Hallo, ein Bekannter hat mich gebeten mal nach seinem Laptop zu schauen, weil AntiVir vor einigen Tagen Alarm geschlagen hat (TR/ALUREON.EC.14).
Er ist jetzt verunsichert, weil er über diesen Laptop auch sein Online Banking macht.

Mein Bekannter hatte versucht das System mit AntiVir zu säubern, nach einem Neustart bestand das Problem aber wieder.
Der Laptop ist generell ziemlich langsam, stürzt beim Herunterfahren ab und meldet ein Problem mit dem "Generic Host Process".
Ich hab AntiVir auch nochmal durchlaufen lassen, diesmal wurde nichts gefunden, aber die geschilderten Probleme bestehen weiterhin.
Malwarebytes hat dann etwas gefunden.

Ich hab gesehen das Microsoft ein Tool anbietet, was diesen Schädling entfernen soll, wollte aber ersteinmal andere Meinungen einholen.
hxxp://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx

Ich wäre dankbar wenn mir jemand helfen könnte.

mfg Troj

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 28. Februar 2011  21:32

Es wird nach 2437956 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : ***
Seriennummer   : ***
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : INSPIRON-6400

Versionsinformationen:
BUILD.DAT      : 10.0.0.651     35933 Bytes  28.01.2011 15:47:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  08.12.2010 20:26:25
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  20.04.2010 20:18:26
LUKE.DLL       : 10.0.3.2      104296 Bytes  08.12.2010 20:26:25
LUKERES.DLL    : 10.0.0.0       13672 Bytes  04.04.2010 16:07:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 16:48:43
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:28:55
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 13:41:50
VBASE003.VDF   : 7.11.3.1        2048 Bytes  09.02.2011 13:41:50
VBASE004.VDF   : 7.11.3.2        2048 Bytes  09.02.2011 13:41:50
VBASE005.VDF   : 7.11.3.3        2048 Bytes  09.02.2011 13:41:50
VBASE006.VDF   : 7.11.3.4        2048 Bytes  09.02.2011 13:41:50
VBASE007.VDF   : 7.11.3.5        2048 Bytes  09.02.2011 13:41:51
VBASE008.VDF   : 7.11.3.6        2048 Bytes  09.02.2011 13:41:51
VBASE009.VDF   : 7.11.3.7        2048 Bytes  09.02.2011 13:41:51
VBASE010.VDF   : 7.11.3.8        2048 Bytes  09.02.2011 13:41:51
VBASE011.VDF   : 7.11.3.9        2048 Bytes  09.02.2011 13:41:51
VBASE012.VDF   : 7.11.3.10       2048 Bytes  09.02.2011 13:41:51
VBASE013.VDF   : 7.11.3.59     157184 Bytes  14.02.2011 19:27:12
VBASE014.VDF   : 7.11.3.97     120320 Bytes  16.02.2011 19:27:12
VBASE015.VDF   : 7.11.3.148    128000 Bytes  19.02.2011 10:56:30
VBASE016.VDF   : 7.11.3.183    140288 Bytes  22.02.2011 19:04:45
VBASE017.VDF   : 7.11.3.216    124416 Bytes  24.02.2011 17:14:30
VBASE018.VDF   : 7.11.3.217      2048 Bytes  24.02.2011 17:14:30
VBASE019.VDF   : 7.11.3.218      2048 Bytes  24.02.2011 17:14:30
VBASE020.VDF   : 7.11.3.219      2048 Bytes  24.02.2011 17:14:31
VBASE021.VDF   : 7.11.3.220      2048 Bytes  24.02.2011 17:14:31
VBASE022.VDF   : 7.11.3.221      2048 Bytes  24.02.2011 17:14:31
VBASE023.VDF   : 7.11.3.222      2048 Bytes  24.02.2011 17:14:31
VBASE024.VDF   : 7.11.3.223      2048 Bytes  24.02.2011 17:14:31
VBASE025.VDF   : 7.11.3.224      2048 Bytes  24.02.2011 17:14:31
VBASE026.VDF   : 7.11.3.225      2048 Bytes  24.02.2011 17:14:31
VBASE027.VDF   : 7.11.3.226      2048 Bytes  24.02.2011 17:14:31
VBASE028.VDF   : 7.11.3.227      2048 Bytes  24.02.2011 17:14:31
VBASE029.VDF   : 7.11.3.228      2048 Bytes  24.02.2011 17:14:31
VBASE030.VDF   : 7.11.3.229      2048 Bytes  24.02.2011 17:14:31
VBASE031.VDF   : 7.11.3.241     70656 Bytes  27.02.2011 17:14:32
Engineversion  : 8.2.4.176 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  29.07.2010 18:55:15
AESCRIPT.DLL   : 8.1.3.55     1282426 Bytes  27.02.2011 17:14:42
AESCN.DLL      : 8.1.7.2       127349 Bytes  27.11.2010 09:36:36
AESBX.DLL      : 8.1.3.2       254324 Bytes  27.11.2010 09:36:39
AERDL.DLL      : 8.1.9.2       635252 Bytes  22.09.2010 15:24:06
AEPACK.DLL     : 8.2.4.10      520567 Bytes  27.02.2011 17:14:41
AEOFFICE.DLL   : 8.1.1.16      205179 Bytes  30.01.2011 21:10:35
AEHEUR.DLL     : 8.1.2.81     3314038 Bytes  27.02.2011 17:14:39
AEHELP.DLL     : 8.1.16.1      246134 Bytes  06.02.2011 16:59:48
AEGEN.DLL      : 8.1.5.2       397683 Bytes  23.01.2011 10:20:44
AEEMU.DLL      : 8.1.3.0       393589 Bytes  27.11.2010 09:36:18
AECORE.DLL     : 8.1.19.2      196983 Bytes  23.01.2011 10:20:43
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.04.2010 05:52:04
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  04.04.2010 16:07:04
AVPREF.DLL     : 10.0.0.0       44904 Bytes  04.04.2010 16:07:04
AVREP.DLL      : 10.0.0.8       62209 Bytes  04.04.2010 16:07:05
AVREG.DLL      : 10.0.3.2       53096 Bytes  02.11.2010 12:41:48
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  08.12.2010 20:26:25
AVARKT.DLL     : 10.0.22.6     231784 Bytes  08.12.2010 20:26:23
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  04.04.2010 16:07:04
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  04.04.2010 16:07:05
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  04.04.2010 16:07:04
NETNT.DLL      : 10.0.0.0       11624 Bytes  04.04.2010 16:07:05
RCIMAGE.DLL    : 10.0.0.32    2631528 Bytes  20.04.2010 20:18:26
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  02.11.2010 12:41:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 28. Februar 2011  21:32

