Win64:Sirefef-A [Trj]
 

Hallo alle zusammen,

vorhin beim surfen hat sich plötzlich das bekannte Kontrollfenster geöffnet und gefragt, ob ich Adobe updaten wollte. Woltle ich eigentlich nicht, also hab ich auf nein geklickt. Allerdings hat sich das Fenster immer wieder geöffnet und so bin ich dann doch auf ja gegangen. Die Installation hat angefangen und ich hab sie dann abgebrochen.

Und nun zeigt mir Avast dauernd an:
Objekt:C:\$Recycle.Bin\S-1-5-18\...\80000000.@
Infektion:Win64:Sirefef-A [Trj]
Aktion: in Container verschoben
Prozess: C:\Windows\system32\services.exe

Die Meldung kommt öfter, manchmal steht auch statt "in container verschoben" , "keine aktion erforderlich".

Hab Windows 7 Ultimate 32bit

Der Pc funktioniert bis jetzt normal weiter. Was muss ich tun?

Schritt 1:
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:

• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread (bitte dringend in CODE-Tags mit dem #-Symbol im Editor).

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Also da ich kein online banking mache, gibts da wohl kein problem. Ich würde die bereinigung schon machen, denn neu aufsetzen fänd ich nicht so toll. Habe vorhin angefangen gehabt eine system-startzeit prüfung von avast zu machen und jetzt wird zwar der trojaner angezeigt, aber bei der ausführung 'in container verschieben' kommt der fehler 0xC000007F (an operation failed because the disk was full). Soll ich jetzt einfach die überprüfung abbrechen und alle deine schritte durchführen? Edit: neben sirefef-A (trj) wird auch sirefef-AO (rtk) angezeigt

Du sollst nichts anderes machen, ausser meiner Anweisungen. Steht in meinen Regeln, die du ja offenbar nicht gelesen hast.

Tut mir leid, da gibt es offenbar ein missverständnis. Die startzeitprüfung hatte ich schon gestartet bevor ich hier überhaupt gepostet habe. Dann fange ich jetzt mit deinen anweisungen an.

Ah verstehe, dann abbrechen und loslegen :)

Okay hier ist der Log. Hoffe im Anhang ist okay, ansonsten kopier ich ab jetzt die Texte.

EDIT:

Hab den zweiten Schritt begonnen. Da ich Avast schon installiert und die neueste Version habe, komme ich anscheinend direkt in das Fenster wo man Scan, Fix, Save Log usw anklicken kann. Soll ich dann einfach so auf Scan gehen?

Am besten liest du jetzt nochmal meine Regeln. Und so gehts dann:

Oh okay, ich entschuldige mich!

Dann hier:

Und zur Frage zum zweiten Schritt?

Jepp bitte Scan und dann Logfile.

Okay, kurze Zeit nach Scan-Beginn kam der BlueScreen.
Dann versuch ich den Scan jetzt noch mal mit der Einstellung none

TDSSKiller LogFile

EDIT:
Die Datei bei Schritt 4 wird vor dem Download bei mir mit einer Warnung angezeigt, dass sie schädlich sein könnte. Ist das normal?

Meinst du ich biete dir was schädliches zum Download an?
Führe bitte den Schritt durch.

Sollte keine Anschuldigung sein, gehe nur lieber auf Nummer sicher, bevor vllt. doch irgendwas passiert.

attach.txt

[CODE].
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.DDS Logfile:
DDS.txt

--- --- ---

Dann geht es weiter:


Schritt 1:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield

Hier: Uniblue Reg Booster

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hey, bevor ich die schritte durchführen kann, gibt es noch ein problem. Ich starte den pc grade zum ersten mal heute und bis zum willkommensbildschirm ist auch alles normal, aber nachdem ich mein passwort eingebe kommt nur 'willkommen' und es lädt und lädt und lädt. Nach einem neustart bin ich zwar bis zum desktop gekommen, aber der wurde nur schwarz angezeigt und man sah nur den mauspfeil. Was soll ich also machen? Abgesicherter modus oder so?