TR/Sirefef.A.37 - entfernen

[Ledeker]

Hallo,

laut Avira wurde auf meinem PC ein Virus entdeckt:
TR/Sirefef.A.37

Ich habe bereits die Desinfect von der c´t laufen lassen mit aktuellen Signaturen und allen 4 Virenscannern.
Es wurde zwar etwas entdeckt, jedoch konnten die Dateien nicht umbenannt werden, da sie angeblich nicht existieren.

Wie bekomme ich den Schädling entfernt (Außer alles Formtierung und Neu aufsetzen)?

 

[Soulii]

da du hier fragst:

neuinstallieren , punkt , ende aus.
alles andere wäre fahrlässig.

 

[Ledeker]

Okay, kann ja sein, dass es noch eine andere Möglichkeit gibt.

 

[Eliteübermensch]

Und alle Daten löschen.
Alternativ Linux benutzen, dann kann man die Daten behalten und weiternutzen.

 

[Ledeker]

Okay, danke.
Gibt es über diesen Virus irgendwelche Informationen?
Mich würde schon ganz gerne interessieren, wie er auf das System kam.

 

[purzelbär]

Nimm mal eine andere Live CD wie zum Beispiel Kaspersky Rescue Disk oder BitDefender Rescue Disk und überprüfe dein System ausserdem mal mit Malwarebytes Free. Avira bringt gerne auch mal False Positives und ist schwach bei der Erkennung und Bekämpfung neuer Malware wie Viren, Trojaner, Ransoms usw.

 

[doof123]

Solche Infektionen kommen meist über Werbungs-Popups von weniger legalen Webseiten oder Keygeneratoren.
Auf jeden Fall hast du etwas geöffnet, also z.B. ein Installer gestartet.

Nach dieser Infektion rate ich dir, als erstes deine Passwörter zu ändern und zwar erst nach erfolgreicher Desinfektion oder Neuinstallation.
Man weiß nie, welche Einstellungen, Dienste, Dateien hinzugefügt oder manipuliert worden sind.
Deshalb sagen dir viele, dass eine Neuinstallation sinnvoll ist.
Bevor du neu installierst, check deine Kiste bitte noch auf Rootkits und MBR-Infektionen, sonst geht ev. wieder alles von vorne los.

Die besten Erfahrungen bei der Entfernung von Infektionen habe ich gemacht, wenn das Betriebssystem nicht gestartet ist. also die Festplatte extern woanders anschließen und scannen, oder per Linux- oder Rettungs-CD/DVD.

Empfehlen kann ich die die Kaspersky-CD, die man auch per USB-Stick nutzen kann.
Lässt sich online updaten & man kann während des Scannens sogar surfen etc.

Link dazu: http://support.kaspersky.com/de/4162

 

[Ledeker]

Danke für eure Antworten.
Ich teste alles aus!
Und gebe Rückmeldung.

 

[emlyn d.]

laut Avira wurde auf meinem PC ein Virus entdeckt:
TR/Sirefef.A.37

Ich habe bereits die Desinfect von der c´t laufen lassen mit aktuellen Signaturen und allen 4 Virenscannern.
Es wurde zwar etwas entdeckt, jedoch konnten die Dateien nicht umbenannt werden, da sie angeblich nicht existieren.

Hallo,
warum fragt hier eigentlich niemand nach den Berichten?
Diese könnten klären, ob es sich wirklich um Sirefef aka ZeroAccess handelt.
Wenn das zutrifft, ist der saubere Neuanfang meiner Meinung nach unumgänglich.

 

[Ledeker]

Hallo,
warum fragt hier eigentlich niemand nach den Berichten?

Wenn ich auf Details mittels Avira gehe, fängt er einen Scan an, aber er wird nicht vollständig durchgescannt.
Die c´t Desinfect hatte zwar zwei Dinge gefunden, konnte sie jedoch nicht umbenennen, da angeblich die Dateien/Ordner nicht existieren.
Ich werde demnächst Post #6 und #7 austesten und berichten.

 

[purzelbär]

Ich werde demnächst Post #6 und #7 austesten und berichten.

Das hättest du eigentlich schon längst machen sollen Ledeker und nicht erst jetzt. Und wenn du das machst, poste bitte auch die Logfiles mit damit sich die Helfer hier anschauen können was bereinigt wurde und dazu ihr Urteil abgeben können.

