TR/Alureon.BP.4 - beseitigt?
 

hallo liebe community,

ich hatte mit 2. 6. beginnend probleme mit einem "virenpaket", wobei ich nicht sicher weiß woher es kam (LimeWire war zu diesem Zeitpunkt noch aktiv, also sehr warscheinlich daher). als folge dessen, habe ich via MSN lustige links verschickt ^^. in den darauffolgenden Tagen habe ich die unerwünschten programme lokalisiert und eine kooperation unter diesen Trojanern, Backdoors und Malwares feststellen können...

c:\RECYCLER\s-1-5-21-7841042927-4059184478-734937641-1655\nissan.exe (Backdoor.SdBot) -> Quarantined and deleted successfully.
Wurde immerwieder gefunden und "erfolgreich" gelöscht... habe manuell herausgefunden, dass dieser in der registry für einen autostart eingetragen ist, registryeintrag gelöscht - file gekillt + gelöscht

c:\dokumente und einstellungen\***\lokale einstellungen\Temp\065.exe (Backdoor.SdBot) -> Quarantined and deleted successfully.
datein mit derartigem namen gab es viele in \lokale einstellungen\Temp, es wurde immer eine andere gestartet und als backdoor klassifiziert, hauptsächlich wurde durch das ausführen der explorer gefreezt... alle gelöscht, seitdem is ruhe

c:\dokumente und einstellungen\***\lokale einstellungen\Temp\init.exe (Trojan.Agent) -> Delete on reboot.
wurde 2 oder 3x gefunden, seitdem nichtmehr vorhanden

c:\dokumente und einstellungen\***\lokale einstellungen\Temp\uwprpqrncb.tmp (Backdoor.SdBot) -> Quarantined and deleted successfully.
Datein mit diesem Namen sind mysteriöser weise immerwieder erschienen (auch als LimeWire nichtmehr ausgeführt wurde, derzeit ist LimeWire deinstalliert)



meine genaue Frage lautet.. wie kann ich nun sicher sein, dass sich keiner dieser viren mehr auf meinem system befindet? Formatieren kommt für mich nicht in Frage... zur zeit hab ich keine probleme mehr (Malwarebytes' Anti-Malware findet *scan läuft, aktuell 2*)

EDIT: ein Suchlauf mit GMER hat ergeben, dass das virenproblem doch nicht beseitigt sein KANN! log folg

vorab schonmal einen herzlichen Dank an alle die mir helfen werden ;)


Im Anhang:
Liste installierter Programme
Hijacklog
Logs aller Scans (Malware's Anti-Malware) seit der ersten Infektion http://www.atlantiqa.de.vu/scans (eigener webspace)

es tauchen immerwieder viren in
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\
und
C:\System Volume Information\_restore{EDD521D8-F638-4B67-9946-04E4F72DB67B}\RP356\A0162055.exe

auf... was kann ich dagegen tun, bzw wie kann ich herausfinden welches programm dafür verantwortlich ist? wenn ihr aufgrund noch fehlender logs usw. noch keine aussage machen könnt schreibt dies bitte, danke

Das Gmer-Log wäre sicher sehr hilfreich.

mfg, Kaos

die frage gehört umformuliert.... die Trojaner in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp kommen immerwieder... ich kann jedoch mit Malwarebyte's anti-malware nicht mehr tun als sie jedesmal aufs neue zu löschen :/


Hier der GMER log:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-06-14 13:56:56
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT spvj.sys ZwEnumerateKey [0xF746CCA2]
SSDT spvj.sys ZwEnumerateValueKey [0xF746D030]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86FD51F8

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

Device \FileSystem\Fastfat \Fat 85EE5500

AttachedDevice \FileSystem\Fastfat \Fat TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Tcp TfNetMon.sys (ThreatFire Network Monitor/PC Tools)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 kbdcap.SYS

---- EOF - GMER 1.0.15 ----