| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden RhytmusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.07.2010, 13:38
| #1 |
| |  IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus Hallo ich habe ein ähnliches Problem wie viele hier - alle 30 minuten popt der IE hoch obwohl ich nur Mozilla Firefox und OPERA verwende. Das es ein Firmen-PC ist wollte ich nicht alle Logs posten - ich habe aber mit CCleaner schon bereinigt , mit MBAM gesucht - hier das LOG : Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4329 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 20.07.2010 13:05:03 mbam-log-2010-07-20 (13-05-03).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 1 Laufzeit: 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Die installierte Produktpalette von SYMANTEC findet auch nichts . Das REMOVER Tool liefert mir immerhin folgendes : D:\temp\Tests>remover.exe Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com \\.\C: -> \\.\PhysicalDrive0 MD5: 0d2aa81fc61f2f9214afebf1c96a2f88 \\.\D: -> \\.\PhysicalDrive0 \\.\E: -> \\.\PhysicalDrive0 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Press any key to quit... D:\temp\Tests>remover.exe dump \\.\PhysicalDrive0 mbr.mbr Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com Dumping master boot sector of \\.\PhysicalDrive0... 00000000: 31 c0 8e d8 8e c0 8e d0 bc 00 7c be 00 7c bf 00 | 1.........|..|.. 00000010: 06 b9 80 00 fd fc fc f3 66 a5 90 ea 20 06 00 00 | ........f... ... 00000020: 66 31 c0 be be 07 b1 04 66 52 66 ba 37 03 00 00 | f1......fRf.7... 00000030: 66 5a 66 39 44 08 72 08 66 8b 44 08 66 03 44 0c | fZf9D.r.f.D.f.D. 00000040: 83 c6 10 83 2e 88 06 04 e2 e8 66 09 c0 74 3e 66 | ..........f..t>f 00000050: 83 c0 02 b9 40 00 bb 00 7c bf 04 07 83 2e 88 06 | ....@...|....... 00000060: 04 e8 6c 00 72 27 66 68 83 c4 14 90 90 fc 66 68 | ..l.r'fh......fh 00000070: 04 46 e2 f9 66 68 80 ff d7 30 66 68 89 c3 b9 00 | .F..fh...0fh.... 00000080: 66 68 be 00 7c 66 0f 83 76 75 fd fc e8 be be 07 | fh..|f..vu...... 00000090: b1 04 80 3c 80 74 0f 38 2c 0f 85 97 00 83 c6 10 | ...<.t.8,....... 000000a0: e2 f0 90 fc cd 18 66 8b 44 08 89 e3 b9 01 00 e8 | ......f.D....... 000000b0: 1e 00 73 0d 8b 4c 02 b8 01 02 cd 13 90 0f 82 8e | ..s..L.......... 000000c0: 00 81 3e fe 7d 55 aa 0f 85 a6 00 ea 00 7c 00 00 | ..>.}U.......|.. 000000d0: 66 60 bb aa 55 b4 41 cd 13 73 04 f9 66 61 c3 81 | f`..U.A..s..fa.. 000000e0: fb 55 aa 75 f6 f6 c1 01 74 f1 66 61 66 60 90 6a | .U.u....t.faf`.j 000000f0: 00 6a 00 66 50 06 53 51 6a 10 b4 42 89 e6 cd 13 | .j.fP.SQj..B.... 00000100: 61 66 61 c3 66 69 db fd 43 03 00 66 81 c3 c3 9e | afa.fi..C..f.... 00000110: 26 00 66 89 d8 66 c1 e8 10 66 25 ff 00 00 00 c3 | &.f..f...f%..... 00000120: fd fc 5e ac 08 c0 74 fc 56 1e bb 07 00 b4 0e cd | ..^...t.V....... 00000130: 10 1f eb ec e8 e9 ff 49 6e 76 61 6c 69 64 20 70 | .......Invalid p 00000140: 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 e8 | artition table.. 00000150: ce ff 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 | ..Error loading 00000160: 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d | operating system 00000170: 00 e8 ac ff 4d 69 73 73 69 6e 67 20 6f 70 65 72 | ....Missing oper 00000180: 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 00 | ating system.... 00000190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001b0: 00 00 00 00 00 00 00 00 69 64 65 64 00 00 80 00 | ........ided.... 000001c0: 01 01 07 ef ff ff 10 3b 00 00 f0 62 a9 03 00 ef | .......;...b.... 000001d0: ff ff 0f ef ff ff 00 9e a9 03 10 e9 f7 0e 00 00 | ................ 000001e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ 000001f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 aa | ..............U. 512 bytes written to mbr.mbr Die Datei habe ich auch als zip hier angehängt. Die Frage ist nun - kommt das von PARTITION MAGIC mit dem ich meine platte partioniert habe - oder ist da ein Trojaner versteckt ? Vielen Dank für ein Antwort schon mal im voraus Micky |
|
20.07.2010, 14:03
| #2 |
| /// Malware-holic   | IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus start ausführen, cmd.exe
__________________enter dann tippe: START remover.exe fix \\.\PhysicalDrive0 enter falls es ne fehlermeldung gibt, kopiere remover.exe des bootkitremovers nach c:\windows\system32 dann noch mal START remover.exe fix \\.\PhysicalDrive0 enter exit enter pc neu starten und remover.exe durch doppelklick ausführen, log posten. |
|
20.07.2010, 15:01
| #3 |
| | IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus Danke
__________________bin begeistert - die Baustelle ist weg . Ich werde es jetzt beobachten und den SYMANTEC Firewall wieder so einstellen daß der IE in Internet darf - damit ich gleich merke wenn noch was ist . Nochmals vielen Dank für die Prompte Hilfe . Micky Hier das Log : D:\temp\Tests>remover.exe Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com \\.\C: -> \\.\PhysicalDrive0 MD5: 6def5ffcbcdbdb4082f1015625e597bd \\.\D: -> \\.\PhysicalDrive0 \\.\E: -> \\.\PhysicalDrive0 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Press any key to quit... |
|
20.07.2010, 16:43
| #4 |
| /// Malware-holic | IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus da das n firmen pc ist, sollte man auf nummer sicher gehen, platt machen und danach alle pws endern. dann kauf dir true image und mache immer fleißig backups :-) |
|
20.07.2010, 17:01
| #5 |
| | IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus Danke für den Tip - die Sicherungen laufen automatisch und zusätzlich habe ich noch eine externe Platte - man lernt ja  Den Rest checke ich mit unseren PC Leuten mal ab . Bisher übrigens keinerlei Aktivitäten mehr vom IE - sieht also gut aus. Nochmals danke . Micky |
|
20.07.2010, 17:10
| #6 |
| /// Malware-holic | IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus naja da du ne sicherung hast ist das ja ok. aber in nem unternehmen sollte man ja 100 %ig sicher gehen und je nach dem wie wichtig die arbeit auf dem pc ist, kundenbezogene daten, buchungen, etc sollte man auf jeden fall ne formatierung machen. |
|
| Themen zu IEXPLORE.EXE alle 30 Minuten aktiv - Werbefenster im Halbstunden Rhytmus |
| aktiv, anti-malware, ccleaner, dateien, explorer, file, firefox, fix, folge, frage, gesucht, iexplore.exe, liefert, mas, mbam, mozilla, opera, problem, remover, symantec, temp, tool, trojaner, version, werbefenster |
Linear-Darstellung
