Hallo,
ich habe einen Rechner mit Win7 und einem 32-bit System.
Seit heute habe ich bemerkt, dass die Firewall deaktiviert ist und sich nicht mehr aktivieren lässt - Fehlercode 0x80070424. Bemerkt wurde es, da ich im Browser (Firefox) von Google nur noch auf Werbeseiten verlinkt wurde.

Ich verwende Eset Smart Security 5 und bekomme zudem immer eine Warnung über eine erkannte Bedrohung:
Objekt: C:\Windows\system32\services.exe
Bedrohung: Win32/Sirefef.FC Trojaner
Wenn ich es mit Eset löschen möchte, bekomme ich immer einen "Fehler beim Löschen" angezeigt.
Manchmal taucht sie auch in abgewandelter Form auf wie z.B.:
Objekt: C:\Windows\assembly\GAC\Desktop.ini
Bedrohung: Win32/Sirefef.EZ Trojaner
Hierbei lässt sich die Bedrohung löschen und ich werde zum Neustart aufgefordert. Tue ich dies, fängt das ganze allerdings wieder von vorne an.

Defogger habe ich wie in Schritt 1 beschrieben erfolgreich benutzt.
OTL.txt, EXTRAS.txt, Gmer.txt sowie ein Log-File von Eset hängt an.

Nun noch weitere Fragen, die mir diesbezüglich aufgekommen sind:
ich habe noch eine zweite Festplatte im Rechner verbaut. Kann ich dort bedenkenlos meine zu sichernden Daten (Bilder, Musik, eMails etc.) rüberschieben und sichern, falls ich C:\ formatieren und Win 7 neu aufsetzen muss?
Ich verwende außerdem eine externe Festplatte, welche am Router im Netzwerk hängt. Seit ein paar Tagen macht diese auch aus heiterem Himmel Probleme. Kein Rechner erkennt die Platte mehr. Sie wird nur in Festplattendienstprogrammen erkannt, ist aber nicht nutzbar. Kann das mit dem Trojaner zusammenhängen? Können jetzt andere Rechner im Netzwerk dadurch auch betroffen werden?

Ich hoffe ihr könnt mir helfen.

Zitat:

Kein Rechner erkennt die Platte mehr. Sie wird nur in Festplattendienstprogrammen erkannt, ist aber nicht nutzbar.

Das sind leider zu wenig Infos. Ein Screenshot der Datenträgerverwaltung ist da notwendig. Evtl. schaust du auch mal ob diese Platte überhaupt noch partitioniert ist und ob diese Partition noch ein Dateisystem hat - und unter einem Live-Linux kannst du auch mal schauen, ob dort die Platte gelesen werden kann

Zitat:

ich habe noch eine zweite Festplatte im Rechner verbaut. Kann ich dort bedenkenlos meine zu sichernden Daten (Bilder, Musik, eMails etc.) rüberschieben und sichern, falls ich C:\ formatieren und Win 7 neu aufsetzen muss?

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Vielen Dank schonmal dafür.

Grundsätzlich geht es mir aber erst einmal darum, den Trojaner herunterzubekommen. In dem Thread http://www.trojaner-board.de/116862-...n7-64-bit.html habe ich schon gelesen, dass es klappen kann, ohne komplett neu aufzusetzen (Datensicherung sollte also die letzte Möglichkeit sein). Das wäre mir dann schon lieber.
In dem anderen Thread hat Larusso aber auch geschrieben, dass Mitleser nicht einfach dieselben Schritte durchführen sollen, da alles personalisiert ist.
Deswegen würde ich hier auch gerne Larusso (gerne natürlich auch alle anderen, die sowas können) um Hilfe bitten.

Ja was denn jetzt - wenn dir eine Bereinigung lieber ist, dann sprich es doch auch an und nicht, dass du eine Neuinstallation vor hast!

Ok, habe ich tatsächlich nicht explizit im ersten Beitrag erwähnt, da ich mir dachte, dass Neuinstallation immer der allerletzte Schritt sei. Dem ist wohl nicht so.

Also sorry dafür und ich suche Hilfe bei einer Berreinigung.

Ich würde dir trotzdem vorher empfehlen alle Daten zu sichern. Ein versehentlicher Klick von dir oder irgendwas anderes und du hast den Salat

Wieso erinnerst du im Erinnerungstrang?
Ist es nicht logischer, dass du dich hier meldest, damit ich weiß wann und ob du den letzten Schritt umgesetzt hast?

ja klar, Daten gesichert habe ich bereits. Irgendwie denke ich immer, dass das selbstredend ist, dass ich z.B. meine Daten sichere bevor ich was neu aufsetze :-D Das habe ich wie gesagt auch schon getan.
Wusste nicht, dass du mir auch bei der Bereinigung helfen kannst.
Na dann mal los

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Danke schonmal für die Anleitung. Werde es wahrscheinlich aber erst nächste Woche durchführen können, da ich nun im Urlaub bin.

Ok, back home!

Hier nun die logs von Malwarebytes und dem ESET Online Scan.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Coco :: COCO-PC [Administrator]

03.08.2012 00:07:28
mbam-log-2012-08-03 (11-26-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266049
Laufzeit: 1 Stunde(n), 19 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\Coco\AppData\Local\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\n. -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e82fda2b8982f847960ebb4c23dedf15
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-23 03:16:15
# local_time=2012-08-23 05:16:15 (+0100, Mitteleurop‰ische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 66 94 2496945 97362696 0 0
# compatibility_mode=8206 39157181 100 93 751 29042271 0 0
# scanned=114946
# found=3
# cleaned=0
# scan_time=3470
# nod_component=V3 Build:0x30000000
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\80000000.@	a variant of Win32/Sirefef.FA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\80000032.@	a variant of Win32/Sirefef.FD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\System32\services.exe	Win32/Sirefef.FC trojan (unable to clean)	00000000000000000000000000000000	I
         

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen neuen Vollscan machen.

Ok, dann nun nochmal:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.31.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Coco :: COCO-PC [Administrator]

Schutz: Aktiviert

31.08.2012 16:22:15
mbam-log-2012-08-31 (16-22-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 277711
Laufzeit: 2 Stunde(n), 11 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\Coco\AppData\Local\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\n. -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\80000000.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b2100a9c-03be-3ad2-b998-e0f85f0d7d62}\U\80000032.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\$RECYCLE.BIN\S-1-5-21-2898640211-2617069757-3161956704-1000\$R7FVM09\FFXP_Keygen.exe (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

F:\$RECYCLE.BIN\S-1-5-21-2898640211-2617069757-3161956704-1000\$R7FVM09\FFXP_Keygen.exe
         

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Der Keygen Eintrag müsste von der WG Netzwerkfestplatte stammen und wurde wohl angezeigt, da du sagtest, ich solle alle verfügbaren Laufwerke scannen lassen.
Ich distanziere mich, auch schon auf Grund meines Berufes, vollkommen von solchen Sachen und kann zu 100% sagen, dass solch Software auf meinem Rechner niemals ausgeführt wurde von daher kann es, meines wissens nach doch auch nicht der Auslöser sein.

Ich bitte daher diesen Eintrag nicht zu beachten und nach der korrekten Lösung zu suchen.
Ich erbitte aber keinesfalls Support für illegale Dinge!