Hallo,
gestern Abend meldete mir Avira TR/Alureon.FL.2 sei auf meinem Computer. Habe das Ding in die Quarantäne geschickt. Kurz darauf gingen zig Fensterlein mit Fehlermeldungen auf und ich System Fix wurde gestartet. Ehrlich gesagt weiß ich nimmer ob ich da irgendwas geklickt habe. Außerdem sind diverse Sachen vom Desktop verschwunden sowie Einträge im Startmenu. Habe Systemwiederherstellung zwei oder drei Mal probiert. Beim dritten Mal dann auch geglaubt, dass es nicht geht.
Nun bin ich im SafeMode und habe Malwarebytes, Eset, OTL und defogger installiert.
Angefangen habe ich mit Malwarebytes (Quickscan). Es wurde zwei Dinge gefunden, die ich auch gelöscht habe. Danach habe ich Eset laufen lassen mit dem Ergebnis, dass auch etwas gefunden wurde. Habe dort aber nichts unternommen. Zum Schluss defogger und OTL laufen lassen. Defogger hab ich nicht verstanden und finde auch nur ein Re-enable File.
Wie gesagt, alles im SafeMode gescannt. Kein Plan, ob das so richtig ist, aber im normalen Modus sind mir zuviele Fenster und außerdem startet sich der PC dann auch ständig neu.
Alle Logfiles sind im Anhang.
Auf C:/ sind alle meine Daten und Windows 7 64-bit, J:/ und M:/ sind externe Platten.

Ich mag nicht alles platt machen und neu installieren. Bekomme ich das Ding auch so raus?

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [FNFPDoJienHIJQ.exe] C:\ProgramData\FNFPDoJienHIJQ.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2011.12.09 00:54:57 | 000,000,000 | ---D | C] -- C:\Users\Janny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix
[2011.12.09 01:40:21 | 000,000,464 | ---- | M] () -- C:\ProgramData\or858uJSL8w17G
[2011.12.09 01:33:51 | 000,000,296 | ---- | M] () -- C:\ProgramData\~or858uJSL8w17G
[2011.12.09 01:33:51 | 000,000,184 | ---- | M] () -- C:\ProgramData\~or858uJSL8w17Gr
[2011.12.09 00:54:58 | 000,000,649 | ---- | M] () -- C:\Users\Janny\Desktop\System Fix.lnk
[2011.12.09 00:54:47 | 000,349,832 | ---- | M] () -- C:\ProgramData\or858uJSL8w17G.exe
:Files
:Commands
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

rechtsklick auf den desktop eigenschaften, hintergrundbild, wähle dir eines aus falls es fehlt
lade unhide:
http://www.trojaner-board.de/54791-a...ner-board.html

Danke für deine schnelle Hilfe.

Also...
OTL mit kopierten Text gestartet, sofort nach Neustart gefragt und auch ausgeführt.
Windows im normalen Modus gestartet.
Als erstes fragte Malwarebyte, ob ich zulassen möchte, wenn die Software was an meinem Rechner ändert. Hab ich "Ja" geklickt.
Danach gingen zwei Fenster auf von Catalyst Control Center...Host application funktioniert nicht mehr.
Avira startete auch gleich dreimal den Scanvorgang. Habe ich alle abgebrochen.
Unhide.exe ausgeführt. Sieht auf den ersten Blick okay aus. Nur meine Taskleiste verzeichnet Verluste und auch mein Sidebar-Kalender ist verschwunden. Naja, muss ich halt wieder neu einstellen.
Die Daten habe ich hochgeladen und hier ist auch die Textdatei (Hoffe, du meintest die. Was anderes habe ich nicht gesehen.)

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\FNFPDoJienHIJQ.exe deleted successfully.
C:\ProgramData\FNFPDoJienHIJQ.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
C:\Users\Janny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix folder moved successfully.
C:\ProgramData\or858uJSL8w17G moved successfully.
C:\ProgramData\~or858uJSL8w17G moved successfully.
C:\ProgramData\~or858uJSL8w17Gr moved successfully.
C:\Users\Janny\Desktop\System Fix.lnk moved successfully.
C:\ProgramData\or858uJSL8w17G.exe moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.31.0 log created on 12092011_121949
         

War's das jetzt? PC jetzt wieder sauber?

immer mit der ruhe :-)
danke erst mal für den upload.
dann öffne mal malwarebytes, logdateien, poste alle bisherigen scan logs.
öffne avira, ereignisse, poste die im titel genannte fundmeldung, oder falls sie beim scannen aufgetaucht ist, avira, berichte.
dann:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Ähm, hätte da mal ein mini winzig kleines Problem...

Combofix wie gewünscht installiert und ausgeführt...Extra auch vorher die Anleitung ausgedruckt, damit ich nix verpeile.
Rechner wurde neu gestartet und Log angezeigt, ABER egal was ich jetzt versuche auszuführen (z. B. Firefox, IE, WindowsExplorer)....es geht nix.

Fehlermeldung:
C:\Pfad für das entsprechende Programm
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Was mache ich denn jetzt? ComboFix deinstallieren traue ich mich nicht.

Bin jetzt erstmal mit Lappy online und habe es geschafft die Logdatei per Teamviewer (wenigstens ein Programm was funktioniert) zu übertragen und stelle sie in den Anhang.

Von Malwarebytes gibt es keine weiteren Logs. Nur das in meinem ersten Posting. Bei Avira bekomme ich auch eine Fehlermeldung und per Teamviewer finde ich keine Datei in der etwas über gestern Abend steht. Ich hatte vor Combofix in die Ereignisse geschaut, da waren es vier oder fünf. Malwarefund TR/Alureon.FL.2.

ja ich brauch die meldungen von avira und zwar komplett
pc neustarten dann verschwindet die meldung wieder.

Ah, okay. Hatte mich den Neustart auch nicht getraut. Hatte in der Anleitung nichts dazu gefunden.

Die Meldungen hab ich in eine Textdatei gepackt.

danke,

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
lösche niths, nur log posten

Nix gefunden.

wie läuft das gute stück?

Soweit ganz gut, würd ich jetzt mal behaupten. Nur braucht Windoof lange zum Hochfahren. Kann aber sein, dass das vorher auch schon war und ich das nur nicht richtig wahrgenommen habe.

na wem wenn nicht dir solls auffallen? :-)
aber gucken wir mal weiter
lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Okay, das kann dann jetzt mal einen Moment dauern. Aber DANKE bis hierher.

So, hier dann die Liste...
k. A. = keine Ahnung ob ich das brauch oder was das ist

Ich deinstallier schon mal die Programme wo ich mir absolut sicher bin, dass ich sie nimmer brauche und auch weiß, was das ist.

alles unnötige deinstaliert?