Trojaner TR/sirefef.A.78 & Defogger.exe, OTL.exe, Gmer.exe lassen sich nicht ausführen
 

Hallo Forum,

Seit gestern haben wir einen bzw. zwei Trojaner auf dem Laptop ( Windows Vista Home Premium 32 Bit - Betriebssystem)
Der erste Trojaner TR/Crypt.XPACK.Gen konnte mithilfe von AVIRA Free Antivirus in die Quarantäne verschoben und dort gelöscht werden.
Habe versucht den 2. Schritt der "Checkliste" (Download & Ausführen von Defogger.exe, OTl.exe und Gmer.exe) durchzuführen.
Download war erfolgreich, Programme lassen sich jedoch nicht ausführen.
Habe versucht das Problem mithilfe des Beitrags "FixEXE - wenn man keine EXE-Dateien mehr ausführen kann" zu beheben, ohne Erfolg.
Der 2. Trojaner TR/Sirefef.A.78 wurde schon mehrere Male durch AVIRA in die Quarantäne verschoben und taucht dort auch mehrmals auf.
Die Auswahlmöglichkeit des Sicherheitshinweises von AVIRA
"Sie können die Datei entfernen oder weitere Informationen über das Problem abrufen."
wurde mehrere Male mit "entfernen" beantwortet.
Trotzdem taucht der Hinweis im Minutentakt auf.
Bitte um schnelle Hilfe,
Im Voraus bedanke ich mich schon mal herzlich für den Support.

Hi,

kannst du die Programme (OTL und Gmer) auch im abgesicherten Modus nicht ausführen?

Danke für die schnelle Antwort, habe gerade versucht die Programme im Abgesicherten Modus auszuführen, jedoch wieder ohne Erfolg. Die Programme lassen sich nicht einmal auf dem Desktop speichern man findet sie nur unter Downloads, wo sie sich eben nicht ausführen bzw. im Ziel-Ordner anzeigen lassen.
Danke für deine Hilfe.

Hallo redbullrs5 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.


Los geht's:

Ok, dann machen wir es anders:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Danke nochmals, dass du dich meinem Problem angenommen hast.
Ich habe noch eine Frage...Sind, wenn ich deine oben genannten bzw. noch folgende Anweisungen durchführe, meine gesamten Daten verloren? Habe nämlich vertrauliche Unterlagen auf dem Laptop, die möglichst nicht verloren gehen sollten, soweit das möglich ist.
Vielen Dank für deinen Support.

Nein, das sollte durch diese Schritte eigentlich nicht passieren.. :)

Wenn du ganz sicher gehen willst, dann sicherst du zuerst gezielt deine persönlichen Daten auf einen externen Datenträger (am besten per Live-System : http://www.trojaner-board.de/82533-d...ted-magic.html).

Hallo Leo,

Ich habe alles getan, was du gesagt hast.
Mein USB-Stick heißt Intenso (D:)
daher habe ich den Befehl D:\frst.exe eingegeben.
Daraufhin kam die Meldung:
"D:\FRST.exe is not a valid Win32 application."
Unter meinem Befehl steht nun "Access is denied."

Habe dann versucht den genauen Namen- also (D:)\frst.exe - einzugeben, daraufhin kam :
"\frst.exe was unexpected at this time."

Lade die FRST.exe mal an einem Zweitrechner (also nicht demjenigen, den wir hier untersuchen) herunter, kopiere sie dort auf den USB-Stick und versuche es dann nochmals gemäss obiger Anleitung.

Das habe ich getan,frst.exe heruntergeladen auf einem anderen Laptop und dann rübergezogen, oder muss ich es auf dem anderen Laptop erst installieren?

Nein, da muss man nichts installieren.
Und du warst wirklich in den Computerreperaturoptionen und nicht im abgesicherten Modus mit Eingabeaufforderung?
Lade bitte eine neue Version von FRST herunter und versuche es noch einmal nach obiger Anleitung.

Hab ich alles ganz sicher genau so getan, wie du gesagt hast.
Ich werde es jetzt dann nochmal mit der neuen Version versuchen.
Mein USB heißt intensio (D:) , der Befehl lautet dann:
D:\FRST.exe oder?

Kann sein, dass beim ersten Mal die heruntergeladene frst.exe irgendwie beschädigt war. Deshalb nochmals versuchen.

Ja.

Habe alles genauso gemacht, wie du gesagt hast, ohne Erfolg. Unter meinem Befehl steht jetzt
"The system cannot find the file f:\FRST.exe"

Also wenn das File nicht gefunden wurde, dann wurde entweder der Befehl nicht ganz richtig eingegeben, oder die Datei ist an einem anderen Ort..

Sieht es bei dir genau so aus wie in dieser bebilderten Anleitung? http://www.trojaner-board.de/132035-...scan-tool.html

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.