Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar (https://www.trojaner-board.de/108366-sirefef-fareit-loeschen-verstecken-dateien-system-unbrauchbar.html)

knuedo 21.01.2012 07:14
Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar
 
Seit vorgestern (20.01.2012) habe ich lt. MS Essentials zwei Trojaner
- TrojanDropper:Win32/Sirefef.B
- PWS:Win32/Fareit

Meine Frau rief mich in der Firma an, als die Meldung von MSE kam. Ich habe dummerweise nicht den Befehl gegeben, die Bereinigung zu starten, sondern den PC runter zu fahren bzw. nachdem das nicht ging, hart auszuschalten.
Ein im Netz angeschlossenes NAS habe ich zwei Minuten später vom Netzkabel trennen lassen.

Als ich zuhause war, habe ich den PC gestartet. Alles sah sehr merkwürdig und übersichtlich (leer) aus. Partition E: war total leer. Etliche Programmeinträge waren weg und es verschwanden im Laufe der Zeit immer mehr.

MSE hat nochmal den Sirefef gemeldet. Ich habe ihn bereinigen lassen. Jetzt sind drei Einträge drin, die ich nur nach meiner Erinnerung hier wieder geben kann:
- Sirefef entfernt
- Sirefef zugelassen
- Fareit zugelassen

Die letzten beiden Einträge rühren daher, denke ich, dass ich nicht hab bereinigen lassen.

Nach dem was ich bisher gelesen habe, will PSW wohl auch Passwörter klauen. Deswegen habe ich meine wichtigsten Passwörter im Internet geändert.

Ich habe hier noch kein Log von dem empfohlenen Programmen gepostet, weil ich mich nicht traue, den PC ohne professionelle Hilfe zu starten. Deswegen ein dringender Appell an alle Leser: PLEASE HELP ME.

Systembeschreibung:
- Windows Home SP3
- MS Essentials
- Threatfire

Außerdem habe ich im Netz noch
- diesen Laptop mit Win7 64 Professional (darunter noch eine VirtualBox mit WinXP 32bit Home SP3)
- einen alten Laptop Windows Home 32bit SP3
- eine NAS Buffalo Station
- Internzugang via FritzBox 7170
Auf den beiden Laptops habe ich einen Online-Scan via Reimage laufen lassen und nichts gefunden

Frage 1:
Kann ich die Log-Programme, die hier empfohlen werden, installieren und laufen lassen? Soll ich dazu über eine CD booten? Soll ich vom Internet getrennt bleiben?

Frage 2:
Folgende Frage brennt mir unter den Nägeln, da ich kurzfristig an die Datensicherung auf dem NAS ran muss: ist es möglich, dass sich die Trojaner auf das NAS geschmuggelt haben. Wie kann ich es (von meinem hoffentlich nicht infizierten Laptop aus) scannen, und wenn infiziert, wie kann ich es wieder bereinigen.

Frage 3:
Interessieren würde mich auch die Frage, wie eine Infizierung überhaupt möglich war, da MSE und Threatfire auf dem aktuellen Stand waren und ich auch jede Woche einen Scan laufen lasse. Auch das MS Update lass ich dauernd laufen.
Dazu muss man wissen, dass ich einen Tag zuvor (Mittwoch, 18.01.2012) den sonst nie von mir benutzten IE8 starten musste, um mit meiner Firma via CSGP zu arbeiten.
Ich weiß, dass die Beantwortung dieser Frage nicht leicht ist. Ist auch nicht dringend. Aber ich möchte halt gerne aus Fehlern lernen.

markusg 21.01.2012 17:24
hi,
threadfire hat probleme mit aktuellen rootkits.
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder
das nas sollte sauber sein.ähnlich wichtiges?
schaun wir mal was dein system so zu bieten hatt...
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

knuedo 21.01.2012 18:04
Danke, dass Du Dich kümmern möchtest. War schon verzweifelt.
Online-Banking mache ich ja. Auch einige Einkäufe. Hab alle wichtigen PINs geändert. Von daher dürfte es hoffentlich kein Problem geben.
Super, wenn das NAS sauber ist. Gelobt sei die Datensicherung.

