Beim Surfen auf einigen unbedenklich erscheinenden Webseiten erhielt ich am 18.06.19 eine Fundmeldung von Avira Antivirus Pro, dass ein Muster des Trojaners Dropper.Gen im Firefox-Cache gefunden und in Quarantäne verschoben worden sei, Alias
Avast: Win32:Malware-gen
Dr. Web: Trojan.BtcMine.688
ESET: NSIS/CoinMiner.P trojan
G Data: Trojan.AgentWDCR.ERF
Kaspersky Lab: HEUR:Trojan.NSIS.BitMin.gen
Microsoft: Trojan:Win32/CoinMiner!bit
Bei Avira findet sich eine Aufstellung, welche Änderungen dieser Trojaner vornimmt:
https://www.avira.com/de/support-threats-summary/tid/3647/threat/TR.Dropper.Gen
Die dort genannten Prozesse und Dateien habe ich nicht gefunden (was sicherlich nicht heißen muss, dass es keine gibt), aber die aufgelisteten Registry-Schlüssel wie z. B.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
>HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
>HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\%executed_sample_name%_RASAPI32
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\%executed_sample_name%_RASAPI32 ("EnableFileTracing": "0x00000000") ("EnableConsoleTracing": "0x00000000") ("FileTracingMask": "0x0000FFFF") ("ConsoleTracingMask": "0x0000FFFF") ("MaxFileSize": "0x00001000") ("FileDirectory": "%windir%\tracing") usw.
Dann habe ich einen USB-Stick mit dem neuen Desinfect erstellt und mit allen 4 Scannern getestet, wobei keiner etwas von diesem Trojaner fand.
Auch ein vollständiger Scan mit Avira fand nichts.
Irgendwelche Auffälligkeiten gab es bisher nicht, der PC arbeitet schnell und stabil.
Heute (19.06.19) habe ich im abgesicherten Modus eine Systemwiederherstellung auf den 12.06.19 ausgeführt. Die verdächtigen Registry-Einträge sind jedoch noch immer bzw. schon wieder vorhanden.
Ein Tool wie Process Monitor (MS Sysinternals) hatte ich leider nicht drauf, so dass ich nicht weiß, wann und wodurch diese Registry-Einträge vorgenommen wurden.
Ich befürchte nun, dass mein PC bereits kompromittiert ist, auch wenn noch keine eigentliche Infektion oder Störung erkennbar ist.
Beispielsweise könnte ich auf manipulierte Webseiten umgeleitet werden und von dort
könnte nach und nach immer mehr Schadcode nachgeladen werden.
Tastatureingaben samt Passwörtern könnten ausspioniert werden und auch Erpressung durch Verschlüsselung soll mit diesem Trojaner möglich sein, im Extremfall also der Totalverlust sämtlicher Daten.
Meine Fragen:
Stammen die genannten Registry-Einträge immer von einem Trojaner oder könnten sie auch von "normalen" Programmen kommen (evtl. Intel Treiber- und Support-Assistent?)?
Vielleicht ist jemand so nett, und schaut mal, ob er auch solche Einträge hat.
Vielleicht weiß jemand, was diese Einträge bewirken oder wofür die sind?
Auch über Infos zu Dropper.Gen wäre ich dankbar, z. B. ob es ein zuverlässiges Removal-Tool zum Entfernen des Schädlings gibt.
Danke!
Das Posting wurde vom Benutzer editiert (19.06.2019 16:05).