|
TR/Shutdowner.fft Hallo Leute, ich hab anscheinend den Trojaner "Shutdowner.fft" in meiner Sys32, befindet sich anscheinend in der datei "kb.dll". Bislang konnte ich den mit keinem Programm loswerden, kein Antiviren oder Malware-Programm kann denn löschen bzw. darauf zugreifen. Infolge dessen stürzt jedes mal explorer.exe ab wenn ich den PC hochfahre was natürlich ziemlicher mist ist, ich bin jetz nicht so übermässig PC-Versiert und hab' dadurch halt erhebliche Probleme mich hier irgendwie zu Navigieren. Firefox hab ich jetzt mit glück über "Datei Ausführen" im Taskmanager hinbekommen, viel mehr krieg ich aber nicht hin. Explorer starten bringt nichts, der stürzt ab bevor er da ist. Ausserdem piept der Avira Guard alle 3 Sekunden, es macht mich wahnsinnig. Kann mir jemand step-by-step helfen das Ding loszuwerden? Ich wär für die Hilfe sehr dankbar. |
schalte den guard halt mal kurz aus. rechtsklick avira schirm, guard deaktivieren. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt klappt das? |
Ich komm an den Guard aber nich ran, weil ich dank des absturzes von explorer.exe (?) keine Taskleiste hab und ich weiss jetz ehrlich gesagt nich wie ich das sonst machen soll, wie gesagt, ne... Der OTL Scan läuft jetzt erstmal, poste dann den log. |
ok wenn otl läuft passt das erst mal. wenn du den taskmanager aufrufen kannst, beende dort mal alle avira prozesse. avgnt zb. |
Dass bei OTL "Keine Rückmeldung" steht ist normal und bedeutet nicht dass der sich aufgehängt hat? Also, wird der fertig werden oder kommt da nichts mehr von wenn der nich reagiert? avguard.exr kann ich nich beenden, "Zugriff Verweigert". |
nein aufgehängt :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix falls das nicht klappt, hast du nen zweiten pc zur hand, mit brenner? |
Okay, dann check ich das mal mit ComboFix. So schnell hätt ich jetz keinen mit Brenner zur hand, ne. |
na dann hoffen wir das combofix klappt. wenn nicht, starte den pc mal neu, in den abgesicherten modus, aber ohne netzwerk und führe dort combofix aus. in den abgesicherten modus kommst du meist, wenn du bei pc start die f8-taste drückst und dann abgesicherter modus wählst. |
Oha, "System File is infected, attemting to restore C:... regedit.exe Kam grad bevor ich überhaupt irgendwelche aufträge gegeben hab oder so. Ist das so ein schlechtes Zeichen wie ich vermute? |
surfe während combofix arbeitet nicht im netz rum, das programm soll arbeiten! ungestört :-) |
Combofix ist jetz durchgelaufen, explorer.exe stürzt aber immernoch ab. Avira Guard piept jetzt nurnoch wenn ich versuch den explorer auszuführen... Ich probier's nochmal im Abgesicherten Modus. |
ich brauche auch combofix.txt und die zweite logdatei. |
Wie komm ich denn da jetzt ran ohne explorer? Edit: Ach warte, ich bin ein trottel. Anhang laden, klar, klar. Aber ich find die Datei auf meinem Rechner garnicht, ist die nicht eigentlich direkt bei C: ? Oh okay, bittesehr: |
Hab's jetzt auch noch mal im abgesicherten Modus durchlaufen lassen, explorer stürzt aber immernoch ab, wurde als infiziert erkannt aber kann nich wiederhergestellt werden, siehe logfile. |
start programme zubehör editor, kopiere rein:: Killall:: Rootkit:: c:\windows\system32\kb.dll c:\windows\dll c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\wwlystbx.exe c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\wwlystbx.exe c:\dokumente und einstellungen\Jonas\Startmen\Programme\Autostart\wwlystbx.exe c:\dokumente und einstellungen\Jonas\Startenü\Programme\Autostart\wwlystbx.exe Folder:: c:\programme\win c:\programme\GUkwYNQUä registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\\Windows\\system32\\userinit.exe," datei speichern unter, dort wo sich combofix.exe befindet. typ alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. falls du probleme im normalen modus haben solltest, versuchs im abgesicherten modus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board