Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus: Win32/Alureon.G

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.04.2010, 18:06   #1
2012
 
Virus: Win32/Alureon.G - Icon17

Virus: Win32/Alureon.G



Hallo, ich versuche die ganze Zeit mit Microsoft Security Essential diesen Virus Virus: Win32/Alureon.G zu entfernen und dieser taucht immer und immer wieder, habe das grösstenteils vom Computer bereinigt, jetzt stört mich nur dieser eine Virus den nach dem entfernen immer wieder auftaucht.

Hinzu kommt noch das das Update per Internet Explorer nicht mehr möglich ist nachdem ich Ihn wieder von neu installiert habe, sowie das aufrufen der Update Webseite auch nicht, server nicht verfügbar. Es öffnen sich in Firefox gewisse Fenster wie von selbst.

Hijack Log Datei:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:25, on 04.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\WebCam\M3000\M3000Mnt.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Dynamic\EmailValidator v2\emailval.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Dokumente und Einstellungen\*******\Desktop\windows-kb890830-v3.5.exe
c:\4cf460cd9db35ee111c2723203\mrtstub.exe
C:\WINDOWS\system32\MRT.exe
C:\Dokumente und Einstellungen\*******\Desktop\catchme.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\*******\Desktop\fsbl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=0110&m=aspire_one
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [M3000Mnt] Rundll32.exe M3000Rmv.dll ,WinMainRmv /StartStillMnt
O4 - HKLM\..\Run: [NotificationCenterLauncher] C:\Programme\Acer\Acer eRecovery Management\NotificationLauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [MSSE] "c:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DriverMax] "C:\Programme\Innovative Solutions\DriverMax\devices.exe" -agent
O4 - HKCU\..\Run: [DriverMax_RESTART] "C:\Programme\Innovative Solutions\DriverMax\devices.exe" -RESTART
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Acer\Acer VCM\Skype4COM.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Programme\Acer\Acer VCM\RS_Service.exe

--
End of file - 9827 bytes
         
Microsoft Tool zum entfernen bösartiger Software läuft noch, ich habe ausserdem den Ad-Awara, Catchme, F-Secure am laufen.

Blacklight Rootkit Eliminator brachte nix, hat nix gefunden.

Wie gehe ich am besten weiter, den dieser Virus bremst meine Arbeit erheblich.

Geändert von 2012 (04.04.2010 um 18:34 Uhr)

Alt 04.04.2010, 19:19   #2
Selicia
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Versuche es mal mit Malwarebytes Anti-Malware. Hatte fast gleiches Problem.

Hat bei mir geklappt. PC wieder ok.


Gruss

Selicia
__________________


Alt 04.04.2010, 19:22   #3
Selicia
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Versuch es mal mit Malwarebytes Anti-Malware .

Hatte ähnliches Problem

Pc wieder ok
__________________

Alt 06.04.2010, 11:40   #4
2012
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Malwarebytes habe ich auch vorher laufen lassen, jetzt aber habe ich extra nochmals 10 Stunden laufen lassen und zwei Viren weniger.

Einen Rootkit Agent und einen Worm.P2P

Das löst aber leider immer noch nicht meine Problem mit dem Update das nicht mehr geht und sogar im Internet Explorer ist nicht mal die Eingabe in die Suchmaschinen nicht möglich.

Werde es mal mit Windows Live One Care versuchen.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3954

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.04.2010 10:51:32
mbam-log-2010-04-06 (10-51-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 253730
Laufzeit: 10 Stunde(n), 39 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{A00B67A1-396A-46DA-8ECE-C1DD2E28B153}\RP210\A0044546.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{A00B67A1-396A-46DA-8ECE-C1DD2E28B153}\RP210\A0044565.exe (Worm.P2P) -> No action taken.
         

Alt 06.04.2010, 11:47   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Hallo,

Zitat:
Win32/Alureon.G zu entfernen und dieser taucht immer und immer wieder
Warum postest Du nicht die kompletten Pfadangaben? Erstell bitte auch RSIT Logfiles und poste sie.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.04.2010, 17:05   #6
2012
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Hi,

wie soll ich denn das machen wenn ich alle Programme beende und das Programmchen das due empfielst starte dann startet es wähle ich ok, verschwindet das Programm vom Desktop, scheint ein schlauer Virus zus seien als das Programm selber.

Ich habe den Windows Live One Care laufen lassen der meldet mir auch Alureon Gen, zeigt aber nicht wo und wie und kann es nicht entfernen.

