Ungewolltes automatisches Herunterfahren in Windows 7
 

Hallo!

Ich habe seit einiger Zeit das Problem, dass sich mein Windows mit der Meldung "Windows wird in einer Minute heruntergefahren [...]" neustartet. Das passiert aus meiner Sicht relativ zufällig, jedenfalls nicht reproduzierbar. Das ganze ließ sich zwar nach Recherche durch "shutdown -a" abbrechen, aber es muss ja trotzdem irgendwas faul sein im System.

Darum habe ich zunächst mal den Quickscan von Malwarebytes' Anti-Malware laufen lassen, mit folgendem Ergebnis:

Die Datei ließ sich löschen. Nun wollte ich aber sichergehen, dass alles beseitigt ist, und habe entsprechend der Anleitung unter http://www.trojaner-board.de/85104-o...-oldtimer.html noch einen Scan gemacht.

Es wäre toll, wen jemand von euch da mal drüber schauen könnte und seine Meinung posten könnte, ob das Problem beseitigt ist oder ob ich weitere Schritte unternehmen muss. Bisher trat der Fehler nicht mehr auf, aber mehr als einmal pro Tag habe tut er das auch meistens nicht. Das Ergebnis des Scans sah dann so aus:

Erstmal die OTL.txt,
OTL Logfile:
--- --- ---


und auch noch die Extras.txt:
OTL Logfile:
--- --- ---


(Achso, dass das CD-Laufwerk "nicht bereit" ist, weiß ich schon, das Problem lässt sich aber immer durch einen Neustart beheben. Vllt kennt da aber auch einer eine bessere Methode.)

Vielen Dank schonmal!

Bitte einen Vollscan mit malwarebytes machen und Log posten.

So, das erste Mal hat er noch zwei Sachen gefunden, einmal einen "Trojan.Bancos" und ein "Malware.Tool" jeweils in exe-Dateien, die konnten gelöscht werden. Beim nächsten Scan war dann alles sauber, und das eigentliche Problem scheint auch beseitigt, bisher hat sich der Rechner noch nicht von selbst neugestartet. Hoffe, dass es so bleibt! Scheint also wohl die Datei im Adobe Update-Ordner gewesen zu sein. Die hatte sich aber zum Glück nicht in den Autostart oder in die Registry geschrieben, wie das bei anderen passiert ist, deren Fälle ich gerade beim kurzen googlen gefunden habe.

Danke erstmal, ich hoffe, damit ist das Thema hier gelöst!

Log posten!!!

Oh, sorry, ganz vergessen, war so glücklich, dass es geklappt zu haben schien. Leider ist der Fehler gerade wieder aufgetreten... Mist!!

Nagut, hier also der Log.

Sind beides Dateien bzw. Ordner, die ich eigentlich gar nicht mehr brauch: Die erste gehört zu Baldur's Gate 2, einem Spiel, das war glaub ich ein Patch dazu, aber wozu man den genau brauchte, weiß ich nicht mehr. Das Spiel ist in dem System aber auch nicht installiert, hab mir nur die Datei gesichert, weil die glaub ich nicht auf der DVD drauf war. Die zweite ist in nem alten Backup-Ordner von ner XP-Installation, die ich blind kopiert hatte. Den Ordner hab ich inzwischen nach Wichtigem durchgesehen und dann gelöscht.

Was für ne EXE ist das? Sinn & Zweck der Datei?

Ich glaub, die war fürs Multiplayerspielen irgendwie wichtig, aber oft benutzt kann ich die nicht haben und lange her ist das auch, erinnern kann ich mich jedenfalls nicht, die jemals überhaupt benutzt zu haben, war wie gesagt noch auf einem anderen System. Das Problem liegt auch glaub ich woanders, die Datei gabs ja schon länger an der Stelle, das Problem hab ich aber erst seit kurzem. Eben kam noch ein Fehler über eine abgestürzte Datei, vllt hilft der ja weiter:

