System wird heruntergefahren
 

Hallo zusammen,

hatte laut meinem Virenscanner AVG Version 8.5.437 vor 10 Tagen eine Infektion mit dem Trojaner Cryptic.NN (in Virenquarantäne verschoben). Vor ca. 4 Wochen war bereits bei einem Scan der Trojaner Downloader.Zlob.AQEA gefunden und in die Quarantäne verschoben worden.
Dachte eigentlich, das Problem sei behoben.
Seither kommt aber immer wieder die Meldung "System wird heruntergefahren etc.". Lässt sich mit "cmd: shutdown -a" zwar immer stoppen, ist ja aber nicht ok.

Seit Neuestem stürzt mein firefox auch einfach ab.

Google und stundenlange Forensuche hier hat mich nicht wirklich weitergeführt. Habs vielleicht nur einfach die Lösung nicht gefunden...

Komm nicht weiter. Kann mir jemand helfen, wie ich das Problem erkennen/beheben kann, ohne gleich Neuformatierung /-installation machen zu müssen?

Tausend Dank im Voraus

ej

Hi und :hallo: !

Bitte folgende Schritte nacheinander durchführen:


Malwarebytes' Anti-Malware (MBAM)

Lade Dir bitte Malwarebytes' Anti-Malware herunter (falls noch nicht vorhanden)

• Doppelklicke auf mbam-setup.exe, um das Programm zu installieren.
• Stelle sicher, dass neben Aktualisiere Malwarebytes' Anti-Malware und Malwarebytes' Anti-Malware starten ein Haken gesetzt ist.
• Wenn ein Update gefunden wurde, wird es heruntergeladen und installiert.
• Sobald das Programm gestartet wurde, wähle Quick-Scan durchführen und klicke dann auf Scan.
• Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
• Wähle alle Funde aus und klicke auf Ausgewähltes entfernen.
  Bitte keine Funde aus dem Ordner C:\System Volume Information entfernen lassen!
• Wenn die Desinfektion beendet ist, wird sich ein Notepad mit dem Logfile öffnen.
• Sollte MBAM den Rechner neu starten wollen, lasse es zu.
• Das Logfile wird automatisch gespeichert und kann im Reiter Scan-Berichte eingesehen werden.
• Poste dieses Logfile hier in den Thread.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hi Julian,

Vielen Dank für die schnelle Antwort!
Bin mal wieder baff, wie schwach diese avg-SaftWare ist. Und dafür hab ich sogar bezahlt... Selbst sämtliche avg Viren-Remover haben sero gefunden. MBAM gleich 11 (in worten ELF!) Infektionen...
Hier das Log von MBAM:
OTL Logfile:
OTL Logfile:
[/QUOTE]

Wars das? Oder muss ich noch was machen? Wär Dir echt verbunden für ein abschließendes Urteil.

Gruß,
ej

Hi,

Noch sind wir nicht fertig. Da ist noch einiges an Malware, was MBAM nicht gefunden hat ;)


1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

2.) Rootkitscan mit GMER

Rootkit – Was ist das?

Vor/Während des Scans bitte:

• alle Verbindungen trennen (LAN, WLAN, etc.)
• alle anderen Virenscanner temporär deaktivieren
• die Maus sollte nicht bewegen.

GMER anwenden:
(-> Bebilderte Anleitung)

Lade Dir GMER von hier herunter.

• Schliesse alle Programme!
• Starte GMER (Programm hat einen zufälligen Dateinamen, s.o.)
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Wichtig: Bitte alle offenen programme schließen!
• 1. Starte den Scan mit "Scan".
• 2. Wenn der Scan beendet wurde, klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "OK" wird GMER beendet.
• Füge (STRG+V) das Log aus der Zwischenablage in Deine Antwort hier in Deinem Thema ein.
• Nach dem Scan: Antiviren-Programm und sonstige Scanner wieder einschalten!

Hi Julian,

ok, hab das Fix mit OTL und den Scan mit GMER gemacht (s.u.). Allerdings hat GMER nur Laufwerk C gescannt (Grundeinstellungen) und nicht die Datenpartitionen (E und F). Muss ich die noch scannen?
Was jetzt? :confused:

Gruß,
ej



GMER Logfile:
GMER Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---
:confused:

Hi,

lass die Datenpartitionen erst mal gut sein, wichtig war mir jetzt vor allem C:

Bitte hiermit weitermachen, dann sollten wir schon fast durch sein:


1.) SuperAntiSpyware

Lade Dir SuperAntiSpyware Free Edition herunter und installiere es.

