Trojaner-Board - TR/Shutdowner.fft

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Shutdowner.fft (https://www.trojaner-board.de/93930-tr-shutdowner-fft.html)

TR/Shutdowner.fft

Hallo Leute,
ich hab anscheinend den Trojaner "Shutdowner.fft" in meiner Sys32, befindet sich anscheinend in der datei "kb.dll".
Bislang konnte ich den mit keinem Programm loswerden, kein Antiviren oder Malware-Programm kann denn löschen bzw. darauf zugreifen.
Infolge dessen stürzt jedes mal explorer.exe ab wenn ich den PC hochfahre was natürlich ziemlicher mist ist, ich bin jetz nicht so übermässig PC-Versiert und hab' dadurch halt erhebliche Probleme mich hier irgendwie zu Navigieren. Firefox hab ich jetzt mit glück über "Datei Ausführen" im Taskmanager hinbekommen, viel mehr krieg ich aber nicht hin. Explorer starten bringt nichts, der stürzt ab bevor er da ist. Ausserdem piept der Avira Guard alle 3 Sekunden, es macht mich wahnsinnig.

Kann mir jemand step-by-step helfen das Ding loszuwerden? Ich wär für die Hilfe sehr dankbar.

schalte den guard halt mal kurz aus.
rechtsklick avira schirm, guard deaktivieren.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
klappt das?

Ich komm an den Guard aber nich ran, weil ich dank des absturzes von explorer.exe (?) keine Taskleiste hab und ich weiss jetz ehrlich gesagt nich wie ich das sonst machen soll, wie gesagt, ne...
Der OTL Scan läuft jetzt erstmal, poste dann den log.

ok wenn otl läuft passt das erst mal.
wenn du den taskmanager aufrufen kannst, beende dort mal alle avira prozesse.
avgnt zb.

Dass bei OTL "Keine Rückmeldung" steht ist normal und bedeutet nicht dass der sich aufgehängt hat? Also, wird der fertig werden oder kommt da nichts mehr von wenn der nich reagiert?
avguard.exr kann ich nich beenden, "Zugriff Verweigert".

nein aufgehängt :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

falls das nicht klappt, hast du nen zweiten pc zur hand, mit brenner?

Okay, dann check ich das mal mit ComboFix.

So schnell hätt ich jetz keinen mit Brenner zur hand, ne.

na dann hoffen wir das combofix klappt.
wenn nicht, starte den pc mal neu, in den abgesicherten modus, aber ohne netzwerk und führe dort combofix aus.
in den abgesicherten modus kommst du meist, wenn du bei pc start die f8-taste drückst und dann abgesicherter modus wählst.

Oha, "System File is infected, attemting to restore C:... regedit.exe

Kam grad bevor ich überhaupt irgendwelche aufträge gegeben hab oder so. Ist das so ein schlechtes Zeichen wie ich vermute?

surfe während combofix arbeitet nicht im netz rum, das programm soll arbeiten! ungestört :-)

Combofix ist jetz durchgelaufen, explorer.exe stürzt aber immernoch ab. Avira Guard piept jetzt nurnoch wenn ich versuch den explorer auszuführen... Ich probier's nochmal im Abgesicherten Modus.

ich brauche auch combofix.txt
und die zweite logdatei.

Wie komm ich denn da jetzt ran ohne explorer?

Edit: Ach warte, ich bin ein trottel. Anhang laden, klar, klar. Aber ich find die Datei auf meinem Rechner garnicht, ist die nicht eigentlich direkt bei C: ?

Oh okay, bittesehr:

Hab's jetzt auch noch mal im abgesicherten Modus durchlaufen lassen, explorer stürzt aber immernoch ab, wurde als infiziert erkannt aber kann nich wiederhergestellt werden, siehe logfile.

start programme zubehör editor, kopiere rein::

Killall::
Rootkit::
c:\windows\system32\kb.dll
c:\windows\dll
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\wwlystbx.exe
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\wwlystbx.exe
c:\dokumente und einstellungen\Jonas\Startmen\Programme\Autostart\wwlystbx.exe
c:\dokumente und einstellungen\Jonas\Startenü\Programme\Autostart\wwlystbx.exe
Folder::
c:\programme\win
c:\programme\GUkwYNQUä
registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

datei speichern unter, dort wo sich combofix.exe befindet.
typ alle dateien, name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.
falls du probleme im normalen modus haben solltest, versuchs im abgesicherten modus.