|
TR/Shutdowner.fft , Internetbrowser öffnet russische Schmuddelseiten bei allen Eingaben Hallo liebes Trojaner-Board-Team, Ich kämpfe zurzeit mit dem o.g. Trojaner und auch noch einigen anderen Schädlingen. Diese öffnen mir bei allen Internetbrowsereingaben unseriöse russische Seiten. Avira piept alle paar Sekunden mit der TR/Shutdowner.fft Meldung, wenn ich den Guard nicht deaktiviere. Ich habe bis dato schon sämtliches probiert, unter anderem Scans mit Spybot, Malware bytes, Combofix etc. Kein Programm konnte den o.g. Trojaner entfernen. Ich Habe von allen Scans Logfiles erstellt und hoffe, dass mir Jemand weiterhelfen kann. Vielen Dank schon mal im voraus ! Gruß Mark |
hi,na und wo sind die logs? :-) |
Malware bytes Log 1 Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5376 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.12.2010 14:39:06 mbam-log-2010-12-22 (14-39-03).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 249386 Laufzeit: 27 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 26 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Rootkit.Agent) -> Value: JP595IR86O -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Value: nonep -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Rootkit.Agent) -> Value: NtWqIVLZEWZU -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{44F64078-CD88-82C8-EA60-3BD82A154A9B} (Trojan.Dropper) -> Value: {44F64078-CD88-82C8-EA60-3BD82A154A9B} -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Bad: (C:\Programme\HGcaCGvq\wfonmcso.exe) Good: () -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Fgl.exe (Rootkit.Agent) -> No action taken. c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\tmp38773ffe\crypt_killexe.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\Fgm.exe (Rootkit.Agent) -> No action taken. c:\dokumente und einstellungen\*****\anwendungsdaten\Xowy\ikar.exe (Trojan.Dropper) -> No action taken. c:\programme\HGcaCGvq\wfonmcso.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\*****\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmp83878d16\KillEXE.exe (Trojan.Banker) -> No action taken. c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmpaa3ab796\Output.exe (Spyware.Passwords.XGen) -> No action taken. c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmpc6a4e0b5\crypt_all.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\praxis\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken. c:\programme\jypixmrql$jœëwfonmcso.exe\wfonmcso.exe (Trojan.Agent) -> No action taken. c:\programme\tmp\34w.exe (Backdoor.Bot) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000390.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000389.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000416.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000417.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP3\A0000538.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP3\A0000539.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP4\A0000571.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP4\A0000570.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0004003.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0004004.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0006014.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0006015.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken. c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken. Die Log Datei wurde anscheinend vor dem Reinigungsprozess gespeichert. Diesen habe ich natürlich immer ausgeführt. |
Malware bytes Log 2 Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5376 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 23.12.2010 11:14:56 mbam-log-2010-12-23 (11-14-55).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 180481 Laufzeit: 2 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Value: nonep -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{44F64078-CD88-82C8-EA60-3BD82A154A9B} (Trojan.Dropper) -> Value: {44F64078-CD88-82C8-EA60-3BD82A154A9B} -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Bad: (C:\Programme\TLKjHwNO\wfonmcso.exe) Good: () -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\tmpfa5d2c76\crypt_killexe.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\*****\anwendungsdaten\Erig\alygi.exe (Trojan.Dropper) -> No action taken. c:\programme\TLKjHwNO\wfonmcso.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\*****\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken. |
OTL.txt + Extra.txt OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 23.12.2010 12:07:26 - Run 1 |
ComboFix Log Combofix Logfile: Code: ComboFix 10-12-22.05 - Gurba 23.12.2010 12:30:06.1.2 - x86 |
Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste otl.txt bitte |
Spy Bot Logs als zip So und noch den SpyBot Log. |
ok, poste das otl log bitte nach meinen angaben, ist ein post über deinem, ich war da wohl etwas zu schnell |
