Sirefef Virus entfernen [trojan.sirefef sd6]

Google Anzeigen

"Seit kurzem kursiert ein neuer Rootkit-Typ namens „ZeroAccess“ oder auch „Sirefef“ im Netz. […] der Schädling tauscht systemkritische Dateien aus und verändert Kernel-Strukturen. Zudem deaktiviert ZeroAccess installierte Security-Software."
Quelle: http://www.bitdefender.de/news/rootkit-zeroaccess-entfernen:-bitdefender-stellt-kostenloses-removal-tool-bereit-2223.html

Was macht der Sirefef Virus?
– Google redirects
– Anti-virus und/oder anti-spyware Programme werden deaktiviert
– Der Registrierungseditor kann nicht geöffnet werden
– Die Systemwiederherstellung geht nicht mehr
– Sämtliche Windows Ordner & Dateien öffnen nicht mehr
– Die DSL-Verbindung ist extrem langsam
– Einrichtung von einer "Backdoor" (Hintertürchen) durch die sensible Informationen
wie Passwörter und Bankdaten geklaut werden
– Der MBR (Master Boot Rekord) bzw. Partitionssektor wird lahmgelegt

Rootkit ZeroAccess entfernen

Was ist Sirefef? (sirefef removal)

Sirefef (aka Trojan.Dropper.Sirefef) stammt aus einem Mehrkomponenten-Virenverbund, der die bei Suchergebnissen angezeigten Pay-per-Click-Anzeigen durch Links zu Badware-Seiten ersetzt. Der Sirefef greift den Computer dabei auf unterschiedliche Weise an, meistens jedoch wird der Nutzer auf ein angeblich fehlendes Update (zB. Jave-Updates für Firefox) hingewiesen. Mit dem Download gelangt der Trojaner auf den Rechner und schleust meistens noch zusätzliche Malware wie zB. Keylogger in das System. Oftmals kommt es bei AdWare-Varianten auch zum Aufpoppen von Werbelayern die den ganzen Bildschirm befüllen können. Auch möglich: Der Trojaner startet im Hintergrund Downloads bei kostenpflichtigen Download-Portalen. Der Trojaner wird als hoch-bösartig eingestuft, denn er zerstört auch Daten auf der Festplatte und/oder verschlüsselt diese. Desweiteren versucht Sirefef persönliche Daten auf dem Computer auszuspähen, dazu gehören Bankdaten, Usernames und ihre Passwörter. Sobald der Computer infiziert wurde, werden Einträge in der Registry getätigt und ein sogenannter Remote-Zugang ins Internet hergestellt. Meistens daran zu erkennen, dass bekannte Portale zur Virenreinigung nicht mehr im Browser aufrufbar bzw. über die Suche im Web nicht mehr zu finden sind. Täglich werden Nutzer-PC´s mit diesem Trojaner infiziert, da er sich allein schon durch Seitenaufruf mithilfe eines versteckten iFrame-Elements installieren kann, sofern die Website zuvor komprommitiert wurde (durch WordPress-Versionen zB. die nicht auf dem neusten Stand sind) und zudem der Computer nicht ausreichend geschützt ist. Sie sollten also sehr vorsichtig sein, wenn Ihnen der Browser mitteilt, dass bestimmte Funktionen einer Website nicht genutzt werden können weil zum Beispiel ein Adobe Flash oder Windows Media player update erforderlich sei. Dahinter könnte der Trojaner Sirefef stecken.

Wie merke ich, dass mein Computer mit diesem Virus infiziert ist?

1. Wenn die Suchergebnisse (SERPs) in Google oder Yahoo! zu einem Redirect (Weiterleitung) führen, sich der Desktop-Hintergrund oder die im Browser eingestellte Startseite selbstständig ändern, haben Sie sich höchstwahrscheinlich AdWare eingefangen.

2.Wenn der Computer extrem langsam arbeitet, kann dies daran liegen, dass die Prozesse von im Hintergrund lafender Trojaner Rechenleistung verbrauchen. Dies führt, je nach dem wie viele Trojaner aktiv sind, zu Systemabstürzen und langsamen Internetverbindungen.

3. Wenn sich ständig Pop-up-Werbung einblendet, die sich nicht blocken lässt. In diesem Fall hat der Trojaner Sirefef bereits die Reistrierungsdateien infiltriert. Wenn Sie als Benutzer mit Admin-Rechten surfen, sind wahrscheinlich alle anderen Benutzerkonto ebenfalls vom Virus verseucht.

Bemerkenswert an Sirefef ist zudem, dass er Systemdateien auf der Festplatte umbenennt oder verschlüsselt und die Nutzung des Computers damit unmöglich macht. Die Namen der Dateien werden zufällig verschlüsselt, das macht es für Virenprogrammer (TDSS Killer oder Spyhunter) umso schwerer auf seine Schliche zu kommen. Finden sich auf dem Computer Systemdateien wie logevent.dll oder win32k.sys hat sich wahrscheinlich Malware auf dem PC angesiedet. Sirefef und andere Viren können durch kostenpflichtige Antivirentools wie zB. PC Tools mit Antivirus (PC Tools Spyware Doctor mit Antivirus 2012) aufgespürt werden. Sie sollten wirklich über den Kauf einer Lizenz nachdenken, denn Vorbeugen ist besser als heilen. Alle 5 Minuten werden neue Viren und Varianten von bekannten Viren entdeckt, daher kann es natürlich passieren, dass auch kostenpflichtige Virentools irgendwann nicht mehr korrekt arbeiten weil der Virus deren Schwachstelle entdeckt hat.

