Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: System noch sicher nach Befall durch sirefef?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.08.2012, 14:21   #1
Eberwurz
 
System noch sicher nach Befall durch sirefef? - Standard

System noch sicher nach Befall durch sirefef?



Hi,

seit einiger Zeit hatten sich Indizien angehäuft, dass mein Rechner mit Viren o.ä. befallen ist (z.B. seltsame Programmnamen im Taskmanager, Warnungen windowseigener Sicherheitssoftware, Kaspersky Testscan).

Da aber das ganze nicht wirklich zur Ruhe kam, bin ich hier bei Euch auf die Empfehlung gestoßen, Malwarebyte zu verwenden.

Malwarebyte fand bei einm Quickscan
Code:
ATTFilter
Infizierte Dateien: 3
C:\$Recycle.Bin\S-1-5-21-2039332925-1863363537-2811814650-1005\$ROW51XQ.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Axel\AppData\Local\Temp\sgwe3t.exe (Exploit.Drop.COD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Axel\AppData\Local\Temp\~!#9C73.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         
ein anschließender Komplettscan fand danach noch
Code:
ATTFilter
Infizierte Dateien: 1
C:\Users\Axel\AppData\Local\{99f19485-3445-0935-4173-0958f8ab3dd1}\n (Trojan.Sirefef) -> Löschen bei Neustart.
         
Der Sirefef Trojaner war allerdings nach jedem Start des System ziemlich schnell wieder zu finden. Zudem telefnoierte er ständig mit den folgenden IP-Adressen
  • 31.184.245.120 (Vereinte arabische Emirate)
  • 88.254.254.254 (Türkei)
  • 117.254.254.254 (Indien)
  • 119.244.254.254 (China)
  • 91.188.37.21 (Lettland)
  • 78.41.203.120 (Niederlande)

Dabei wurden die Adressen in der Türkei, China und Indien im Abstand von 5-20 s angewählt, immer vom gleichen Port eines Explorer-Prozesses. Die Adresse in Lettland wurde sporadisch angesprochen, angeblich ist dort ein Mailserver für Viagra-Werbung u.ä.

Die Adressen in den Emiraten (gab drei) und in den Niederlanden wurden von einem svchost-Prozess mit jeweils wechselnden Ports im Abstand von 5 bis 25 min angesprochen.

Zudem kam es immer wieder zu Musikeinspielungen, deren Quelle lediglich als ein svchost-Prozess identifiziert werden konnte.

Lauf Microsoft ersetzt der Sirifef einen Treiber und ist somit immer wieder im System präsent. Bei mir ist zumindest das Musikeinspielen, das Telefonieren und das Auffinden des Trojaners beim Fullscan jetzt gestoppt worden. Allerdings hatte der infizierte Nutzer keine Admin-Rechte und das erneute Erscheinen des Trojaners auf dem Datenträger war erst behoben, als der Scan mit einem anderen Benutzer durchgeführt wurde.

Scheinbar ist der Trojaner ja nun weg, allerdings machte das offensichtliche Abspielen von Musik und die damit verbundene Aufmerksamkeit eigentlich nur dann Sinn, wenn das Programm sich ab da nicht mehr wirklich entfernen läßt.
Vielleicht sind die Infos hier ja für den ein oder anderen von Nutzen.

Meine Frage: Komme ich ohne das Neuaufsetzen meines Rechners aus?

Alt 08.08.2012, 22:58   #2
Eberwurz
 
System noch sicher nach Befall durch sirefef? - Standard

System noch sicher nach Befall durch sirefef?



Der sirefef war noch weiter aktiv ...

Unter anderem verbiegt er den Schlüssel HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} auf sich (sollte auf shell32.dll verweisen) und "überschreibt" damit den Eintrag unter HKEY_CLASSES_ROOT.

Zudem konnte er sich heute vor Malwarebytes verstecken! Malwarebytes hat die Dateien nicht mehr gefunden, in denen die Trojaner enthalten waren! Ich hoffe mal, da führt nicht ne Art Bot Gegenmaßnahmen auf meinem Rechner gegen seine Entfernung durch, so mutet es fast an ...
__________________


Alt 16.08.2012, 15:58   #3
Eberwurz
 
System noch sicher nach Befall durch sirefef? - Standard

System noch sicher nach Befall durch sirefef?



Zur Zeit keine Aktivitäten mehr entdeckt. Da ich kein Linux booten kann zur weiteren Prüfung (evtl. wegen der SSD) muss ich erstmal das klären.

Thx, pls -> close
__________________

Antwort

Themen zu System noch sicher nach Befall durch sirefef?
exploit.drop.cod, ip-adresse, recycle.bin, sirefef, spielen, trojan.agent, trojan.lameshield, trojaner spielt musik ab



Ähnliche Themen: System noch sicher nach Befall durch sirefef?


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. Befall durch Web Cake nach Installation von qtrax
    Log-Analyse und Auswertung - 14.08.2013 (5)
  3. System noch mit Schadsoftware befallen? Scan-tools um dies auszuschließen und wirklich sicher zu gehen
    Plagegeister aller Art und deren Bekämpfung - 04.05.2013 (2)
  4. virus/wurm entdeckt durch eset und gelöscht, aber bin mir nicht sicher ob das system sauber ist
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (11)
  5. Ist mein Windows 7 System noch sicher?
    Log-Analyse und Auswertung - 13.08.2012 (21)
  6. Virenfund Trojan.Generic.7552386 und Trojan.Sirefef.FY nach GVU-Befall
    Log-Analyse und Auswertung - 03.08.2012 (15)
  7. TR/Sirefef BV 2 Befall auf .dll Dateien im System
    Log-Analyse und Auswertung - 24.04.2012 (13)
  8. kein Internetzugang, vermutlich nach Befall von sirefef.? (=diverse Buchstaben)
    Plagegeister aller Art und deren Bekämpfung - 19.04.2012 (34)
  9. Avira meldet EXP/2011-3544.BY.1, ist mein System noch sicher?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (5)
  10. (2x) Weiterleitung nach abnow.com -PC noch sicher ??
    Mülltonne - 05.03.2012 (5)
  11. Trojaner-Befall durch Trojan:Win64/Sirefef.k .d .e
    Log-Analyse und Auswertung - 03.01.2012 (1)
  12. Ist mein System noch sicher? Häufige Antivir-(Fehler?)Meldungen
    Log-Analyse und Auswertung - 22.12.2011 (16)
  13. Nach Befall durch Gema - UKash Trojaner PC wie tot!
    Plagegeister aller Art und deren Bekämpfung - 21.11.2011 (11)
  14. Logfileauswertung nach Befall durch BKA Trojaner.
    Log-Analyse und Auswertung - 01.07.2011 (4)
  15. Avast findet trojaner...frage: ist mein system noch sicher???
    Mülltonne - 29.11.2008 (1)
  16. Win32:Gothic[Trj] System noch sicher??
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (1)
  17. WoW Account geklaut! System noch sicher?
    Log-Analyse und Auswertung - 25.01.2007 (4)

Zum Thema System noch sicher nach Befall durch sirefef? - Hi, seit einiger Zeit hatten sich Indizien angehäuft, dass mein Rechner mit Viren o.ä. befallen ist (z.B. seltsame Programmnamen im Taskmanager, Warnungen windowseigener Sicherheitssoftware, Kaspersky Testscan). Da aber das ganze - System noch sicher nach Befall durch sirefef?...
Archiv
Du betrachtest: System noch sicher nach Befall durch sirefef? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.