Hallo zusammen,

ich habe das gleiche Problem, das schon mehrfach in den letzten Einträgen erschien:

- der Internet Explorer geht mit Werbung auf
- der Ton der Soundkarte geht auf 0
- Musik wird eingespielt
- mehrere IE Prozesse laufen im Hintergrund

Weder mein aktuelles Antivir noch Adaware oder spybot konnten das Problem beseitigen.

Aus dem Thread http://www.trojaner-board.de/87837-i...er-runter.html habe ich den Hinweis entnommen, den Bootkit Remover laufen zu lassen. Folgendes Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 454f8f8f464d74f8b4b6306cbff41597
\\.\F: -> \\.\PhysicalDrive1
MD5: 454f8f8f464d74f8b4b6306cbff41597

     Size  Device Name          MBR Status
 --------------------------------------------
   465 GB  \\.\PhysicalDrive0   Unknown boot code
   298 GB  \\.\PhysicalDrive1   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
         

Schonmal herzlichen Dank für eure Hilfe!
Bruze

Welches Betriebssystem? XP?

Hallo Cosinus,

ja, XP auf aktuellem Stand.

Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive0
         

Danach auch diesen Befehl:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive1
         

Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

Hallo Cosinus,

schonmal danke für die Hilfe! Die Anweisung habe ich umgesetzt:

Code: Alles auswählenAufklappen

ATTFilter

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive0...
OK


C:\>remover.exe fix \\.\PhysicalDrive1
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive1...
OK
         

Danach habe ich neu gestartet, nach dem Neustart kam folgende Nachricht:

Code: Alles auswählenAufklappen

ATTFilter

Gänderte Systemeinstellungen
Die Installatino neuer Geräte wurde fertig gestellt. Sie müssen den Computer neu starten, damit die Gerätesoftware angewendet werden kann. Die Änderungen werden erst nach dem Neustart des Computers wirksam.

Soll der Computer neu gestartet werden?
         

Habe nochmal gestartet und dann nochmal den remover laufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
\\.\E: -> \\.\PhysicalDrive1
MD5: 6def5ffcbcdbdb4082f1015625e597bd

     Size  Device Name          MBR Status
 --------------------------------------------
   465 GB  \\.\PhysicalDrive0   OK (DOS/Win32 Boot code found)
   298 GB  \\.\PhysicalDrive1   OK (DOS/Win32 Boot code found)
         

Scheint bis jetzt soweit in Ordnung zu sein. Der Ton wurde bis jetzt nicht ausgeschaltet und keine iexplorer-Tasks im Hintergrund.

Wie steht es eigentlich mit USB-Sticks, die ich in letzter Zeit in Gebrauch hatte? Die müssen vermutlich ebenfalls getestet werden? Ich habe mich noch nicht getraut, sie jetzt einfach reinzustecken. Ich habe auch in Forumbeiträgen gelesen, daß man USB-Sticks "impfen" lassen soll, konnte aber damit direkt nichts anfangen.

Zitat:

daß man USB-Sticks "impfen" lassen soll, konnte aber damit direkt nichts anfangen.

Die kann man mit dem FlashDisinfector impfen.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo cosinus,

hier der Scan von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4314

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.07.2010 23:44:56
mbam-log-2010-07-14 (23-44-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 304182
Laufzeit: 1 Stunde(n), 48 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Und hier von Superantispyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/15/2010 at 09:31 AM

Application Version : 4.40.1002

Core Rules Database Version : 5203
Trace Rules Database Version: 3015

Scan type       : Complete Scan
Total Scan Time : 01:23:55

Memory items scanned      : 491
Memory threats detected   : 0
Registry items scanned    : 8257
Registry threats detected : 0
File items scanned        : 168091
File threats detected     : 1

Trojan.Agent/Gen-Krpytik
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{FC5A331B-6F81-4EC0-A5CC-090276066E6A}\RP400\A0072310.EXE
         

Da scheint etwas gefunden worden zu sein.

Die Symptome des anfänglichen Problems (Popup IE, Ton aus usw.) sind übrigens bis jetzt nicht wieder aufgetaucht. :-)

Sieht ok aus. Falls es kein Fehalarm war, ist der Fund nur ein rel. harmloser Überrest in der Systemwiederherstellung.

Hallo cosinus,

prima, ich danke dir sehr für die tolle und schnelle Hilfe!

Ich habe jetzt auch die Sticks mit dem Flash Disinfector geimpft.

Noch eine Frage: Ich habe im Forum gelesen, daß man von einem Nichtadministrator-Zugang aus surfen soll, was nachvollziehbar ist. Gibt es eine eine einfache Möglichkeit, seinen normalen Admin-Account zu kopieren und dann die Kopie auf Nichtadmin umzustellen? Es wäre schön, wenn man so seine ganzen Sondereinstellungen für den Zweitaccount mitnehmen könnte.

Ich habe dazu den einen oder anderen Hinweis im Netz gefunden, aber die Quellen und Anleitungen schienen mir etwas dubios zu sein, ich konnte zumindest nicht erkennen, ob ich damit mehr Schaden als Nutzen anrichte.

Viele Grüße
Bruze

Zitat:

Gibt es eine eine einfache Möglichkeit, seinen normalen Admin-Account zu kopieren und dann die Kopie auf Nichtadmin umzustellen? Es wäre schön, wenn man so seine ganzen Sondereinstellungen für den Zweitaccount mitnehmen könnte.

ja. Einfach mit dem Standardadmin "Administrator" anmelden und das sonst genutzte Konto rechtemäßig von Computeradminstrator auf Benutzer umstellen.
Notfalls kannst Du auch einen zweiten Admin erstellen, um die Rechte beschneiden zu können, aber aus dem gleichen Konto heraus das machen, welches Du beschränken willst geht AFAIK nicht und würde ich auch nicht empfehlen.