Folgendes Problem:

Im Hintergrund laufen ständig mehrere Instanzen vom InternetExplorer. Dazu geht dann hin und wieder ein Fenster mit Werbung auf (im IE). Dann läuft immer wieder eine Sounddatei mit Werbung. Die Wave-Lautstärke wird auch ständig auf Null gesetzt. Dann hört man die Werbung halt nicht mehr, erst wieder wenn man sie wieder manuel auf laut stellt.

Ich habe mich hier im Forum schon ein bisschen informiert und wollte daher hier eigentlich einen combofix-Logfile mit anhängen. Allerdings hängt combofix sich nach Stufe 2 auf (2 stunden laufen gelassen). TFCleaner hängt sich auch nach kurzer Zeit auf (nein, ich habe nicht die Maus oder Tastatur zwischendurch benutzt )

Antivir meldet beim Systemstart immer TR/Click.Cycler.ajqh in C:\System Volume Information\Microsoft\services.exe und in smss.exe (gleicher Ort)


Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4192

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27.06.2010 15:46:39
mbam-log-2010-06-27 (15-46-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135229
Laufzeit: 5 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

RSIT im Anhang


Ich würde mich freuen, wenn mir da jemand helfen kann. Danke schonmal

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte bootkit_remover. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Bootkit Remover ausgabe
OTL.txt
Extras.txt

Vielen Dank schon mal für deine Hilfe.

Das erste Problem tritt jetzt auf, wenn ich den Bootkit remover benutze. Die Ausgabe ist folgende (daher habe ich erstmal nicht mit Schritt 2 weiter gemacht):

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: ba1e847be65275becbc41b586456f754

     Size  Device Name          MBR Status
 --------------------------------------------
    93 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
         

Und was ist das Problem?

Mach bitte schritt 2

Ok, dachte da sollte "mehr" passieren.

Zu Schritt 2: OTL friert nach einiger Zeit ein. Da steht dann gerade: scanning driver:ebpnoise
Habe dann noch 20 minuten gewartet und es eben nach einem Neustart nochmal probiert: Gleiches Ergebnis

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

OTL.exe friert weiterhin ein wieder bei ebpnoise

Schritt 1

Sollte sich die remover.exe nicht am Desktop befinden, dann diese bitte auf den Desktop verschieben.

Windows + R taste drücken. Kopiere nun folgendes in die Zeile

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0


Klicke OK, starte den Rechner neu auf.


Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Bitte poste in Deiner nächsten Antwort
Combofix.txt

Schritt 1 hat geklappt.

ComboFix stürzt dann allerdings nach Stufe 2 ab.

Hast Du Combofix auch so wie beschrieben verwendet ?
Neu herunter laden etc.

Jep,
Hab es eben auch noch ein zweites Mal probiert (nach Neustart und nochmal mit anderem Dateinamen runtergeladen). .Der Absturz nach Stufe 2 bleibt.

Wenn ich combofix starte kommt übrigens eine Fehlermeldung, dass grpconv nicht gefunden werden konnte. Und wenn die Kommandozeile dann auf ist und der Widerherstellungspunkt gesetzt werden soll, steht da noch mal kurz, dass Windows Script Host auf diesem Rechner nicht aktiv ist, oder so ähnlich.

\o/

Edit

Das wird noch lustig

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
cd \
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings" > "%temp%\look.txt"
dir /s /b GRPCONV.EXE >> "%temp%\look.txt"
notepad "%temp%\look.txt"
del%0
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

Code: Alles auswählenAufklappen

ATTFilter

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
    DisplayLogo	REG_SZ	1
    ActiveDebugging	REG_SZ	1
    SilentTerminate	REG_SZ	0
    UseWINSAFER	REG_SZ	1
    Enabled	REG_DWORD	0x0
C:\WINDOWS\$NtServicePackUninstall$\grpconv.exe
C:\WINDOWS\ServicePackFiles\i386\grpconv.exe
         

Ich habe noch ein Malwarebytes log-file gefunden, in dem grpconv auftaucht:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
         

Okay das von MBAM geht OK, die Datei hat dort nichts verloren.

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
cd \
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings" /v enabled /t Reg_Dword /d 1 /f
copy /y "C:\WINDOWS\ServicePackFiles\i386\grpconv.exe" "%windir%\system32"
del%0
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"

Starte den Rechner neu auf und versuch erneut einen Quickscan mit OTL.

Gleiches Ergebniss wie vorhin. OTL bricht bei driver:ebpnoise ab