Win Update, Absturz und Fund 'Win32:Aluroot-B [Rtk]' in 'csrsrv.dll' von Avast 8
 

Hallo,

seit einigen Tagen verhielt sich mein PC (Win7 Home Prem SP1 32Bit) merkwürdig: Bluescreen nach Update, Blackscreen beim Start (einmalig), Freeze und insbesondere Probleme bei der Verwendung von Firefox, AV-Software Avast 8 Internet Security und angehaltenem Dienst Windows Defender, der nach Setzen auf "Automatisch" und bei Fehler 1 "Erneut starten" und Fehler 2 "Erneuter Start" beim nächsten Windows-Start trotzdem wieder "Echtzeitschutz nicht aktiv" anzeigt.

Auch gab es in letzter Zeit immer wieder Probleme beim Installieren von Windows Update Signaturen für Win Defender: "Fehlgeschlagen".

Am 09.04.2013 während Win Update um 23:23 Uhr stellt Avast eine Bedrohung fest:

Die von Avast erkannten Bedrohungen wurden in den Virencontainer/Quarantäte verschoben, soweit ich mich erinnere waren es 4 Funde, davon 3 im temp-Ordner.

Ich habe danach MBAM Quickscan mit aktuellen Virendefinitionen ausführen lassen, keine Funde.

Ebensowenig brachte der Rootkit Scanner von MB Funde.

Das System reagierte im Weiteren aber ungewöhnlich: Avast und Firefox führten mehrfach zu Abstürzen, was ich mit der Sandboxfunktion des AV-Programms Avast in Zusammenhang brachte.

Nach einem weiteren Windows Update wieder Bluescreen. Ein Systemabsturz, nachdem ich ein USB-Flashspeicher verwenden wollte.

Nachdem das MS Windows Sicherheitspatch KB2823324 von MS zurückgezogen wurde ( hxxp://support.microsoft.com/kb/2823324/de-de ) (vgl. dazu die Heise-Meldung vom 12.04.2013: hxxp://www.heise.de/security/meldung/Microsoft-zieht-Sicherheitsspatch-fuer-Windows-und-Windows-Server-zurueck-1840771.html ) und die von mir wahrgenommenen Probleme nach der Installation dieses Windows-Updates auftraten, entfernte ich das Patch wie vom Hersteller empfohlen.

Anschließend war Avast zerschossen, eine saubere Deinstallation mit dem Deinstallationstool von avast im Save Mode und Neuinstallation Avast 8 sowie Deinstallation einiger Programme mit anschließender CCleaner-Reinigung (Registry) ließen das System bis jetzt wieder ohne merkbare Probleme laufen.

Ich traue aber der Situation nicht, zumal ich inzwischen mehrere Threads/Posts von anderen gelesen habe, die auch diesen Fund 'Win32:Aluroot-B [Rtk]' in 'csrsrv.dll' von Ihrer AV-Software erhalten haben.

Ich bitte freundlich um Unterstützung bei der Säuberung im Falle einer Infektion.

Seltsamerweise hat Avast bei erneuter Überprüfung der Files in der Quarantäne diese als "kein Virus" erkannt. False Positive?

In den letzten Tagen erhielt ich 2 virenverseuchte E-Mails, die von Avast und auf dem Server bereits als solche identifiziert wurden.

Ich habe nach Eurer Anleitung vorhin und immer noch defogger ausgeführt und hoffe, dass mein System nicht verseucht ist, ich arbeite damit und habe Daten abgelegt, die ich nicht verlieren möchte.

Was soll ich jetzt als nächsten Schritt tun?

Danke für Eure Hilfe, ich weiß sie zu wirklich zu schätzen.

Hinweis: Es gibt zu diesem Post einen ähnlichen Beitrag eines anderen Users hier im Forum: http://www.trojaner-board.de/133474-...fehlalarm.html .

LG Zuma

Win Defender brauchst du auch nicht, wenn du einen "richtigen" Scanner hast.



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:


Schauen wir doch mal:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo ryder,
danke für deinen Einsatz. Leider...

...kann ich die Seite hier nicht erreichen. Gibt es Alternativlinks zum Download?

Ich fahre mit Schritt 2 fort. Wenn der url wieder erreichbar ist, dann werde ich mit Farbar's Recovery Scan Tool scannen, sobald ich laden konnte. Logs poste ich hier wie gewünscht.

Hm nein ... aber es gibt eine Alternative:

Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ich kann bleeping erreichen. Zuerst mit MBAR oder erst FRST (Defogger ist übrigens die ganze Zeit "aktiv")?