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeUpdater.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'Printkey2000.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'iemaximizer.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '422' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\System Volume Information\_restore{1C13A94A-DFE5-45C9-BCA6-E655664688DF}\RP255\A0027311.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
C:\System Volume Information\_restore{1C13A94A-DFE5-45C9-BCA6-E655664688DF}\RP255\A0027312.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.15
C:\WINDOWS\system32\spool\prtprocs\w32x86\xKU5mY.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
C:\WINDOWS\system32\spool\prtprocs\w32x86\xUOC931yW.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\WINDOWS\system32\spool\prtprocs\w32x86\xUOC931yW.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f5cab65.qua' verschoben!
C:\WINDOWS\system32\spool\prtprocs\w32x86\xKU5mY.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57b184d8.qua' verschoben!
C:\System Volume Information\_restore{1C13A94A-DFE5-45C9-BCA6-E655664688DF}\RP255\A0027312.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.15
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05b3de15.qua' verschoben!
C:\System Volume Information\_restore{1C13A94A-DFE5-45C9-BCA6-E655664688DF}\RP255\A0027311.dll
    [FUND]      Ist das Trojanische Pferd TR/Alureon.EC.14
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '638491d7.qua' verschoben!


Ende des Suchlaufs: Montag, 28. Februar 2011  22:11
Benötigte Zeit: 34:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   4214 Verzeichnisse wurden überprüft
 228067 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 228063 Dateien ohne Befall
   1491 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 279926 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5964

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.03.2011 19:46:33
mbam-log-2011-03-05 (19-46-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198376
Laufzeit: 40 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.157,93.188.160.97) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4EDD3537-B1BC-40EB-A3F4-9D04A08AA2D5}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.157,93.188.160.97) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9B0591E8-DFE0-4F9A-99C5-2F61C50DA9A6}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.157,93.188.160.97) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

sein internet verkehr wurde über einen proxy ins ausland umgeleitet!
er muss sofort die bank anrufen und das onlinebanking sperren lassen!
es wäre bei einem solchen befall das beste neu aufzusetzen und abzusichern, da wir nicht garantieren könnn das wir das system sauber bekommen,
ich erkläre dir auch wie dus richtig absicherst

Vielen dank für die schnelle Rückmeldung.
Ich hatte schon befürchtet das es auf's neu Aufsetzen
hinausläuft und ihm bezüglich des Online Bankings
bescheid gesagt.
Ich werd das System die Tage nach diesen Anleitungen [1,2] mit XP neu Aufsetzen.
Was sollte ich ansonsten beachten?

mfg Troj

1. http://www.trojaner-board.de/51262-a...sicherung.html
2. http://www.trojaner-board.de/74052-s...-internet.html
.

nach dieser anleitung kannst es machen:

http://www.trojaner-board.de/96344-a...-rechners.html

Okay werd's nach der Anleitung machen.
Nochmal vielen dank für deine Mühe.

mfg Troj

bei fragen oder erfolg melde dich!