 

[SEL33]

Nimm mal eine andere Live CD wie zum Beispiel Kaspersky Rescue Disk oder BitDefender Rescue Disk .

@TE
In der c't Desinfect sind doch Kaspersky und Bitdefender schon enthalten,somit wäre es doch doppelt gemoppelt.

und überprüfe dein System ausserdem mal mit Malwarebytes Free.

Das auf jedenfall durchführen und berichten.

 

[purzelbär]

@TE
In der c't Desinfect sind doch Kaspersky und Bitdefender schon enthalten,somit wäre es doch doppelt gemoppelt.

Nicht unbedingt cc207. Denn er schreibt ja das:

Wenn ich auf Details mittels Avira gehe, fängt er einen Scan an, aber er wird nicht vollständig durchgescannt.
Die c´t Desinfect hatte zwar zwei Dinge gefunden, konnte sie jedoch nicht umbenennen, da angeblich die Dateien/Ordner nicht existieren.

Es könnte also durchaus sein das der Avira Scanner auf der Desinfect CD eine Bereinigung nicht durchführen kann oder eine Bereinigung verhindert. Ich bin immer noch der Meinung er soll es mal mit einer anderen Rescue Disk versuchen und dann wird er sehen ob die die gleiche Probleme hat wie die Desinfect oder nicht. Und wenn sich der mögliche Verdacht von emlyn d. bestätigt(dazu müsste er Logfiles sehen vom TE um die zu beurteilen),

warum fragt hier eigentlich niemand nach den Berichten?
Diese könnten klären, ob es sich wirklich um Sirefef aka ZeroAccess handelt.
Wenn das zutrifft, ist der saubere Neuanfang meiner Meinung nach unumgänglich.

dann gibt es für den TE eh nur eine vernünftige Entscheidung: Daten sichern, formatieren und Windows neu aufsetzen.

 

[SEL33]

Es könnte also durchaus sein das der Avira Scanner auf der Desinfect CD eine Bereinigung nicht durchführen kann oder eine Bereinigung verhindert.

Man kann bei c't Desinfect auch Avira weglassen,eine andere Rescue Disk ist nicht nötig.

dann gibt es für den TE eh nur eine vernünftige Entscheidung: Daten sichern, formatieren und Windows neu aufsetzen.

Ja,das ist die vernünftigste Entscheidung.

 

[purzelbär]

Man kann bei c't Desinfect auch Avira weglassen,eine andere Rescue Disk ist nicht nötig.

Könnte man cc207(ich selbst habe die Desinfect nicht aber genug andere Rescue DisK's), aber andererseits wäre es für den TE auch kein Beinbruch sich eine andere Rescue Disk runterzuladen und amit das System zu überprüfen. Und wie wir beide zum Beispiel von SLE wissen, ist Kaspersky immer mit ganz vorne dabei wenn es darum geht neue und hartnäckige Malware entfernt zu bekommen. Auch darum mein Vorschlag zur Kaspersky Rescu Disk.

Ja,das ist die vernünftigste Entscheidung.

In dem Punkt sind wir einer Meinung aber Helfer wie emlyn d. bräuchten dazu erstmal Logfiles um zu sehen ob es sich wirklich um Sirefef aka ZeroAccess handelt.

 

[Ledeker]

@ cc207 und purzelbär. Danke für eure ausführlichen Berichte. Ich hätte vielleicht schreiben sollen, dass es sich nicht direkt um meinen PC handelt, sondern aus der Familie. Beruflich/als auch Privat bin ich zeitlich sehr eingeschränkt, wodurch ich leider noch nicht die Zeit dafür finden konnte. Ich berichte sobald es mir möglich ist.

 

[emlyn d.]

Wenn ich auf Details mittels Avira gehe, fängt er einen Scan an, aber er wird nicht vollständig durchgescannt.

Hallo,
die Fundmeldung ist wahrscheinlich schon ausreichend, um zu beurteilen, ob es sich um ZeroAccess handelt.
Habe im Moment keine Kiste hier, auf der Antivir installiert ist, aber wenn ich mich recht entsinne, sind die Meldungen unter Ansicht/Übersicht/Ereignisse zu finden.
Vielleicht kann ein Antivir-User das bestätigen.

 

[Ledeker]

Da der PC schon seit einiger Zeit an Performance verloren hat, habe ich Ihn kurzerhand formatiert und frisch aufgesetzt. Vorher hatte ich die wichtigsten Daten gesichert.
Danke an alle für die zahlreichen Tipps!