• Stelle zuerst sicher, dass alle Updates vorhanden sind: Check for Updates
• Klicke dann auf Preferences, auf den Reiter Scanning Control und Hake folgende Scanner Options an:
  • Scan for tracking cookies
  • Resolve Links/Shortcuts during scan
  • Scan Alternate Data Streams
  • Use Kernel Direct File Access
  • Use Kernel Direct Registry Access
  • Display scan option in Explorer context
• Klicke auf Scan your Computer, um den Scan zu starten
• Setze bei all Deinen Partitionen einen Haken und wähle Perform Complete Scan aus. Klicke auf Weiter.
• Wenn der Scan beendet ist, lasse alle Funde in Quarantäne verschieben.
• Wechsle wieder nach Preferences. Dort findest Du unter Statistics/Logs das Logfile.
• Öffne dieses mit View Log und kopiere mir den kompletten Inhalt hierher.

2.) ESET Online Scanner

• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
• IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
• O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Hey,

die beiden haben immer noch weitere Infektionen gefunden, ich fass es nicht!!
Sind das jetzt alles echte Bedrohungen gewesen? Z.B. PSP benutzeich schon seit Jahren, ohne dass es Probleme gab bzw. AVGSchwachware was gemeldet hätte... Die werden eine Kritik von mir bekommen:aufsmaul:

Jedenfalls tausend Dank schon mal. Bin mal gespannt, was Du noch aus dem Hut zauberst...

Gruß,
ej

Hi,

die Paint_Shop_Pro_v8.00.zip hätte ich jetzt nicht unbedingt als Malware bezeichnet :rolleyes:

Wenn Du willst, kannst Du die Datei ja noch mal direkt aus der Quarantäne (C:\Programme\ESET\ESET Online Scanner\Quarantine) bei Virustotal.com hochladen.
Dort wird sie dann von 40 Virenscannern auf schädlichen Code überprüft. Aber nur, wenn die Datei für Dich wichtig ist, sonst lassen wir sie dort. ;)

Ok, poste mir zur Kontrolle bitte nochmal ein frisches OTL-Log, damit ich sehen kann, ob noch was an Malware "herumschwirrt" - dann sind wir durch :)

Hi Julian,

was macht den dieses OTL eigentlich? Bzw. was hat der Fix gemacht, den Du mir geschickt hattest? Hintergrund der Frage ist: hab hier zuhause noch zwei Rechner, die eher weniger als mehr miteinander verbunden sind und auch ohne Probleme funzen. Wollte trotzdem mal diese Scans drüber laufen lassen.

Hier noch der aktuelle OTL log:
OTL Logfile:
--- --- ---


Gruß,
ej

Hi,

OTL ist erst mal nur ein Scanner, welche mir wichtige Fakten über Dein System aufzeigt.
Da wären z.B. Betriebssystem, verwendete Partitionen, laufende Prozesse, Services, Treiber, Dienste, Geplante Tasks, geänderte/neu erstellte Dateien, etc.
Dadurch kann ich sehen, ob Malware aktiv läuft (Prozess), und die zugehörigen Dateien löschen.

Mit OTL-Fix kann ich z.B. einfach Einträge aus dem Log entfernen lassen (mit :OTL), ich kann direkt Dateien verschieben (:files) oder Registry-Einträge löschen (:reg).
So gesehen könnte man auch mit OTL selbst einen Virus entfernen (ohne Grundreinigung mit Malwarebytes). Ist aber zeitaufwendiger ;)

Wenn Du möchtest, kannst Du mir gerne noch die OTL-Logs von den anderen zwei PCs posten, ich werde sie mir dann durchsehen.

======================

So, dieses Log ist auf jeden Fall mal sauber, dort sind nur noch ein paar unnötige Registry-Einträge zu finden.
Die entfernen wir noch schnell:

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

======================

Ok, abschließend drei Tipps, um besser gegen eine erneute Infektion geschützt zu sein:


Adobe Reader aktuell halten

Beachte bitte, dass Du immer den aktuellen Acrobat Reader verwendest. Alte Versionen stellen Sicherheitsrisiken beim Surfen dar. Hier findest Du immer die aktuelle Version zum Download:

Adobe - Adobe Reader herunterladen - Alle Versionen

Als Alternative kann ich Dir den kostenlosen Foxit Reader empfehlen - dieser ist viel schlanker als der Adobe Reader und startet erheblich schneller.


Java updaten

Du solltest sicherstellen, dass Dein Java aktuell ist. Ältere Java-Versionen stellen große Sicherheitslücken beim Surfen dar. Besuche diese Seite um Dein Java auf die neueste Version upzudaten:

Java Download - Sun Microsystems


Halte Dein Windows aktuell

Auch für die Windows-Software gilt: Veraltete Versionen stellen große Sicherheitslücken beim Surfen dar.
Microsoft veröffentlicht Updates, um diese Sicherheitslücken zu schließen. Besuche bitte des Öfteren die Microsoft Update Seite um auf dem aktuellen Stand zu bleiben.


Dann bist Du hiermit "entlassen" :daumenhoc