Habe folgendes Problem, ich habe gegoogelt und auf einmal hat AntiVir geschrien und gelöscht/Quarantäne geschoben, dieses Spiel ist so alle 10 Minuten gekommen und dabei ist die Internetverbindung in die Knie gegangen. Habe im Internet gegoogelt und gelesen das Bitdefender eventuell das Problem lösen kann. Ok, installiert und schreibt mir brav das er den Trojaner Sirefe.FT gelöscht hat. Aber diese Meldung komt immer wieder und auch die Internetverbindung wird langsamer.
Ok, gegoogelt und euer Bord entdeckt und hoffe ihr könnt mir helfen. Habe jetzt einmal Malewarebytes heruntergeladen und einen Flashscann machen lassen, es wurde der Trojan.Zaccess gefunden und gelöscht.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:12:07
mbam-log-2012-06-03 (18-12-07).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 148980
Laufzeit: 2 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Sigi\AppData\Local\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Danach einen normalen scan gemacht und dort wurde dann
Trojan.Dropper.PE4 und Rootkit.0Access gefunden

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Sigi :: LAPI [Administrator]

Schutz: Aktiviert

03.06.2012 18:15:58
mbam-log-2012-06-03 (18-15-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191681
Laufzeit: 9 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\n (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

gelöscht und den Rechner nach Anweisung neu gestartet
das start-protection log hat dann folgendes gefunden
Trojan.Small

Code: Alles auswählenAufklappen

ATTFilter

 2012/06/03 18:09:33 +0200	LAPI	Sigi	MESSAGE	Executing scheduled update:  Daily
2012/06/03 18:09:33 +0200	LAPI	Sigi	MESSAGE	Starting protection
2012/06/03 18:09:38 +0200	LAPI	Sigi	MESSAGE	Protection started successfully
2012/06/03 18:09:40 +0200	LAPI	Sigi	MESSAGE	Database already up-to-date
2012/06/03 18:09:41 +0200	LAPI	Sigi	MESSAGE	Starting IP protection
2012/06/03 18:09:41 +0200	LAPI	Sigi	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:14:02 +0200	LAPI	Sigi	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	QUARANTINE
2012/06/03 18:19:03 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:24:04 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:29:05 +0200	LAPI	(null)	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	DENY
2012/06/03 18:29:07 +0200	LAPI	(null)	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	DENY
2012/06/03 18:33:52 +0200	LAPI	Sigi	MESSAGE	Starting protection
2012/06/03 18:34:00 +0200	LAPI	Sigi	MESSAGE	Protection started successfully
2012/06/03 18:34:03 +0200	LAPI	Sigi	MESSAGE	Starting IP protection
2012/06/03 18:34:03 +0200	LAPI	Sigi	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/06/03 18:36:21 +0200	LAPI	Sigi	DETECTION	C:\Windows\Installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\U\00000001.@	Trojan.Small	QUARANTINE
2012/06/03 18:41:42 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
2012/06/03 18:46:45 +0200	LAPI	Sigi	DETECTION	c:\windows\installer\{0e9e0fb9-0548-1805-ac1f-b3963e5f8d86}\u\00000001.@	Trojan.Small	DENY
         

Bitdefender schreibt in sein Protokoll das er den Trojaner Sirfef.FT in
C:\windows\installer....(siehe Bild) gefunden hat.

Hoffe ihr könnt mir weiterhelfen !

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3: Gmer



Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen