|
Plagegeister aller Art und deren Bekämpfung: TR/Alureon.BP.4 - beseitigt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.06.2009, 21:19 | #1 |
| TR/Alureon.BP.4 - beseitigt? hallo liebe community, ich hatte mit 2. 6. beginnend probleme mit einem "virenpaket", wobei ich nicht sicher weiß woher es kam (LimeWire war zu diesem Zeitpunkt noch aktiv, also sehr warscheinlich daher). als folge dessen, habe ich via MSN lustige links verschickt ^^. in den darauffolgenden Tagen habe ich die unerwünschten programme lokalisiert und eine kooperation unter diesen Trojanern, Backdoors und Malwares feststellen können... c:\RECYCLER\s-1-5-21-7841042927-4059184478-734937641-1655\nissan.exe (Backdoor.SdBot) -> Quarantined and deleted successfully. Wurde immerwieder gefunden und "erfolgreich" gelöscht... habe manuell herausgefunden, dass dieser in der registry für einen autostart eingetragen ist, registryeintrag gelöscht - file gekillt + gelöscht c:\dokumente und einstellungen\***\lokale einstellungen\Temp\065.exe (Backdoor.SdBot) -> Quarantined and deleted successfully. datein mit derartigem namen gab es viele in \lokale einstellungen\Temp, es wurde immer eine andere gestartet und als backdoor klassifiziert, hauptsächlich wurde durch das ausführen der explorer gefreezt... alle gelöscht, seitdem is ruhe c:\dokumente und einstellungen\***\lokale einstellungen\Temp\init.exe (Trojan.Agent) -> Delete on reboot. wurde 2 oder 3x gefunden, seitdem nichtmehr vorhanden c:\dokumente und einstellungen\***\lokale einstellungen\Temp\uwprpqrncb.tmp (Backdoor.SdBot) -> Quarantined and deleted successfully. Datein mit diesem Namen sind mysteriöser weise immerwieder erschienen (auch als LimeWire nichtmehr ausgeführt wurde, derzeit ist LimeWire deinstalliert) meine genaue Frage lautet.. wie kann ich nun sicher sein, dass sich keiner dieser viren mehr auf meinem system befindet? Formatieren kommt für mich nicht in Frage... zur zeit hab ich keine probleme mehr (Malwarebytes' Anti-Malware findet *scan läuft, aktuell 2*) EDIT: ein Suchlauf mit GMER hat ergeben, dass das virenproblem doch nicht beseitigt sein KANN! log folg vorab schonmal einen herzlichen Dank an alle die mir helfen werden Im Anhang: Liste installierter Programme Hijacklog Logs aller Scans (Malware's Anti-Malware) seit der ersten Infektion http://www.atlantiqa.de.vu/scans (eigener webspace) Geändert von Astavinu (11.06.2009 um 22:01 Uhr) |
12.06.2009, 00:29 | #2 |
| TR/Alureon.BP.4 - beseitigt? es tauchen immerwieder viren in
__________________c:\dokumente und einstellungen\***\lokale einstellungen\Temp\ und C:\System Volume Information\_restore{EDD521D8-F638-4B67-9946-04E4F72DB67B}\RP356\A0162055.exe auf... was kann ich dagegen tun, bzw wie kann ich herausfinden welches programm dafür verantwortlich ist? wenn ihr aufgrund noch fehlender logs usw. noch keine aussage machen könnt schreibt dies bitte, danke |
12.06.2009, 00:45 | #3 |
| TR/Alureon.BP.4 - beseitigt? Das Gmer-Log wäre sicher sehr hilfreich.
__________________mfg, Kaos |
14.06.2009, 13:03 | #4 |
| TR/Alureon.BP.4 - beseitigt? die frage gehört umformuliert.... die Trojaner in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp kommen immerwieder... ich kann jedoch mit Malwarebyte's Anti-Malware nicht mehr tun als sie jedesmal aufs neue zu löschen :/ Hier der GMER log: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-06-14 13:56:56 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT spvj.sys ZwEnumerateKey [0xF746CCA2] SSDT spvj.sys ZwEnumerateValueKey [0xF746D030] ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 86FD51F8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) Device \FileSystem\Fastfat \Fat 85EE5500 AttachedDevice \FileSystem\Fastfat \Fat TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) AttachedDevice \Driver\Tcpip \Device\Tcp TfNetMon.sys (ThreatFire Network Monitor/PC Tools) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 kbdcap.SYS ---- EOF - GMER 1.0.15 ---- |
Themen zu TR/Alureon.BP.4 - beseitigt? |
aktiv, autostart, einstellungen, explorer, file, folge, formatieren, frage, gmer, herzlichen dank, infektion, lan, limewire, links, log, malwarebytes, malwarebytes' anti-malware, msn, namen, nicht sicher, probleme, programme, registry, scan, suchlauf, system, temp, trojan.agent, trojaner |