Lieber erstmal FRST.

Ich habe alle Schritte abgearbeitet.

Ergänzend...

OTL Logfile:
--- --- ---
[/CODE]

und

OTL Logfile:
--- --- ---
[/CODE]

OK, jetzt gibt es bei mir ein Problem. Ich habe im Anschluss GMER als Admin ausführen lassen. GMER scannt und bleibt plötzlich hängen, Windows Dialog: "Das Programm funktioniert nicht mehr".

GMER hat einen APPCRASH bei \Device\HarddiskVolumeShadowCopy22 (Text in GMERs Statusleiste).

Ich muss Neustart erzwingen, nichts geht mehr...

Mit F8 gehe ich in den abgesicherten Modus und versuche es noch einmal mit GMER.

Zuma

GMER Logfile:
--- --- ---

Das MBAR Log ist falsch.

Das ist soweit gut. Bitte jetzt Combofix ausführen (Link sollte wieder gehen)

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Guten Abend ryder,
ich war am Wochenende afk, werde jetzt Combofix laden und ausführen. Danke für deine Zeit und Unterstützung. Die Ergebnisse poste ich im Anschluss hier, ok.

OK, ich brächte jetzt mal direkte Hilfe, denn Combofix öffnet wie in einer Schleife ununterbrochen Fenster (wie Befehlszeile) und es nimmt kein Ende. Nach einem Neustart ohne Benutzereingabe und mit Anmeldung als lokaler User. Die Fehlermeldung "Anwendung konnte nicht ... werden Fehler 0x....." wurde noch angezeigt von Windows.

Und jetzt?

Btw.: Ich schreibe an einem anderen Gerät, neben mir ist der PC immer noch mit Combofix in der Schleife.

Was schlägst du vor? Ich kenne mich mit Combofix nicht aus, habe es noch nie verwendet. Von daher weiß ich nicht, welcher Schritt der richtige wäre. Soll ich einen Neustart erzwingen und dann im Administrator Konto anmelden oder eine Zigarette rauchen und warten, dass sich alles von alleine in Wohlgefallen auflöst?

Das mit dem Neustart und Anmelden als Admin war richtig, ich habe natürlich schon vor dem Start von Combofix die LAN-/WLAN-Verbindung unterbrochen und AV deaktiviert. Gleich füge ich das Log hier ein.

Combofix Logfile:
--- --- ---

OK, nachdem Combofix Funde hatte, gefixt hat, hier ein neues MBARS Log von gerade eben (neuer Download und nach Combofix Scan ausgeführt, kein Fund):

Prima. Das sieht gut aus.

Wir checken nochmal:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Starte 21.00 Eset, Firefox stürzt ab. Eset zieht sich Signatures und ich bin hier an dem anderen Rechner. Hoffe, dass es nicht zu lange dauert und du nicht schon offline bist.

Ich habe auch festgestellt, dass der PC ein Problem mit Zeichen hat, insbesondere bei UTF8-Textdokumenten (E-Mail etc.). AV-Software ist letztes Mal gecrashed ("Freeze") und Firefox stürzt immer wieder ab.

Ich will die Kiste nicht neu aufsetzen, aber es sieht doch schwer danach aus. Bah! Die Ergebnisse der Scans poste ich sobald sie ausgegeben werden.

ESETSmartInstaller@High as downloader log:
Anm.: Die 3 gefundenen KillWin-Trj (os_abschiessen) sind drei Mal die gleiche Datei. Diese ist kein Schädling, denn ich habe das File selbst vor Jahren mal erstellt zu Übungszwecken. Es ist eine .txt-Datei, solange sie nicht umbenannt (z.B. .bat) und ausgeführt wird, ist sie keine Bedrohung auf meinem PC.

Das gefundene INF/Autorun-worm ist auf einem USB Stick, der in einen Ordner auf dem PC gesichert wurde.

Jetzt mache ich den SecurityCheck und poste dann das Log.

fn="E:\intenso_usb_tim****_08062011\INTENSO USB\autorun.inf"

Hallo ryder, Ich habe die Schritte alle durchgeführt. Die autorun.inf habe ich entfernt. Vielen Dank für die Anleitung/Hilfe, ich werde euer Projekt unterstützen. Vielleicht ist noch etwas zu tun, gib mir hier Antwort, wenn du kannst/willst. Bevor ich irgendetwas an diesem System ändere, warte ich auf Response.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/