Hab ne grundlegende Frage: Soll ich OTL mit diesem Laptop downloaden und per USB-Stick auf den infizierten PC übertragen oder soll ich den PC starten und sogar online gehen?

markusg 21.01.2012 18:23
geh mit dem infizierten pc online.
ich will mir das mal angucken, aber formatierung wird wohl nötig sein.

knuedo 21.01.2012 18:34
Ich glaube, dass ist keine gute Idee, online zu gehen. Es tauchen 20 Fenster auf, dass er etwqas nicht verändern konnte und dann eine System control panel, dass vier kritische Fehler beim Computer status meldet, 1 kritischer RAM-Fehler + 2 medium, 1 kritischer System drive fehler + 3 medium, sowie 2 kritische system registry-EWinträge + ein medium.
Dann kommt ein Fenster "Windows - kein Datenträger" mit einer Exception processor message. Ich mach den PC erstmal lieber aus.

Kann ich nicht offline und irgendwie im abgesicherten Modus etwas machen?

markusg 21.01.2012 19:59
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

knuedo 21.01.2012 20:18
Auf dem infizierten PC kann ich weder firefox noch IE starten.

Hab combofix mit Laptop runtergeladen und dann den PC im abgesicherten Modus gestartet. Beim Überspielen via USB-Stick sagt er beim Einfügen sagt TeraCopy (ersetzt den Windows Kopier-Befehl) "Error Preparing File List".

Ein Tool zum deinstallieren von Sirefef habe ich bei ESET gefunden. Fehlt mir nur noch eins für Fareit.A

Hab mal combofix vom Stick aus gestartet. Da kommt n blauer Bildschirm: "Combofix wird vorbereitet, um ausgeführt zu werden.".

Hältst Du es für sinnvoll, so weiter zu machen, obwohl ich vom Stick aus gestartet habe oder ist es vergebene Liebesmüh?

Vielen Dank für Deine Unterstützung.
Ritchie

knuedo 22.01.2012 09:49
ComboFix hatte sich leider aufgehängt. Er hat eine Infektion mit ZeroAccess gemeldet und wollte sie beheben.
Entschuldige bitte, wenn ich dann selbständig ESETSirefefRemover hab laufen lassen: er hat keine ZeroAccess-Infektion gefunden.
Der ESTEOnlineScanner hat dafür 2x Kryptik.ZDN, 1x Kryptik.ZFH und 2x mjultiple threats gefunden und auch bereinigt.
Seitdem kann ich wenigstens wieder im normalen Modus starten und so simple Dinge wie den TaskManager aufrufen.

Ich bin dann Deinem Tipp nochmal gefolgt und habe vom Desktop aus ComboFix gestartet. Er hat innerhalb der angegebenen 10min eine ZeroAccess-Infektion gemeldet und mich zwischenzeitlich darauf hingewiesen, dass er eine Rootkit-Infektion bereinigen will. Die Meldungen habe ich mit OK jeweils weggeklickkt.
Hätte ich das nicht machen sollen?
Der ComboFix läuft jetzt schon fast eine Stunde und ich habe nicht das Gefühl, dass er noch was macht. Bin ich jetzt zu ungeduldig oder hat er sich der PC wieder aufgehängt?

Gruß Ritchie

markusg 22.01.2012 17:37
hi,
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

knuedo 24.01.2012 22:08
Schade! Und danke für Dein Angebot, mir weiter zu helfen. Hab grad zu wenig Zeit. Werde mich aber ggf. hier nochmal melden am Wochenende.

Vielen Dank für Deine bisherige Unterstützung.
Ritchie

markusg 25.01.2012 14:56
kein problem, meld dich einfach


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131