Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/shutdowner.fft (https://www.trojaner-board.de/93797-tr-shutdowner-fft.html)

Amavelinha 15.12.2010 15:42

TR/shutdowner.fft
 
Hallöchen,

ich komme mir, um ehrlich zu sein, ein bisschen blöd vor, mein Problem hier zu posten, da hier momentan jemand genau das gleiche hat (http://www.trojaner-board.de/93744-t...owner-fft.html). Ich verfolge diesen Thread die ganze Zeit und habe auch schon, wie im Thread empfohlen, combofix durchlaufen lassen, ohne eine Besserung. Da ich mir nicht sicher bin, ob ich alle folgenden Maßnahmen, die im Thread beschrieben werden, genau so durchführen kann/soll, eröffne ich jetzt einfach meinen eigenen. Lyncht mich ruhig, wenn mein Thread keine Daseinsberechtigung hat.

Aber ich präzisiere MEIN Problem jetzt einfach mal.
Vor 2 Tagen hat gibt Avira mir stetig die Meldung: "In der Datei'C:\WINDOWS\system32\kb.dll' wurde ein Virus oder unerwünschtes Programm 'TR/shutdowner.fft' gefunden. der Zugriff auf diese Datei wurde verweigert...". Das Ding lässt sich einfach nicht entfernen und die Meldung erscheint immer wieder. Nunja, habe dann combofix durchlaufen lassen, und nach dem Neustart (sowie auch nach fast jedem anderen Neustart) stürzt mir ständig explorer.exe ab. Habe dann 2 mal neu hochfahren müssen, bis mein Werter Rechner es geschafft hat, ohne den explorer abstinken zu lassen. combofix ist zu meinem Erstaunen trotzdem weiter gelaufen, fein bis zum Ende. Der Fund von Avira ist allerdings immer noch da und weiterhin bin ich einfach überfragt und überfordert. Ich hoffe, mir kann hier jemand helfen.

Die OTL logdatei hab poste ich direkt mit...

markusg 15.12.2010 15:47

auch bitte combofix.txt posten. und ab sofort combofix nie wieder auf eigene faust laufen lassen :-)

Amavelinha 15.12.2010 15:52

Ok, hab mir schon gedacht, dass ich das nicht einfach alles 1 zu 1 übernehmen kann, aber was man nicht alles aus Verzweiflung macht...

markusg 15.12.2010 16:08

dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".

teile mir evtl. aufkommende meldungen mit.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Die Bibi\Startmenü\Programme\Autostart\awupbjcb.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Programme\qrXlpAQYgšEœËawupbjcb.exe\awupbjcb.exe) - C:\Programme\qrXlpAQYgšEœËawupbjcb.exe\awupbjcb.exe ()
[2010.12.15 11:48:26 | 000,000,000 | ---D | C] -- C:\Programme\qrXlpAQYgšEœËawupbjcb.exe
[2010.12.15 10:54:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hssff
[2010.12.13 13:00:37 | 000,000,000 | ---D | C] -- C:\Programme\windows
[2010.12.12 22:30:04 | 000,000,000 | ---D | C] -- C:\Programme\qKmEPhmK
[2010.12.15 08:46:01 | 000,065,966 | --S- | M] () -- C:\Dokumente und Einstellungen\Die Bibi\Startmenü\Programme\Autostart\awupbjcb.exe

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Amavelinha 15.12.2010 16:36

nach dieser DEP geschichte hab ich einen neustart gemacht, nachdem er hochgefahren war, habe ich die meldung bekommen, das "DriverList" verhindert wurde und "awupbjcb.exe" abgestürzt ist.

dann hab ich die OTL geschichte durchgeführt, nach dem neustart ist wieder einmal explorer.exe abgestürzt, nach einem erneuten neustart ging's dann

movedfiles lade ich in einer minute hoch

markusg 15.12.2010 16:47

ja das war genau das was ich vor hatte :-)
dep verhindert das einschläusen von code in fremde prozesse und kann damit ein wichtiges werkzeug sein, wenn man infektionen verhindern möchte.
jetzt lösche combofix. und lade es erneut runter, dann pc neustarten, neues log posten

Amavelinha 15.12.2010 17:19

combifix log

markusg 15.12.2010 17:28

pc noch mal neustarten
Start programme zubehör editor, kopiere ein:

killall::
Rootkit::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hssff
DDS::
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5061227


Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ alle dateien, name
cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

Amavelinha 15.12.2010 18:02

und nocheinmal...=)

markusg 15.12.2010 18:05

höre ich da ne beschwerde :d
öffne mal den arbietsplatz, c: rechtsklick auf qoobox und mit winrar packen und hochladen.
berichte wie der pc jetzt läuft.

Amavelinha 15.12.2010 18:17

das sollte keine beschwerde sein, ich bin tierisch dankbar =)

beim versuch den ordner qoobox zu zippen kam ne fehlermeldung von winrar

"Konnte den Inhalt von C:\Qoobox\BackEnv\* nicht lesen.
Qoobox.rar:Konnte C:\Qoobox\C\WINDOWS\system32\kb.dll.vir nicht öffnen.
Zugriff verweigert."

Im gleichen Atemzug hat Avira aufgeschrien und teilt mir mit:
"In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\kb.dll.vir' wurden ein Virus oder unerwünschtes Programm 'TR\shutdowner.fft' gefunden

Der zugriff auf diese Datei wurde verweigert..."

ich kann da mal wieder auf "entfernen" drücken, soll ich drücken, oder nicht?

markusg 15.12.2010 18:20

das sollte nur ein scherz sein..

ja, lass den fund entfernen, schalte mal zum packen den avira guard aus, rechtsklick schirm, guard deaktivieren.
dann die winrar meldung ignorieren, archiv sollte trotzdem erstellt werden und das archiv also hochladen. dann den avira guard wieder einschalten. und bescheid geben, wenn du fertig bist

Amavelinha 15.12.2010 18:23

fertig! ^^

markusg 15.12.2010 18:26

ok, wenn hochgeladen, update malwarebytes, komplett scan, log posten.

Amavelinha 15.12.2010 20:18

e voila! ^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19