OTL.txt OTL.txt als zip nochmal nach deinen Angaben |
1. deinstaliere mal spybot, das stört die reinigung. 2. dep für alle prozesse: http://www.winfaq.de/faq_html/Conten...?h=tip2323.htm • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". teile mir meldungen der dep mit. 3. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\iqoqo.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\oqilh.exe (None) O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\toipbe.exe (None) O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\iqoqo.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\oqilh.exe (None) O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\toipbe.exe (None) [2010.12.22 18:29:41 | 000,000,000 | ---D | C] -- C:\Programme\TLKjHwNO [2010.12.21 14:28:39 | 000,000,000 | ---D | C] -- C:\Programme\windows [2010.12.20 17:23:26 | 000,000,000 | ---D | C] -- C:\Programme\win [2010.12.18 00:30:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gurba\Anwendungsdaten\Poywhe [2010.12.17 04:44:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gurba\Anwendungsdaten\Xowy :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. pc sollte wieder im normal modus starten können. öffne den arbeitsplatz, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo Markus, Ich konnte über die Weihnachtstage nicht an den Rechner und schreibe deshalb erst heute wieder. Ich habe alle Schritte ausgeführt , aber nicht ganz verstanden, was es mit den Meldungen der DEP auf sich hat. Ich habe, wie in der Anleitung beschrieben, in der BOOT.INI /NoExecute reingeschrieben. Nach dem Neustart hat sich nichts verändert und es kam auch keine Meldung !? gruß Mark |
hi, es gibt nicht bei jedem ne meldung. deswegen auch "falls" du hast das falsche hochgeladen. ich sprach vom ordner moved files, den solltest du packen und hochladen. |
Ok alles klar. Der richtige Ordner müsste hochgeladen sein. |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
ComboFix Log Combofix Logfile: Code: ComboFix 10-12-26.01 - ***** 27.12.2010 15:02:23.2.2 - x86 |
warum hast du combofix bereits in den letzten wochen verwendet? |
Weil ich versucht habe, dass Problem alleine zu lösen, indem ich mir die Arbeitsschritte von den anderen Fällen hier im Forum durchgelesen habe. Das war wohl nicht so klug :-/ |
nein, außerdem sitzt du jetzt schon so lange drann und es scheint nicht besser zu werden, wollen wir nicht einfach daten sichern und dann neu aufsetzen und vernünftig absichern? |
Gibt es denn keine andere Lösung ? Ich habe den Rechner nämlich erst vor 2 Wochen neu aufgesetzt... Es war eine heiden Arbeit, außer der Treiber, notwendigen Programme und Netzwerkinstallation, auch unsere interne Software neu einzurichten. Also wenn es irgendwie noch zu retten ist, dann lieber nicht neu aufsetzen. Denn das andere war um einiges aufwendiger. |
hast du keine backups? ist das nen firmen pc? dann gibts keine andere möglichkeit, was meinst du erst wie stressig das ist, wenn unternehmens und kundendaten nach außen gelangen? wäre mir das vorher aufgefallen hätte ich dich schon vorher drauf hingewiesen. |
Ok verstehe. Mit welchen Mitteln kann ich mich denn in Zukunft am besten vor solchen Biestern schützen? Welches Antivir Programm empfiehlst du ? Die Möglichkeit den Rechner ganz vom Netz zu nehmen, gibt es leider nicht, da wir das Internet für einige interne Anwendungen benötigen. Wiederherstellungspunkte hatte ich eingerichtet , aber ein Backup in dem Sinne, habe ich nur von den Kundendaten/Software. |
naja du wirst aber neu aufsetzen müssen. für ne firma ist es unerlässlich backups vom laufenden betrieb zu machen. aber was willst du mit dem verseuchtem system anfangen. das muss neu gemacht werden, danach können wir uns ums absichern kümmern, vorher machts überhaupt keinen sinn. |
Hallo Markus, Frohes neues Jahr ! Die Festplatte ist formatiert und Windows neu aufgesetzt. Wie kann ich den Pc bestmöglich schützen, damit mir sowas in Zukunft möglichst nicht mehr passiert ? gruß Mark |
windows update aufsuchen, so lange updates instalieren bis keine mehr zur verfügung stehen, aut internet explorer 8! dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, guard, autostart, haken raus lassen. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dies sollte 1x pro woche durchgeführt werden. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen lesezeichen importieren: Lesezeichen ? OperaWiki um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) und ein vidio zum besseren verständniss: hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. - programme patches etc immer nur vom hersteller direkt laden. online banking: ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden. Kartenlesegerät ? Wikipedia instaliere jetzt die von dir benötigten programme. endere alle passwörter. surfe nur noch in der sandbox, mit klick auf sandboxed web browser |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board