So habe ich mal wieder Security Essential installiert somit konnte ich den Virus lokalisieren es befindet sich auf C:\Windows\System32\drivers\iastor.sys

So dann habe ich versucht es manuell zu entfernen, dieser taucht aber trozdem wieder auf, das gleiche passiert wenn ich es durch unlocker versuche zu entfernen, das komische ist es lässt sich danach das System nicht starten, weder im Sicheren Modus noch im normalen erscheint ein Bluescreen so das ich auf letze funktionierende Funktion des Xps zugreifen muss dann geht es weiter.

Jemand noch Vorschläge ?

Nei installieren kann ich vergessen, sonst hätte ich das schon längst gemacht, habe aber keine CD, beim kauf war leider die CD nicht dabei.

Online Scannen der Datei brachte folgendes Ergebniss:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.06 -
AhnLab-V3 5.0.0.2 2010.04.06 -
AntiVir 7.10.6.30 2010.04.06 -
Antiy-AVL 2.0.3.7 2010.04.06 -
Authentium 5.2.0.5 2010.04.06 -
Avast 4.8.1351.0 2010.04.06 -
Avast5 5.0.332.0 2010.04.06 -
AVG 9.0.0.787 2010.04.06 -
BitDefender 7.2 2010.04.06 -
CAT-QuickHeal 10.00 2010.04.06 -
ClamAV 0.96.0.3-git 2010.04.06 -
Comodo 4517 2010.04.06 -
DrWeb 5.0.2.03300 2010.04.06 -
eSafe 7.0.17.0 2010.04.01 -
eTrust-Vet 35.2.7410 2010.04.06 -
F-Prot 4.5.1.85 2010.04.05 -
F-Secure 9.0.15370.0 2010.04.06 -
Fortinet 4.0.14.0 2010.04.06 -
GData 19 2010.04.06 -
Ikarus T3.1.1.80.0 2010.04.06 -
Jiangmin 13.0.900 2010.04.06 -
Kaspersky 7.0.0.125 2010.04.06 -
McAfee-GW-Edition 6.8.5 2010.04.06 -
Microsoft 1.5605 2010.04.06 -
NOD32 5004 2010.04.06 -
Norman 6.04.11 2010.04.06 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.05 -
PCTools 7.0.3.5 2010.04.06 -
Prevx 3.0 2010.04.06 -
Rising 22.42.01.04 2010.04.06 -
Sophos 4.52.0 2010.04.06 -
Sunbelt 6143 2010.04.06 -
Symantec 20091.2.0.41 2010.04.06 Suspicious.Insight
TheHacker 6.5.2.0.256 2010.04.06 -
TrendMicro 9.120.0.1004 2010.04.06 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.6.2263 2010.04.06 -
VirusBuster 5.0.27.0 2010.04.06 -
weitere Informationen
File size: 435736 bytes
MD5 : 7f6802717bbab590c3ae8615d58a416f
SHA1 : 930ef39a73fee9edb9a6d085c67f47393bb51883
SHA256: df013f0d85e1724f9a531f5a88509007eea0e42b0c9032fbfb4f55730691dbbf
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xC9005
timedatestamp.....: 0x48054343 (Wed Apr 16 02:07:31 2008)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44EAE 0x45000 6.48 f9b76168d783588393d65e7fe848757c
.rdata 0x46000 0xC0C 0xE00 5.17 979154d9b2a5698341f6f9e872a2025a
.data 0x47000 0x812B0 0x1000 4.81 c543a9c7f1c122bfdebc88c0627ef40b
INIT 0xC9000 0xE10 0x1000 5.30 770825432213e31eb4d9caee0727cd95
.rsrc 0xCA000 0x458 0x600 2.59 138894981386d42bf1485ad2e565d400
.reloc 0xCB000 0x20E2 0x2200 5.43 e4f190b539f29e93bc8a2b920436e041

( 2 imports )

> hal.dll: KeAcquireInStackQueuedSpinLock, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeGetCurrentIrql, KeStallExecutionProcessor, KeReleaseInStackQueuedSpinLock
> ntoskrnl.exe: ZwOpenKey, DbgPrint, _allmul, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, MmIsAddressValid, KeWaitForSingleObject, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, KeQueryTimeIncrement, KeTickCount, _aulldiv, KeDelayExecutionThread, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, strncpy, strncmp, _purecall, sprintf, InterlockedPopEntrySList, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, _aullrem, ZwQueryValueKey, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoCsqInitialize, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, IoGetConfigurationInformation, KeRemoveQueueDpc, IoCsqInsertIrp, IoCsqRemoveNextIrp, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, RtlFreeUnicodeString, RtlGetVersion, strstr, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, RtlCreateRegistryKey, RtlCopyUnicodeString, KeBugCheckEx, RtlUnwind, ZwClose, memset, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aulldvrm, ExFreePoolWithTag

