass vier kritische Fehler beim Computer status meldet, 1 kritischer RAM-Fehler + 2 medium, 1 kritischer System drive fehler + 3 medium, sowie 2 kritische system registry-EWinträge + ein medium.
Dann kommt ein Fenster "Windows - kein Datenträger" mit einer Exception processor message. Ich mach den PC erstmal lieber aus.

Kann ich nicht offline und irgendwie im abgesicherten Modus etwas machen?

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Auf dem infizierten PC kann ich weder firefox noch IE starten.

Hab combofix mit Laptop runtergeladen und dann den PC im abgesicherten Modus gestartet. Beim Überspielen via USB-Stick sagt er beim Einfügen sagt TeraCopy (ersetzt den Windows Kopier-Befehl) "Error Preparing File List".

Ein Tool zum deinstallieren von Sirefef habe ich bei ESET gefunden. Fehlt mir nur noch eins für Fareit.A

Hab mal combofix vom Stick aus gestartet. Da kommt n blauer Bildschirm: "Combofix wird vorbereitet, um ausgeführt zu werden.".

Hältst Du es für sinnvoll, so weiter zu machen, obwohl ich vom Stick aus gestartet habe oder ist es vergebene Liebesmüh?

Vielen Dank für Deine Unterstützung.
Ritchie

ComboFix hatte sich leider aufgehängt. Er hat eine Infektion mit ZeroAccess gemeldet und wollte sie beheben.
Entschuldige bitte, wenn ich dann selbständig ESETSirefefRemover hab laufen lassen: er hat keine ZeroAccess-Infektion gefunden.
Der ESTEOnlineScanner hat dafür 2x Kryptik.ZDN, 1x Kryptik.ZFH und 2x mjultiple threats gefunden und auch bereinigt.
Seitdem kann ich wenigstens wieder im normalen Modus starten und so simple Dinge wie den TaskManager aufrufen.

Ich bin dann Deinem Tipp nochmal gefolgt und habe vom Desktop aus ComboFix gestartet. Er hat innerhalb der angegebenen 10min eine ZeroAccess-Infektion gemeldet und mich zwischenzeitlich darauf hingewiesen, dass er eine Rootkit-Infektion bereinigen will. Die Meldungen habe ich mit OK jeweils weggeklickkt.
Hätte ich das nicht machen sollen?
Der ComboFix läuft jetzt schon fast eine Stunde und ich habe nicht das Gefühl, dass er noch was macht. Bin ich jetzt zu ungeduldig oder hat er sich der PC wieder aufgehängt?

Gruß Ritchie

hi,
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Schade! Und danke für Dein Angebot, mir weiter zu helfen. Hab grad zu wenig Zeit. Werde mich aber ggf. hier nochmal melden am Wochenende.

Vielen Dank für Deine bisherige Unterstützung.
Ritchie

kein problem, meld dich einfach