|
TR/shutdowner.fft Hallöchen, ich komme mir, um ehrlich zu sein, ein bisschen blöd vor, mein Problem hier zu posten, da hier momentan jemand genau das gleiche hat (http://www.trojaner-board.de/93744-t...owner-fft.html). Ich verfolge diesen Thread die ganze Zeit und habe auch schon, wie im Thread empfohlen, combofix durchlaufen lassen, ohne eine Besserung. Da ich mir nicht sicher bin, ob ich alle folgenden Maßnahmen, die im Thread beschrieben werden, genau so durchführen kann/soll, eröffne ich jetzt einfach meinen eigenen. Lyncht mich ruhig, wenn mein Thread keine Daseinsberechtigung hat. Aber ich präzisiere MEIN Problem jetzt einfach mal. Vor 2 Tagen hat gibt Avira mir stetig die Meldung: "In der Datei'C:\WINDOWS\system32\kb.dll' wurde ein Virus oder unerwünschtes Programm 'TR/shutdowner.fft' gefunden. der Zugriff auf diese Datei wurde verweigert...". Das Ding lässt sich einfach nicht entfernen und die Meldung erscheint immer wieder. Nunja, habe dann combofix durchlaufen lassen, und nach dem Neustart (sowie auch nach fast jedem anderen Neustart) stürzt mir ständig explorer.exe ab. Habe dann 2 mal neu hochfahren müssen, bis mein Werter Rechner es geschafft hat, ohne den explorer abstinken zu lassen. combofix ist zu meinem Erstaunen trotzdem weiter gelaufen, fein bis zum Ende. Der Fund von Avira ist allerdings immer noch da und weiterhin bin ich einfach überfragt und überfordert. Ich hoffe, mir kann hier jemand helfen. Die OTL logdatei hab poste ich direkt mit... |
auch bitte combofix.txt posten. und ab sofort combofix nie wieder auf eigene faust laufen lassen :-) |
Ok, hab mir schon gedacht, dass ich das nicht einfach alles 1 zu 1 übernehmen kann, aber was man nicht alles aus Verzweiflung macht... |
dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". teile mir evtl. aufkommende meldungen mit. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - Startup: C:\Dokumente und Einstellungen\Die Bibi\Startmenü\Programme\Autostart\awupbjcb.exe () O20 - HKLM Winlogon: UserInit - (C:\Programme\qrXlpAQYgšEœËawupbjcb.exe\awupbjcb.exe) - C:\Programme\qrXlpAQYgšEœËawupbjcb.exe\awupbjcb.exe () [2010.12.15 11:48:26 | 000,000,000 | ---D | C] -- C:\Programme\qrXlpAQYgšEœËawupbjcb.exe [2010.12.15 10:54:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hssff [2010.12.13 13:00:37 | 000,000,000 | ---D | C] -- C:\Programme\windows [2010.12.12 22:30:04 | 000,000,000 | ---D | C] -- C:\Programme\qKmEPhmK [2010.12.15 08:46:01 | 000,065,966 | --S- | M] () -- C:\Dokumente und Einstellungen\Die Bibi\Startmenü\Programme\Autostart\awupbjcb.exe :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. öffne den arbeitsplatz, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
nach dieser DEP geschichte hab ich einen neustart gemacht, nachdem er hochgefahren war, habe ich die meldung bekommen, das "DriverList" verhindert wurde und "awupbjcb.exe" abgestürzt ist. dann hab ich die OTL geschichte durchgeführt, nach dem neustart ist wieder einmal explorer.exe abgestürzt, nach einem erneuten neustart ging's dann movedfiles lade ich in einer minute hoch |
ja das war genau das was ich vor hatte :-) dep verhindert das einschläusen von code in fremde prozesse und kann damit ein wichtiges werkzeug sein, wenn man infektionen verhindern möchte. jetzt lösche combofix. und lade es erneut runter, dann pc neustarten, neues log posten |
combifix log |
pc noch mal neustarten Start programme zubehör editor, kopiere ein: killall:: Rootkit:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\hssff DDS:: uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5061227 Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
und nocheinmal...=) |
höre ich da ne beschwerde :d öffne mal den arbietsplatz, c: rechtsklick auf qoobox und mit winrar packen und hochladen. berichte wie der pc jetzt läuft. |
das sollte keine beschwerde sein, ich bin tierisch dankbar =) beim versuch den ordner qoobox zu zippen kam ne fehlermeldung von winrar "Konnte den Inhalt von C:\Qoobox\BackEnv\* nicht lesen. Qoobox.rar:Konnte C:\Qoobox\C\WINDOWS\system32\kb.dll.vir nicht öffnen. Zugriff verweigert." Im gleichen Atemzug hat Avira aufgeschrien und teilt mir mit: "In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\kb.dll.vir' wurden ein Virus oder unerwünschtes Programm 'TR\shutdowner.fft' gefunden Der zugriff auf diese Datei wurde verweigert..." ich kann da mal wieder auf "entfernen" drücken, soll ich drücken, oder nicht? |
das sollte nur ein scherz sein.. ja, lass den fund entfernen, schalte mal zum packen den avira guard aus, rechtsklick schirm, guard deaktivieren. dann die winrar meldung ignorieren, archiv sollte trotzdem erstellt werden und das archiv also hochladen. dann den avira guard wieder einschalten. und bescheid geben, wenn du fertig bist |
fertig! ^^ |
ok, wenn hochgeladen, update malwarebytes, komplett scan, log posten. |
e voila! ^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board