Virus Alureon.H gefunden! Wie werde ich den wieder los?
 

Hallo Leute, ich hoffe ich bin hier im richtigen Forum wo ich auch Hilfe erhalte. Hab seit 2 Tagen ein Problem. Mein Firefox verlinkt seit 2 Tagen ständig auf irgendwelche dubiose Seiten. Und mein Windows Update geht nicht mehr. Fehlermeldung 80072EFE. Nachdem ich mit AVG, Spyware terminator und Xoftspy sowie Panda Online Scanner versucht habe den Übeltäter zu identifizieren hat mir dann das Windows Tool zum entfernen bösartiger Software gesagt dass es sich wohl um Virus Alureon.H handelt. Kann mir jemand helfen mit welchem Tool ich den wieder entfernen kann? Meine anderen Tools haben ja leider nichts gebracht. Für Eure Hilfe schon mal danke.

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

- Berichte ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?
► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

1.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow


gruß
Cf

Also die Systemwiederherstellung hat ein Kumpel von mir schon versucht. Hab nicht all zu viel Ahnung davon. Noch nicht! Werd mich mal an Deine Anweisungen halten und sehen was wird. Danke schon mal coverflow. Hab jetzt die Dateien mit rsit erzeugt und angehängt. und hier der Inhalt der hjtscanlist.txt

Umd hier noch die installierten Programme

dein System läuft noch?...

1.
McAfee Personal Firewall + AVG Firewall...
Da beide parallel laufen, behindern sich gegenseitig und auch eine eine gewaltige Belastung für dein System! Die Folge kann ein Crash sein, oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen! Mehrere Firewalls bedeuten nicht mehr Sicherheit!
Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!

2.
Absolut überflüssig, ich würde beides deinstallieren:
nicht ein wenig übertrieben?:
O&O Defrag
TuneUp Utilities 2010
XoftSpyService

warum sollte man nicht mit installationen übertreiben:
Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;)

- Belasten das System, da sie immer Speicher belegen
- ständig im Hintergrund laufen - jede geöffnete Anwendung verbraucht Speicher und Systemressourcen
- durch Malware-Angriffe kann jederzeit ausgeschaltet werden
- 1 Firewall und Antivirenprogramm (richtig konfiguriert) + vor allem beim Surfen auch der gesunde Menschenverstand sollten reichen!
- Maßnahmen bei Befall: mit die gezielte Entfernungsmethode erreicht man mehr ;)
- Mit den Windows-eigenen Bordmitteln geht auch vieles per Hand erledigen
Windows beschleunigen/optimieren, kostet nur wenig Mühe, alles von Hand zu erledigen, ohne Zusatz-Tool besser - ansonst ist am Ende der Schrecken groß, wenn auf einmal das System nicht mehr startet oder Daten verloren sind. ;)

• Auslagerungsdatei Optimal einstellen
• Größe der Auslagerungsdatei optimal einstellen
• Defragmentierung - Windows bietet dazu eine einfache Funktion in seiner Systemsteuerung - Alle Programme / Zubehör / Systemprogramme
• 
  Win2000 & Win XP - Eine Festplatte oder mehrere Festplatten mit Windows defragmentieren!
• Die Defragmentierung in Windows Vista
• Überflüssige Hintergrundprozesse & Dienste abschalten
• Alle Systemwiederherstellungspunkte bis auf den Letzten löschen - wenn der Rechner ohne Probleme läuft bzw. wenn Du sonst keine Probleme hast mit dem Rechner

nun ja so geht`s weiter:

3.
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

4.
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

Also die Mcafee Firewall ist bereits deinstalliert. Die hatte ich vorher drauf. War mir aber zu unübersichtlich. Aktuell läuft nur noch die AVG Firewall. Spyware Doctor ist auch schon wieder runter. Hatte ich nur jetzt mal getestet ob er den Virus findet. Und ja OO Defrag werde ich wohl auch weider deinstallieren wenn das System wieder funktionieren sollte. Xoftspy läuft nicht im Hintergrund. Ist sozusagen nur als zweite Meinung gedacht. Aber viel gefunden hat der Scanner ja auch nicht. Wird also wohl auch weider verschwinden.

So hab jetzt versucht gmer.exe laufen zu lassen. Wurde aber am Ende des Scans mit Bluescreen abgebrochen. Kann also leider nichts posten.

Die RootRepeal.txt kommt hier:

das hier gefällt mir nicht, also nehmen wir mal die Datei besser unter die Lupe:
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
in die Hosts-Datei hast Du die nachfolgende Liste eintragen? oder in böser Absicht 'aus der dritten Hand' eingetragen wurde?

Hmm, hab gerade versucht die Datei im angegebenen Verzeichnis zu finden aber leider ist sie dort nicht mehr vorhanden. Auch eine nochmalige Dateisuche über Windows kam zu keinem Ergebnis. Ist so als ob die datei nicht mehr da ist. Was nun????

kannst mir noch die Frage Thema in der Datei Hosts beantworten?

Weiß jetzt nicht so genau was du meinst. Was ist denn die Datei Hosts???? Mit den Eintragungen avgate.net kann ich nichts anfangen. Die Eintragungen zu alcohol gehören doch bestimmt zu meinem Brennprogramm Alcohol 120% oder???

Das ist die Hosts-Datei, die ist standartmäßig vorhanden:
Die wichtigste Zeile ist die letzte, da gehts um den Localhost. Alles was nach Localhost eingetragen ist, kann bedenkenlos gelöscht werden. darf nur der Eintrag
127.0.0.1 Localhost drin sein! (ausser wenn Du absichtlich etwas zugefügt hast)
Bei Dir sieht also so aus, dass in der Hostdatei des Rechners, einige neue Einträge hinzu gekommen sind...Die obigen Eintragungen können Hinweisen auf Produkte, die zumindest nicht ganz legalerweise auf deinem Rechner gelandet sind? oder eben vom "Bösewicht" manipuliert wurden bzw sind verändert worden...

ansonsten so geht`s weiter:

Ab jetzt sofort gilt, bis zum Ende der Reinigung>:

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

So hab jetzt alles durchgescaned und noch einmal das hijackthis.log erzeugt. Hier erst mal der scanbericht von Malwarebytes:

Und hier da hijackthis.log:


HiJackthis Logfile:
--- --- ---

1.
wohin hast Du HijackThis gespeichert?
also lösche HijackThis und lade Dir erneut von hier - Version 2.0.4 herunter,poste das Logfile
das Ergebnis sieht dann so aus: C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe


2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
Keinen andere Virenscanner auf Deinem PC installieren, sondern dein PC NUR online scannen!!!
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Sorry hatte hijackthis in meinem Sicherungsordner gespeichert und von dort ausgeführt. Habs jetzt noch mal neu installiert und hier ist das Log File:


HiJackthis Logfile:
--- --- ---



So werd jetzt mein System noch wie von Dir beschrieben reinigen und dann den Online Scan mit Kaspersky durchführen. Das Log werde ich dann posten.

So hier noch der Bericht von Kaspersky:

Soll ich die nc.exe jetzt manuell löschen? Im Netz steht, das dass kein Virus ist sondern nur als Virus erkannt wird?

"C:\Program Files\CryptLoad\router\FRITZ!Box\nc.exe..." - hier kannst Du nachlesen...Info/CA und hier
VNC/RemoteAdmin (sogenannte `Fernunterstützungssoftware via Internet`) gehört Kategorie: RiskWare,weil nicht perfekt in Punkto Sicherheit ist... ;)
** Dein Rechner ist sonst in Ordnung?