|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32/Alureon.BTWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.01.2010, 19:29 | #31 |
| Trojan.Win32/Alureon.BT Hi, sag mal, wie kann ich das combofix deinstallieren? Ich glaiub ich stelle mich gerade etwas dappich an. Prevx hört bei mir nach 64% auf zu scannen und meldet ein sauberes System. Sollte das nicht bis 100% durchlaufen? |
09.01.2010, 19:06 | #32 |
| Trojan.Win32/Alureon.BT Hi,
__________________combofix deinstallieren über Start, ins suchfeld combofix /unistall return eingeben... Wie ist der Stand, was macht das Sicherheitscenter bzw. der Treiber dazu? Prevx hört vorher auf... einfach so... Hmmm..... Deinstalliere Prevx wir schauen mal mit Dr. Web nach... http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html chris
__________________ |
10.01.2010, 18:05 | #33 |
| Trojan.Win32/Alureon.BT So, da bin ich wieder.
__________________Das ist stand der dinge: Prevx findet nix mehr Antivir auch nicht Malwarebytes gibt eine Meldeung raus, die sich auch combofix bezieht. Das Programm bekomme ich aber weiterhin nicht deinstalliert. :-( Anbei mal ein Hypersnap vom Pfad mit den Dateien.Es liegen Dateien von combofix und Erunt im gleichen Verzeichnis. Ist das richtig? Ich dachte das wäre unterschiedliche Programme :confused Dann noch Logfiles von 1. MAM, 2. OTL Wie ist deine Meinung zum System? Okay soweit? |
10.01.2010, 18:05 | #34 |
| Trojan.Win32/Alureon.BT Hier noch die Logs von RSIT |
10.01.2010, 20:20 | #35 |
| Trojan.Win32/Alureon.BT Hi, C:\Windows\System32\drivers\pxkbf.sys -> http://www.prevx.com/filenames/X2397...PXKBF.SYS.html Versuche die Datei mal bei Virustotal.com prüfen zu lassen... Das gehört entweder zu Prevx oder ist ein Rookit... Lass nochmal GMER laufen... ERUNT und CF sind auch getrennte Programme, wie lautet denn die Fehlermeldung beim Versuch der deinstallation? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
10.01.2010, 21:06 | #36 | |
| Trojan.Win32/Alureon.BTZitat: Wenn ich "combofix /unistall" eingebe, dann erscheit nur das Such-Fenster und die Datei wird nicht gefunden. Das ist wie bei dem User in diesem Thread, Seite 4 h**p://www.trojaner-board.de/79817-security-tool-4.html Anbei das log von gmer. Aber wie das letzte mal. ich kann auf der rechten seite nicht alles anhaken. Adminrechte habe ich. Siehe auch screenshot GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-10 20:56:44 Windows 6.0.6002 Service Pack 2 Running: prl8lwt9.exe ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme1\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x34 0x65 0x5B 0x2E ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x11 0xFD 0xEE 0xB5 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x25 0x6D 0xAC 0x44 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB1 0xEA 0xFD 0x61 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0xAE 0x10 0x2A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB1 0xEA 0xFD 0x61 ... ---- EOF - GMER 1.0.15 ---- |
10.01.2010, 21:38 | #37 |
| Trojan.Win32/Alureon.BT Hi, Log ist okay. CF versucht aber nicht zu starten, oder (insofern unterschiedlich zu dem Thread)... Installiere Combofix noch mal neu und probiere dann ihn zu deinstallieren... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Hoffen wir mal, dass er wieder komplett durchläuft... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
11.01.2010, 23:41 | #38 |
| Trojan.Win32/Alureon.BT So, CF kann ich doch nicht installieren, da ich ein 64 Bit system habe. Ich habe jetzt einfach mal das ominöse Versichnis gelöscht. Dann habe ich noch DrWeb laufen lassen. Nachfolgend dazu das Log. Was sagst Du dazu? mirc616.exe\data001;A:\Sicherung alter PC\Programme\mirc616.exe;Program.mIRC.616;; mirc616.exe;A:\Sicherung alter PC\Programme;Container enthält infizierte Objekte;; $RC4E0IB.exe\32788R22FWJFW\List-C.bat;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000\$RC4E0IB.exe;Wahrscheinlich BATCH.Virus;; $RC4E0IB.exe;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000;Archiv enthält infizierte Objekte;Verschoben.; List-C.bat;C:\$Recycle.Bin\S-1-5-21-2353367572-823071264-3059823556-1000\$RSW12MI;Wahrscheinlich BATCH.Virus;; ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\Desktop\Virusbekämpfung\ComboFix.exe;Wahrscheinlich BATCH.Virus;; ComboFix.exe;C:\Documents and Settings\bedlam\Desktop\Virusbekämpfung;Archiv enthält infizierte Objekte;Verschoben.; $RC4E0IB.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine\$RC4E0IB.exe;Wahrscheinlich BATCH.Virus;; $RC4E0IB.exe;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.; ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine\ComboFix.exe;Wahrscheinlich BATCH.Virus;; ComboFix.exe;C:\Documents and Settings\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.; $RC4E0I0.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine\$RC4E0I0.exe;Wahrscheinlich BATCH.Virus;; $RC4E0I0.exe;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.; ComboFi0.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine\ComboFi0.exe;Wahrscheinlich BATCH.Virus;; ComboFi0.exe;C:\Dokumente und Einstellungen\bedlam\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.; 4b8bed5d.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b8bed5d.qua;Trojan.Packed.650;; 4b8bed5d.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4b90ed5b.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b90ed5b.qua;Wahrscheinlich Trojan.Packed.Based;; 4b90ed5b.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4ba0ed53.qua\data001;C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ba0ed53.qua;Wahrscheinlich Trojan.Packed.Based;; 4ba0ed53.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; |
12.01.2010, 10:11 | #39 |
| Trojan.Win32/Alureon.BT Hi, das sind alle bereits gefundene Sachen (Avira) oder Combofix selbst... Lösche CF... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
12.01.2010, 12:07 | #40 |
| Trojan.Win32/Alureon.BT Hi, wird erledigt. Wir müssten dann ja fertig sein. Der Thread könnte dann also geschlossen werden, wenn du keiner anderen Meinung bist, oder wir noch etwas prüfen müssen. Auf jeden Fall ein ganz dickes Dankeschön für die Hilf von dir |
Themen zu Trojan.Win32/Alureon.BT |
deaktiviert, defender, desktop, entfernen, explorer, files, folge, folgende, frage, gleichzeitig, hallo zusammen, hinweis, icons, link, malware, maus, netzwerk, newbee, nicht mehr, rechner, scan, sicherheitscenter, updates, windows, wlan, wlan netzwerk, öffnet |