Giedrius Majauskas, http://www.2-viruses.com/remove-sirefef

Keylogger entfernen

Ardamax keylogger – Trojan-Spy.Ardamax!sd6 ("Beliebtes" Mitbringsel des Sirefef Virus)

Der Trojan-Spy.Ardamax!sd6 ist eine besonders bösartige Key-Logger-Anwendung, die häufig von Hackern bei der Systemspionage eingesetzt wird. Ein KeyLogger zeichnet alle Computer-Aktivitäten wie Passwort-Eingaben und Kreditkarten-Transaktione bis ins Detail auf um die gewonnenen Daten anschließend übers Internet an Cyberkriminelle zu senden. Die Version Sd6 beschädigt zudem den Rechner, indem sie Daten löscht und weitere Malware ins System einschleust. Es wird daher dringend empfohlen, Trojan-Spy.Ardamax so schnell wie möglich vom PC zu entfernen.
Um den Trojaner zu löschen, öffnen Sie den Registrierungseditor und löschen dort folgende Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{303EEA78-CF11-41F0-268A-DC602412A486}\Control

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{303EEA78-CF11-41F0-268A-DC602412A486}\InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{303EEA78-CF11-41F0-268A-DC602412A486}\MiscStatus

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{303EEA78-CF11-41F0-268A-DC602412A486}\ProgID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{303EEA78-CF11-41F0-268A-DC602412A486}\VersionIndependentProgID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8C7EF9D4-19EA-7714-8117-D2C4CFF4D200}\1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8C7EF9D4-19EA-7714-8117-D2C4CFF4D200}\1.0\0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ardamax Keylogger

HKEY_CURRENT_USER\Software\ASProtect\SpecData

http://www.removemalwarespyware.com/how-to-remove-trojan-spy-ardamaxsd6-trojan-spy-ardamaxsd6-manual-removal-guide/

Registrierungseditor öffnen
Klicken Sie im Startmenü auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.

http://technet.microsoft.com/de-de/library/cc758067%28v=ws.10%29.aspx

Systemwiederherstellung starten
Starten Sie den Computer im abgesicherten Modus mit Eingabeaufforderung. Halten Sie dafür beim Neustart des Computers F8 gedrückt. Geben Sie an der Eingabeaufforderung rstrui.exe ein, und drücken Sie dann die EINGABETASTE.

http://windows.microsoft.com/de-DE/windows-vista/Start-System-Restore-from-a-command-prompt

Windows neu aufsetzen nach Trojaner

Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen.
Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

Dieser Aussage stimme ich vorbehaltlos zu, deshalb empfiehlt sich wohl nur noch:

Windows neu installieren ohne CD »

http://answers.microsoft.com/de-de/windows/forum/windows_7-system/betriebssystem-neu-installieren/c8ebe15b-7472-e011-8dfc-68b599b31bf5?auth=1
Facebook Like
Autor: Martin Osman Hamann »

Martin Osman Hamann bloggt hier schon seit 2009 und es ist immer noch so aufregend wie am Ersten Tag. Was wahrscheinlich daher rührt weil er bisher nur 1 Artikel oder so veröffentlicht hat :)

Diesen Blog-Autor abonnieren:

Auf Facebook teile ich persönliche Dinge und stelle neue Projekte vor
YouTube nutze ich zurzeit noch nicht voll aus, kann aber noch kommen
Auf Google+ poste ich vorallem lustige Gifs und krankes Zeug
  Auf Twitter retweete ich lustige Tweets und twittere meine Posts
  Auf SoundCloud reposte ich Songs die ich gerne höre & lege Listen an
This post has been viewed 3.991 times

3 Kommentare

doFollow
  1. Mensch Martin, das sind ja ganz böse klingende Attacken. Hast Du eine Empfehlung für einen bestimmten Virenscanner? Ich habe Norton drauf, denke damit ganz gut bedient zu sein. Aber genau weiss man ja nie… Jetzt hast Du mir ehrlich etwas Angst gemacht…

  2. Meine Wg-Kollegin hatte auch letztens so nen fiesen Trojaner. Der hat ihr irgend nen Schrott von wegen Pornos vorgeworfen. (Es wurde sogar das eigenen Webcambild gezeigt.) Für eine Zahlung sollte die Sperrung aufgehoben werden können.
    Ich habe einfach die System-Wiederherstellung genutzt und weg war der Trojaner :).

  3. yo kenne ich das vieh habe ich für ungefähr 2 Monaten auf mein Laptop, es wird verdächtig wenn bei der kostenlose Version von Avira auf einmal der Pop Up nicht mehr erscheint. Not OP hat sicher über 6 Std gedauert, an den Tag habe ich mich endgültig von Windoes gelöst und bin jetzt mit Lubuntu unterwegs, Lappie läuft wieder alles wieder gut 😉

Die Kommentarspalte wurde geschlossen.