( 0 exports )
TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 6144:6lXXLv6WZgs6Xfn/EJQ5OtIZ1JGakVeDfhkdNdNq/xMmW5GsXjno6qT:cXxgs6XU1IbJGakVWqdrMMmWdcp
sigcheck: publisher....: Intel Corporation
copyright....: Copyright(C) Intel Corporation 1994-2008
product......: Intel Matrix Storage Manager driver
description..: Intel Matrix Storage Manager driver - ia32
original name: iaStor.sys
internal name: iaStor.sys
file version.: 8.0.0.1039
comments.....: -ia32
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : -
RDS : NSRL Reference Data Set
-


Ich glaube da hat Symantec was entdeckt, sehe ich das richtig.

Geändert von 2012 (06.04.2010 um 17:19 Uhr)

Alt 06.04.2010, 17:31   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Anscheinend haste da ein Rootkit drin. Mach bitte ein Log mit GMER und poste es.
Mit Pfadangaben meinte ich genau das > C:\Windows\System32\drivers\iastor.sys
Wenn der Virenscanner sich meldet, dann gibt er Dir den Schädlingsnamen und den Fundort (Pfadangabe!) raus.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.04.2010, 07:46   #8
2012
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Ich habe das Programm mal laufen lassen als es gestartet wurde kam sofort eine Meldung C:/Microsoft *Hidden* crss oder so ähnlich habs nicht in Errinerrung wollte den PC Scannen, es kam zu einem Bluescreen, so habe ich den PC neugestartet und den Eintrag entfernt und neu Scannen lassen vorher natürlich alle Prozesse beendet, dieses Programm hängt sich auf und es kommt zum Bluescreen.

Ich habs versucht auch nur die Section zu scannen, dann kommt es sofort zum Bluescreen.

Ich habe noch vergessen zu erwähnen, das ich vorher einen Virus in der Art hatte der sich als die Firewall des Notebooks ausgegeben hatte, so das es beim starten des Browsers oder Explorers sofort die Meldung kam Ihr System ist verseucht und gab die Meldung aus das man dabei den Virus Blocken sollte, somit war der Zugriff auf die Firewall Einstellungen nicht möglich, laut Microsoft ist die Entfernung selbst nicht möglich, die Updates herunterzuladen geht nicht, sowie der Zugriff auf die Updates von Antimalware geht nicht, unter anderem sogar der Microsoft Security Essentiall kann nicht scannen, weder den Virus entfernen.

Ich nehme an dieser sitzt irgendwo und greift auf die DNS zu, den ich kann die Netzwerk-Einstellungen der DNS sowie der Drahtloses Netzwerkes nicht bearbeiten, kein Zugriff.

Ich habe mich in das Handbuch des Acers durchgelesen und mache vielleicht meine Daten sichern und setzte die Werkseinstellungen zurück die in der geheimen Partion auf der Festplatte hinterlegt sind, mir bleibt nix anderes übrig, aber was solls ich komme so nicht weiter, die umstellung bringt mit sich viel Arbeit den ich habe noch Kundenprojekte in Sachen SEO

Ich habe danach ein Vollscan mit SuperAntiSppyware gescannt, dieser Fand einen Virus Gen, einen Tracing Coockie, Trojaner naja mal sehen ob es klappt.

Alt 07.04.2010, 09:13   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Schmeiß mal bitte die Suchfunktion komplett auf C nach iastor.sys an - wir brauchen noch einen weiteren Fundort als die in system32\drivers
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.04.2010, 20:34   #10
2012
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Ja ich habe die suche mal über C: laufen lassen, folgendes Ergebniss:

