Trojaner Sirefef, Google Weiterleitungen, kein Netzwerkzugang mehr
 

Hallo,

ich habe hier einen Windows XP SP3 Home Edition PC, der seit einigen Tagen riesige Probleme, verursacht durch einen Trojaner, hat.
Als aktiver, ständig aktueller Virenschutz ist Free AntiVir installiert. Gesurft wird leider mit Internet Explorer 8.

Das ganze begann so:
Tag 1: Google ließ sich nicht mehr aufrufen, der Rest der Welt schon (Lesezeichen, Direkteingabe), keine Virenmeldung, nur dieses Symptom

Daraufhin ließ ich Kaspersky drüberlaufen (nach kurzer Google Suche). Es wurden einige Objekte gefunden. Bereinigt. Schön und gut dachte ich. Google geht wieder. Tiptop.

Tag 2: AntiVir hat wohl geupdatet (war jedoch immer täglich aktuell!), nun ständige Trojanermeldungen. Keine Symptome. Nachdem man die Trojanermeldung weggeklickt hat, bzw. in Quarantäne verschoben hat, kam die nächste, und wieder die nächste, ... Jeder der Trojaner steckte dabei in C:\Windows\System32\***.
Nungut, daraufhin, mit AntiVir alles scannen lassen, keine Änderung, immer noch ständige Virenmeldungen. Ebenso mit Malwarebytes alles checken lassen.

Tag 3: Nach Malwarebytes und erneuter AntiVir Suche keine Virenmeldungen mehr, dafür allerdings geht kein Netzwerk mehr. Nichts. LAN-Verbindung ist aktiv, allerdings 0 Paket Gesendet, 0 Empfangen. Keine Änderung nach De- und Reaktivieren.

Nach all den gescheiterten Versuchen wende ich mich nun sicher hier. Nach Aussagen AntiVirs handelt es sich um TR\Sirefef.BP.1 (überwiegend), TR/rootkit.Gen2 (wenige), TR/ATRAPS.Gen2 (wenige). Da ich denke, dass der Ursprung wichtig ist, poste ich noch die ersten AntiVir-Funde (Anhang).

Insgesamt hat AntiVir 152 Objekte in Quarantäne, Malwarebytes viele weitere bereits gelöscht.

Natürlich ebenso die 3 Logs im Anhang.
Ich hoffe, irgendjemand kann mir helfen und ist nicht von dem Riesentext erschlagen :kloppen:

Schonmal vielen Dank im Voraus für jegliche Hilfe :heilig:

Mit vielen freundlichen Grüßen,
Keyno

Neu aufsetzen wäre übrigens die aller- allerletzte Alternative, weil es sich um den PC von einem unerfahrenen Freund handelt. D.h. jeder Versuch, den Virus runterzuwerfen, ist sehr angebracht :)
Noch mal ganz kurz: Das aktuelle Problem ist, dass gar kein Internet funktioniert, weder WWW, noch LAN.

hi, du sagst über 100 objekte in der quarantäne, da ist jeder versuch da noch was zu machen nutzlos, das system gehört neu gemacht.
nutzt er den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches? (wichtige frage) :-)

Hallo,

sicher, dass es keine Möglichkeit mehr gibt? Malwarebytes hat bei dem letzten vollständigen Scan gar nichts mehr gefunden, allerdings blockiert irgendetwas immer noch das Netzwerk. Eigtl. müsste das doch leicht behebbar sein, oder?

Er benutzt den PC nur für E-Mails (privat).

Neu aufsetzen ist nun einmal für einen Laien sehr unpraktisch (m. E.). ;)

MfG Keyno

das ist doch quark, neu aufsetzen ist einfach, nur weil mans noch nicht gemacht hatt, heißt es nicht das man es nicht lernen kann.
also:
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo,

sicher, ich hab schon ca. 1000x neu installiert, nur finde ich es halt umständlich, insbesondere da er ein Laie ist, und dann wieder alles einstellen muss. Wie gesagt, nur wenn es wirklich KEINE Alternative mehr gäbe.

Kann nicht irgendwer entdecken, welcher Prozess vll. die Ursache ist?

Viele Grüße,
Keyno

es gibt keine vernünftige alternative, du sagst doch selbst er hat über 100 funde, das ist ja wohl nen deutliches zeichen.
und dazu kommen noch die anderen programme, die ebenfalls was gefunden haben.

Sicher, trotzdem ist es ja bereits gelungen, alle Funde zu löschen. Nur irgendein Überbleibsel scheint halt noch Probleme mit dem Netzwerkkonfiguration zu machen.

wie kommst du darauf das alles gefunden wurde, kein programm erkennt 100 %.
und so viel zeit wie wir jetzt damit verbringen darüber zu diskutieren, wäre die formatierung doch schon längst durch.
wenn auf nem pc 200 funde gemacht werden, ist es zeit ihn neu aufzusetzen. alles andere wäre unverantwortlich, denn solche systeme sind häufig für spam versand etc zuständig, wenn sie denn internet verbindung haben.

Die Formatierung ist nicht alles....

Bis zur Geräteneukonfiguration kannste locker nen Tag verbringen. Hab keine Lust jedes Szenario neu durchzumachen.

Außerdem: Virenscan: 1 Minute rumklicken, der Rest macht der PC, Neuinstalltion -> riesen Aufwand im Vergleich zu den Einstellungen, Konfiguration, aber wenns nicht anders geht...

Wenn kein aktiver Prozess offen ist, der Spam-Mails versendet, versendet er auch keine Spam-Mails. Für was kann man die laufende Prozesse auf deren Signaturen überprüfen?

du sprichst von sichtbaren prozessen... nicht alles was auf dem pc läuft muss sichtbar sein.
und vor allem hast du den pc seit 3 tagen in der mache, also wäre ein tag immernoch besser gewesen. fakt ist, das system ist nicht zu retten.