TR/Alureon.19456U.3 (Firefoxabsturz und PC-Lag); noch drauf?
 

So hallo erstmal,
bzw. erstmal Entschuldigung fürs Posten im falschen Thread, aber ich dachte ich hätte genau das gleiche Problem. Aber mit dem Denken ist das ja bekanntlich so eine Sache :schmoll:

Angefangen hat das ganze nach einem Firefox Update. Danach ist Firefox permanent abgestürzt. Anfangs dachte ich es hängt mit dem neuen Update von Firefox zusammen. Also, dass es an Firefox liegt und die Version oder bestimmte Anwendungen nachgebessert werden müsste. Ich bin dann auf IE umgestiegen, der ist eigentlich nie abgestürzt. Irgendwann, gar nicht zeitgleich mit dem Abstürzen von FF, sind dann Probleme beim Arbeiten am PC aufgetreten. Der PC hat angefangen zu laggen, selbst wenn kaum Anwendungen im Hintergrund gelaufen sind, zum Beispiel bei Word, oder DVD schauen.
Habe dann gleich Antivir drüberlaufen lassen, Ergebnis:
- Trojanisches Pferd TR/Alureon.19456U.3
- Versteckte Dateien im Windows/Temp und Windows/system32 Ordner, die alle mit "kbiwkm" .tmp anfangen (ca. 35 Stück). Diese Dateien findet zwar Antivir, sind aber ich nicht in Ordnern.

Programmprobleme, außer Firefox oder Probleme mit Windows habe ich nicht, bis auf das laggen wie gesagt. Nachdem ich dann anfangs ziehmlich verzweifelt war, ob ich nun neu aufsetzen muss (schreibe gerade Diplomarbeit und brauch den PC, die Daten, die Programme und vor allem die Zeit), habe ich dann Malware drüberlaufen lassen (mbam-log-2009-09-16 (14-27-16).txt). Das hat auch die Dateien, die auch schon Antivir gefunden hatte, entdeckt und sie gleich gelöscht. Ein zweiter Suchdurchlauf (mbam-log-2009-09-16 (14-35-27).txt) hat nochmal eine gefunden und gelöscht. Zuletzt habe ich noch eine komplette Durchsuchung gemacht, die war ohne Fund.

Nachdem ich den Trojaner aber nicht unterschätzen möchte hier noch die RSIT-Files im Anhang. Vielleicht hat einer von euch Zeit und kann mir sagen, ob ich noch die Pest an Board habe. Firefox geht zumindest wieder ohne Probleme. Bis jetzt...
Hoffe es ist alles dabei, was man braucht, um das nachzuprüfen. Kenne mich leider mit Viren und den ganzen Antivirprogrammen gar nicht aus.

Mit freundlichen Grüßen und nochmal sorry @john.doe wegen der Unordnung
Klemens

Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => Anleitung: Neuaufsetzen des Systems + Absicherung

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Du hast hoffentlich gesehen, wie langwierig eine Reinigung sein kann, deshalb empfehle ich dir nochmal die schnelle und sichere Lösung => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hey john.doe,
danke für die schnelle Antwort, werd ihn dann die Tage neu aufsetzen, um mir den Ärger mit der Reperatur zu ersparen. Eine Frage hätte ich aber noch: Hängt der Virus irgendwie an Dateien (normalen Daten, Browser-Lesezeichen, usw...) fest? Besteht also die Gefahr, dass mir die Pest mitschleppe beim Datensichern? Ich frage, weil ich sowohl nen Stick, als auch andere Laufwerke an dem Rechner habe und ich nicht will, das er da noch irgendwo hockt.

Nochmals danke für die Antwort und Deine Arbeit hier!
Klemens

Kluge Entscheidung. :applaus:
"Normale" Daten und Browser-Lesezeichen werden von dem nicht befallen, der geht ausschließlich auf das Betriebssystem los, aber das leider sehr gründlich. :(
Einige Varianten des TDSS verbreiten sich auch über autorun.inf-Dateien. Die lassen sich aber relativ einfach aushebeln, indem du die Autoplayfunktion von Windows komplett abschaltest. Das ist mit Tools, wie ComboFix, TweakUI oder XP-Antispy möglich. Falls du dich an regedit traust, dann ist das auch mit dem Eintrag FD bei entsprechendem Schlüssel möglich => Der Unterschlüssel NoDriveTypeAutoRun-Wert wird auf einem Windows Server 2003-Computer, auf einem Windows-basierten Computer oder auf einem Windows 2000-basierten Computer den ursprünglichen Standardwert zurückgesetzt.

ciao, andreas

Na immerhin etwas, dann besteht ja keine Gefahr für die Diplomarbeit :singsing:

Also nochmals Dankeschön und schönen Abend noch!

Du bist entlassen. :)

ciao, andreas