TR/Alureon.19456U.3
 

Hallo,
seit gestern hab ich den Trojanerbefall.

Avira meldet immer wieder:
In der Datei 'C:\Windows\Temp\gasfkybgfcqixxqi.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.19456U.3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Spybot Search and Destroy hat verschiedene Dateien erkannt, konnte diese aber nicht entfernen.

Komisch: zwischenzeitlich konnte ich nichts mehr auf dem Desktop speichern oder ausführen, Fehlermeldung war: beschädigter Datenträger. Dann ging der Explorer nicht mehr. Funktioniert aber alles aktuell wieder.

Dann hier zum Board gekommen.
1. CC Cleaner ausgeführt
2. Malware Bytes ausgeführt, ohne Fund:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2854
Windows 6.0.6002 Service Pack 2

24.09.2009 09:32:01
mbam-log-2009-09-24 (09-32-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|K:\|)
Durchsuchte Objekte: 282783
Laufzeit: 1 hour(s), 4 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

3. RSIT ausgeführt. Ergebnis im Anhang.

4. Nach Lesen im Forum auch GMER ausgeführt, findet sofort eine Datei in C:/Win/System32/driver/gasfkyxtfttbtc.sys (hidden)


Wie gehe ich jetzt weiter vor, um den Schädling loszuwerden?

Danke + Gruß,
Jens

Hi, befolge bitte diese Anleitung genauestens:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Während dem Abspeichern in cofi.exe umbenennen, nicht danach!

2.)

Silentrunners:

• Lade Dir Silent Runners.vbs und speichere es auf Deinen Desktop ab.
• Starte Silentrunners mit einem Doppelklick.
• Klicke auf Ja um den Suchlauf zu starten.
• Am Ende des Scans erscheint eine Message Box, dass der Vorgang beendet ist und der Name der Log-Datei (Silent Runners %Computer Name%Datum.txt).
• Poste den kompletten Inhalt des Logs in die nächste Antwort.

Hinweis:
Silent Runners.vbs wird eventuell von deinem AVP (Antivirenprogramm) als bösartiges Script erkannt. Dies ist ein Fehlalarm und kann ignoriert werden.

Hallo,
alles ausgeführt.

Die beiden Files habe ich angehängt.

Danke & Gruß,
Jens