Code:
ATTFilter
iaStor hdc/pci_ven8086&dev_27c5&cc_0106
iaStor hdc/pci_ven8086&dev_27c5&cc_0106
iaStor hdc/pci_ven8086&dev_27c5&cc_0106
iaStor C:\WINDOWS\system32\drivers
iaStor C:\Programme\Intel Matrix Storage Manager\driver
iaStor C:\Programme\Intel Matrix Storage Manager\driver64
iaStor C:\WINDOWS\system32\DRVSTORE\iaAHCI_E7EB69FF3449D216602D0D37A1D73969621673A9
iaStor C:\WINDOWS\system32\DRVSTORE\iaAHCI_F80678FE72BA8B3E6EFE7BEA9C876336587B276B
iaStor C:\WINDOWS\system32\DRVSTORE\oem_no_dri_5AA325AB7D98C80D35CBC4092E4EDC0CCB710BF2
iaStor C:\WINDOWS\system32\DRVSTORE\oem_no_dri_F80678FE72BA8B3E6EFE7BEA9C876336587B276B
iaStor C:\WINDOWS\system32\ReinstallBackups\0010\DriverFiles
iaStor C:\Acer\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy32
iaStor C:\Acer\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy64
         
Das wiederherstellen kann ich wohl vergessen, irgendwie will es einfach nicht das Formatieren nicht möglich, kennt jemand ob man für einen Aspire One D150 Wiederherstellung CD herunterladen kann ?

Geändert von 2012 (07.04.2010 um 20:35 Uhr) Grund: Update

Alt 07.04.2010, 20:49   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus: Win32/Alureon.G - Standard

Virus: Win32/Alureon.G



Lass Dir bitte die Erweiterungen wie .sys anzeigen! Steht bei der Suche da nämlich nicht!

Zitat:
iaStor C:\Programme\Intel Matrix Storage Manager\driver
Wenn in dem o.g. Pfad die iastor.sys ist, dann bitte diese sicherheitshalber nochmal direkt nach c: kopieren. Anschließend:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Entpack die heruntergeladene ZIP und brenn die ISO-Datei per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/iastor.sys um in iastor.bad
7. Kopiere die saubere iastor.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (iastor.bad in system32\drivers) bei Virustotal.com auswerten lassen und Ergebnislink posten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Virus: Win32/Alureon.G
ad-aware, adobe, aufrufe, bho, computer, defender, desktop, einstellungen, entfernen, erecovery management, essentials, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, log datei, microsoft security, microsoft security essential, microsoft security essentials, monitor, mozilla, realtek, rundll, security, senden, server, software, superantispyware, system, virus, virus beseitigen, windows, windows xp



Ähnliche Themen: Virus: Win32/Alureon.G


  1. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  2. Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (4)
  3. Maßnahmen nach XP-Recovery und Trojan:Win32/Alureon Microsoft
    Log-Analyse und Auswertung - 11.06.2011 (25)
  4. DOS/Alureon.A und Win32/Sirefef.B
    Plagegeister aller Art und deren Bekämpfung - 02.06.2011 (1)
  5. Alureon-G@mbr / Win32:FakeAlert-AHH
    Log-Analyse und Auswertung - 26.05.2011 (1)
  6. Win32/Alureon.H auf einem Win 7 32 Bit HP System - ausgemerzt?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2011 (12)
  7. Virus Win32/Alureon.h verhindert Windowsupdate
    Plagegeister aller Art und deren Bekämpfung - 14.08.2010 (5)
  8. Virus:Win32/Alureon.H lässt sich nicht löschen, bzw. ist immer wieder da
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (12)
  9. Virus:Win32/alureon.h
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (11)
  10. Trojan.Win32/Alureon.BT
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (39)
  11. Trojan:Win32/Alureon.gen!U
    Log-Analyse und Auswertung - 29.11.2009 (2)
  12. Trojan:Win32/Alureon.gen!U eingefangen
    Plagegeister aller Art und deren Bekämpfung - 26.10.2009 (21)
  13. Trojan:Win32/Alureon.gen!U eingefangen
    Log-Analyse und Auswertung - 26.10.2009 (1)
  14. Win32/Alureon gen unter windows 7
    Plagegeister aller Art und deren Bekämpfung - 15.10.2009 (3)
  15. Packed.Win32.TDSS.y Trojaner Win32/Alureon.BF
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (3)
  16. Hilfe WIN32:Tiny-II; Alureon CD; Fraudo ......
    Plagegeister aller Art und deren Bekämpfung - 23.07.2009 (1)
  17. Trojan:Win32/Alureon.A / Trojan.Win32.DNSChanger.hk
    Log-Analyse und Auswertung - 13.04.2007 (14)

Zum Thema Virus: Win32/Alureon.G - Hallo, ich versuche die ganze Zeit mit Microsoft Security Essential diesen Virus Virus: Win32/Alureon.G zu entfernen und dieser taucht immer und immer wieder, habe das grösstenteils vom Computer bereinigt, jetzt - Virus: Win32/Alureon.G...
Archiv
Du betrachtest: Virus: Win32/Alureon.G auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.