Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Avira TR/Alureon.FL.2 (https://www.trojaner-board.de/106004-avira-tr-alureon-fl-2-a.html)

Meralda 09.12.2011 11:45
Avira TR/Alureon.FL.2
 
Hallo,
gestern Abend meldete mir Avira TR/Alureon.FL.2 sei auf meinem Computer. Habe das Ding in die Quarantäne geschickt. Kurz darauf gingen zig Fensterlein mit Fehlermeldungen auf und ich System Fix wurde gestartet. Ehrlich gesagt weiß ich nimmer ob ich da irgendwas geklickt habe. Außerdem sind diverse Sachen vom Desktop verschwunden sowie Einträge im Startmenu. Habe Systemwiederherstellung zwei oder drei Mal probiert. Beim dritten Mal dann auch geglaubt, dass es nicht geht. :D
Nun bin ich im SafeMode und habe Malwarebytes, Eset, OTL und defogger installiert.
Angefangen habe ich mit Malwarebytes (Quickscan). Es wurde zwei Dinge gefunden, die ich auch gelöscht habe. Danach habe ich Eset laufen lassen mit dem Ergebnis, dass auch etwas gefunden wurde. Habe dort aber nichts unternommen. Zum Schluss defogger und OTL laufen lassen. Defogger hab ich nicht verstanden und finde auch nur ein Re-enable File.
Wie gesagt, alles im SafeMode gescannt. Kein Plan, ob das so richtig ist, aber im normalen Modus sind mir zuviele Fenster und außerdem startet sich der PC dann auch ständig neu.
Alle Logfiles sind im Anhang.
Auf C:/ sind alle meine Daten und Windows 7 64-bit, J:/ und M:/ sind externe Platten.

Ich mag nicht alles platt machen und neu installieren. Bekomme ich das Ding auch so raus?

markusg 09.12.2011 12:07
hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [FNFPDoJienHIJQ.exe] C:\ProgramData\FNFPDoJienHIJQ.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2011.12.09 00:54:57 | 000,000,000 | ---D | C] -- C:\Users\Janny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix
[2011.12.09 01:40:21 | 000,000,464 | ---- | M] () -- C:\ProgramData\or858uJSL8w17G
[2011.12.09 01:33:51 | 000,000,296 | ---- | M] () -- C:\ProgramData\~or858uJSL8w17G
[2011.12.09 01:33:51 | 000,000,184 | ---- | M] () -- C:\ProgramData\~or858uJSL8w17Gr
[2011.12.09 00:54:58 | 000,000,649 | ---- | M] () -- C:\Users\Janny\Desktop\System Fix.lnk
[2011.12.09 00:54:47 | 000,349,832 | ---- | M] () -- C:\ProgramData\or858uJSL8w17G.exe
:Files
:Commands
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

rechtsklick auf den desktop eigenschaften, hintergrundbild, wähle dir eines aus falls es fehlt
lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Meralda 09.12.2011 13:08
Danke für deine schnelle Hilfe. :)

Also...
OTL mit kopierten Text gestartet, sofort nach Neustart gefragt und auch ausgeführt.
Windows im normalen Modus gestartet.
Als erstes fragte Malwarebyte, ob ich zulassen möchte, wenn die Software was an meinem Rechner ändert. Hab ich "Ja" geklickt.
Danach gingen zwei Fenster auf von Catalyst Control Center...Host application funktioniert nicht mehr.
Avira startete auch gleich dreimal den Scanvorgang. Habe ich alle abgebrochen.
Unhide.exe ausgeführt. Sieht auf den ersten Blick okay aus. Nur meine Taskleiste verzeichnet Verluste und auch mein Sidebar-Kalender ist verschwunden. Naja, muss ich halt wieder neu einstellen.
Die Daten habe ich hochgeladen und hier ist auch die Textdatei (Hoffe, du meintest die. Was anderes habe ich nicht gesehen.)

Code:
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\FNFPDoJienHIJQ.exe deleted successfully.
C:\ProgramData\FNFPDoJienHIJQ.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
C:\Users\Janny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix folder moved successfully.
C:\ProgramData\or858uJSL8w17G moved successfully.
C:\ProgramData\~or858uJSL8w17G moved successfully.
C:\ProgramData\~or858uJSL8w17Gr moved successfully.
C:\Users\Janny\Desktop\System Fix.lnk moved successfully.
C:\ProgramData\or858uJSL8w17G.exe moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.31.0 log created on 12092011_121949
War's das jetzt? PC jetzt wieder sauber?

markusg 09.12.2011 13:26
immer mit der ruhe :-)
danke erst mal für den upload.
dann öffne mal malwarebytes, logdateien, poste alle bisherigen scan logs.
öffne avira, ereignisse, poste die im titel genannte fundmeldung, oder falls sie beim scannen aufgetaucht ist, avira, berichte.
dann:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Meralda 09.12.2011 18:12
Ähm, hätte da mal ein mini winzig kleines Problem...

Combofix wie gewünscht installiert und ausgeführt...Extra auch vorher die Anleitung ausgedruckt, damit ich nix verpeile.
Rechner wurde neu gestartet und Log angezeigt, ABER egal was ich jetzt versuche auszuführen (z. B. Firefox, IE, WindowsExplorer)....es geht nix.

Fehlermeldung:
C:\Pfad für das entsprechende Programm
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Was mache ich denn jetzt? ComboFix deinstallieren traue ich mich nicht.

Bin jetzt erstmal mit Lappy online und habe es geschafft die Logdatei per Teamviewer (wenigstens ein Programm was funktioniert) zu übertragen und stelle sie in den Anhang.

Von Malwarebytes gibt es keine weiteren Logs. Nur das in meinem ersten Posting. Bei Avira bekomme ich auch eine Fehlermeldung und per Teamviewer finde ich keine Datei in der etwas über gestern Abend steht. Ich hatte vor Combofix in die Ereignisse geschaut, da waren es vier oder fünf. Malwarefund TR/Alureon.FL.2.

markusg 09.12.2011 19:15
ja ich brauch die meldungen von avira und zwar komplett
pc neustarten dann verschwindet die meldung wieder.

Meralda 09.12.2011 20:02
Ah, okay. Hatte mich den Neustart auch nicht getraut. :D Hatte in der Anleitung nichts dazu gefunden.

Die Meldungen hab ich in eine Textdatei gepackt.

markusg 09.12.2011 20:05
danke,

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
lösche niths, nur log posten

Meralda 09.12.2011 20:18
Nix gefunden.

markusg 09.12.2011 20:23
wie läuft das gute stück?

Meralda 09.12.2011 20:25
Soweit ganz gut, würd ich jetzt mal behaupten. Nur braucht Windoof lange zum Hochfahren. Kann aber sein, dass das vorher auch schon war und ich das nur nicht richtig wahrgenommen habe. :D

markusg 09.12.2011 20:31
na wem wenn nicht dir solls auffallen? :-)
aber gucken wir mal weiter
lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Meralda 09.12.2011 20:35
Okay, das kann dann jetzt mal einen Moment dauern. :D Aber DANKE bis hierher.

Meralda 09.12.2011 22:07
So, hier dann die Liste...
k. A. = keine Ahnung ob ich das brauch oder was das ist

Ich deinstallier schon mal die Programme wo ich mir absolut sicher bin, dass ich sie nimmer brauche und auch weiß, was das ist. :)

markusg 10.12.2011 19:46
alles unnötige deinstaliert?


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:20 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131