Hi,

seit einiger Zeit hatten sich Indizien angehäuft, dass mein Rechner mit Viren o.ä. befallen ist (z.B. seltsame Programmnamen im Taskmanager, Warnungen windowseigener Sicherheitssoftware, Kaspersky Testscan).

Da aber das ganze nicht wirklich zur Ruhe kam, bin ich hier bei Euch auf die Empfehlung gestoßen, Malwarebyte zu verwenden.

Malwarebyte fand bei einm Quickscan

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien: 3
C:\$Recycle.Bin\S-1-5-21-2039332925-1863363537-2811814650-1005\$ROW51XQ.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Axel\AppData\Local\Temp\sgwe3t.exe (Exploit.Drop.COD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Axel\AppData\Local\Temp\~!#9C73.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

ein anschließender Komplettscan fand danach noch

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien: 1
C:\Users\Axel\AppData\Local\{99f19485-3445-0935-4173-0958f8ab3dd1}\n (Trojan.Sirefef) -> Löschen bei Neustart.
         

Der Sirefef Trojaner war allerdings nach jedem Start des System ziemlich schnell wieder zu finden. Zudem telefnoierte er ständig mit den folgenden IP-Adressen

• 31.184.245.120 (Vereinte arabische Emirate)
• 88.254.254.254 (Türkei)
• 117.254.254.254 (Indien)
• 119.244.254.254 (China)
• 91.188.37.21 (Lettland)
• 78.41.203.120 (Niederlande)

Dabei wurden die Adressen in der Türkei, China und Indien im Abstand von 5-20 s angewählt, immer vom gleichen Port eines Explorer-Prozesses. Die Adresse in Lettland wurde sporadisch angesprochen, angeblich ist dort ein Mailserver für Viagra-Werbung u.ä.

Die Adressen in den Emiraten (gab drei) und in den Niederlanden wurden von einem svchost-Prozess mit jeweils wechselnden Ports im Abstand von 5 bis 25 min angesprochen.

Zudem kam es immer wieder zu Musikeinspielungen, deren Quelle lediglich als ein svchost-Prozess identifiziert werden konnte.

Lauf Microsoft ersetzt der Sirifef einen Treiber und ist somit immer wieder im System präsent. Bei mir ist zumindest das Musikeinspielen, das Telefonieren und das Auffinden des Trojaners beim Fullscan jetzt gestoppt worden. Allerdings hatte der infizierte Nutzer keine Admin-Rechte und das erneute Erscheinen des Trojaners auf dem Datenträger war erst behoben, als der Scan mit einem anderen Benutzer durchgeführt wurde.

Scheinbar ist der Trojaner ja nun weg, allerdings machte das offensichtliche Abspielen von Musik und die damit verbundene Aufmerksamkeit eigentlich nur dann Sinn, wenn das Programm sich ab da nicht mehr wirklich entfernen läßt.
Vielleicht sind die Infos hier ja für den ein oder anderen von Nutzen.

Meine Frage: Komme ich ohne das Neuaufsetzen meines Rechners aus?

Der sirefef war noch weiter aktiv ...

Unter anderem verbiegt er den Schlüssel HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} auf sich (sollte auf shell32.dll verweisen) und "überschreibt" damit den Eintrag unter HKEY_CLASSES_ROOT.

Zudem konnte er sich heute vor Malwarebytes verstecken! Malwarebytes hat die Dateien nicht mehr gefunden, in denen die Trojaner enthalten waren! Ich hoffe mal, da führt nicht ne Art Bot Gegenmaßnahmen auf meinem Rechner gegen seine Entfernung durch, so mutet es fast an ...

Zur Zeit keine Aktivitäten mehr entdeckt. Da ich kein Linux booten kann zur weiteren Prüfung (evtl. wegen der SSD) muss ich erstmal das klären.

Thx, pls -> close