Trojaner-Board - TR\Alureon.TK.3 und TR\Atrap.gen2 lassen sich nicht entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR\Alureon.TK.3 und TR\Atrap.gen2 lassen sich nicht entfernen (https://www.trojaner-board.de/106167-tr-alureon-tk-3-tr-atrap-gen2-lassen-entfernen.html)

TR\Alureon.TK.3 und TR\Atrap.gen2 lassen sich nicht entfernen

Ich bekomme ständig die Meldung dass ich einen TR\Alureon.TK.3 in meinen assembly Ordner habe und zudem will mein Computer wenn er den Desktop hochfährt eine Registry ändern, aber ich klicke immer auf abbrechen!!
Virenscan hab ich durchlaufen lassen, da findet er TR\Atrap.gen2

Entfernen lassen sich die Trojaner nicht, habe Malware durchlaufen lassen und dort findet er noch einiges mehr!!

Ich hoffe es gibt ein anderen weg als den Computer neu aufzusetzen.

Betriebssystem: Windows 7

Logs hänge ich als zip. mit an!

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8363

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

13.12.2011 12:05:42
mbam-log-2011-12-13 (12-05-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Q:\|)
Durchsuchte Objekte: 323263
Laufzeit: 31 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Bad: (C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Michi\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\Windows\assembly\temp\kwrd.dll (PUP.BitMiner) -> Not selected for removal.
c:\Windows\Temp\nalfcv\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Temp\ycvsst\setup.exe (Trojan.Email) -> Quarantined and deleted successfully.
c:\Windows\System32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\Windows\System32\regedit.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Also der TR\Atraps.gen2 ist jetzt nun weg aber der TR\Alureon.TK.3 d macht mich echt zu schaffen, ich weiß nicht mehr weiter... alle 5 Minuten kommt diese Meldung das der Trojaner in "C:\Windows\assembly\temp\U\80000032.@" vorhanden ist dann klick ich auf Entfernen dann ist eine Datei in den ordner assembly weniger vorhanden und 5 minuten später ist wieder eine datei mehr enthalten also der Trojaner!! Er lässt sich nicht löschen und das Problem ist das es immer schlimmer wird!! Ich kann nicht mehr auf alle Dateien zugreifen etc... Es fing damit an das der Computer etwas an der Registry von Windows etwas ändern wollte, habe das aber stets abgelehnt und anscheinend hat er es geschafft und nun spinnt einfach alles!!
Ich hoffe ihr könnt so schnell wie möglich helfen!! Das ist mein Arbeitslaptop, wichtige daten hab ich schon aus Sicherheit gesichert!!

Den Laptop hab ich übrigends erst vor 2 Wochen vom Conrad.de gekauft!! Aber nicht über das internet sonderm im Laden und das komische ist das ich seit anfangan kein Firewall aktiviere konnte und es immer noch nicht kann aber das ist ein anderes Problem!!

Falls ihr noch irgendwelche Informationen von mir braucht damit ihr weiter kommt, dann sagt bescheid denn ich weiß nicht mehr weiter!!
Ich danke euch im vorraus

Betriebssystemname Microsoft Windows 7 Home Premium
Version 6.1.7601 Service Pack 1 Build 7601
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname ^****
Systemhersteller Acer
Systemmodell Aspire 8950G
Systemtyp x64-basierter PC
Prozessor Intel(R) Core(TM) i7-2630QM CPU @ 2.00GHz, 2001 MHz, 4 Kern(e), 8 logische(r) Prozessor(en)
BIOS-Version/-Datum INSYDE V1.06, 01.03.2011
SMBIOS-Version 2.7
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume3
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.1.7601.17514"
Benutzername ****
Zeitzone Mitteleuropäische Zeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 3,98 GB
Verfügbarer realer Speicher 2,73 GB
Gesamter virtueller Speicher 9,94 GB
Verfügbarer virtueller Speicher 8,25 GB
Größe der Auslagerungsdatei 5,96 GB
Auslagerungsdatei C:\pagefile.sys

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=cde198aa376b674a849f7f084741529c
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-20 12:23:05
# local_time=2011-12-20 01:23:05 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 1132492 1132492 0 0
# compatibility_mode=2049 16777214 0 5 1465721 1465721 0 0
# compatibility_mode=5893 16776574 66 94 1494256 76007589 0 0
# compatibility_mode=8192 67108863 100 0 3918 3918 0 0
# scanned=317477
# found=4
# cleaned=3
# scan_time=6045
C:\Windows\assembly\temp\U\80000032.@ probably a variant of Win32/Olmarik.AVQ trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LK6OJWGS\apksktewymizh4[1].pdf JS/Exploit.Pdfka.PGF.Gen trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Windows\system64\consrv.dll Win64/Sirefef.E trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} a variant of Win32/Sirefef.DN trojan 00000000000000000000000000000000 I

Der letzte Vollscan mit Malwarebytes ist schon ne Woche her.
Bitte Malwarebytes starten, updaten und einen neuen Vollscan machen

Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hab es nun das zweite mal Versucht aber es kommt immer die Meldung "Out of Memory"

Dann probier es bitte im abgesicherten Modus aus