Name der fehlerhaften Anwendung: 6615f428409d544c.exe, Version: 0.0.0.0, Zeitstempel: 0x4c97aaa9
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0xab0
Startzeit der fehlerhaften Anwendung: 0x01cb59a5d11fd2ec
Pfad der fehlerhaften Anwendung: C:\Users\***\AppData\Local\Temp\6615f428409d544c.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 1440d6d8-c599-11df-aa53-a3760f91bc60

Ansonsten hätte ich noch die Ereignisanzeigenausgabe von direkt vor den Neustarts anzubieten, hilft die vllt weiter?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So, ich hab zwar beim ersten Mal vergessen, die Sternchen zu ersetzen, habs dann aber nochmal laufen lassen mit ersetzten Sternchen und dem gleichen Text, hier die Logs vom ersten und zweiten Durchlauf:

und

Ist das gut oder schlecht, dass da Schen nicht gefunden wurden?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, hat alles funktioniert, hier der Log von Combofix:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Es wurde zwar nicht gefragt, ob ich neustarten will, aber hier der Log. Komisch, dass die kumy.exe wieder da war, die wurde doch vorhin von Comboscript angeblich schonmal gelöscht...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Du sagst, dass GMER "häufiger abstürzt". Ist damit ein BlueScreen gemeint oder nur ein Programmabsturz? Ich hatte grad einen Bluescreen während des Scans... Ich versuche es dann morgen nochmal.

So, erstmal der GMER-Log, hat nun doch geklappt:

Und der OSAM-Log:

Die bootkit-remover.exe (eine remover.exe war da nicht in dem Archiv) sagt:

"[...]
Boot secot MD5 is: e5e88[...]

Size Device Name MBR Status
------------------------------------------------
86 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code [...]
Done;
Press any key to quit..."

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Also stimmt was mit dem Rootkit nicht? Hier der Log von MBRCheck.exe:

Edit: gelöscht, da moddin Ubuntu parallel installiert hat :)

OK, mach ich gleich. Kurze Frage vorher noch: Den Bootloader, der von Ubuntu stammt und der meines Wissens auch im MBR steht, verliere ich dadurch? Oder wird daran nichts geändert?

Oh, Du hast ein Ubuntu parallel installiert? Dann darfste den MBR-Fix natürlich nicht machen, das erklärt auch einen unbekannten MBR! Ignorier die Anleitung mit dem MBR-Fix!

Der Rest sieht soweit ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, ein paar Sachen hat Anti-Malware wieder gefunden. Was nun? Trotzdem SUPERAntispyware anwerfen?

Ein Fund war ein Überrest in der Registry, einer im Quarantäneordner von CF (das ist folgerichtig und in der Quarantäne sind die Dinger harmlos weil isoliert) und ein harmloser im Javacache.

Mach mit SASW bitte weiter.

Alles klar, also jetzt der Log von SUPERAntiSpyware:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Bisher nichts, toi toi toi! Ich warte nochmal ein paar Tage ab, ob der ursprüngliche Fehler wieder auftritt und mach zwischendurch immer mal wieder Scans mit Anti-Malware.

Wir sind dann durch! :)

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Die Ordner C:\_OTL_ und C:\Qoobox brauch ich dann auch nicht mehr, oder sollte man die vorsichtshalber behalten?

Lad die mal zu uns hoch, evtl ist da noch malware drin, die man den Herstellern zwecks besserer Erkennung schicken kann:

Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Ordner C:\Qoobox in eine Datei zippen
4.) Beide erstellten ZIP-Dateien hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
5.) Wenns erfolgreich war Bescheid sagen
6.) Erst dann wieder den Virenscanner einschalten

So, hab die Ordner jetzt hochgeladen. Allerdings zweimal, nach dem ersten Mal hab ich mich dran erinnert, dass mein Virenscanner gestern die eine Datei in seine Quarantäne verschoben hatte, während ich mir den Ordner genauer angeguckt hab. In den zweiten hochgeladenen Archiven ist die aber wieder mit drin, hab sie wiederhergestellt.

Ok danke! Wir sind nun durch und Du kannst die Ordner dann auch löschen.