Hallo Trojaner-Board-Team,

mein Internet Explorer Prozess (nur Prozess) iexplore.exe startet sich selbst 3 mal.
Der Benutzer des Prozesses ist SYSTEM.
Hin und wieder hör(t)e ich dann Musik (wie in einer Werbung).
Wenn ich den Internet Explorer auf leise stelle (im Windows 7 Lautstärke Mixer) ist auch die Musik leise.
Wenn ich die iexplore.exe Prozesse beende (im Windows 7 Task-Manager) ist auch die Musik beendet.

Ich habe gerade "die Liste" abgearbeitet um euch einen Überblick zu schaffen.
Ich meine diese Liste des Torjaner-Boards: http://www.trojaner-board.de/69886-a...-beachten.html

Doch vor der Liste (1 Tag zuvor) habe ich schon Ad-Aware Free durchlaufen lassen, welcher auch etwas gefunden und entfernt hat.
Auch Malwarebytes lief (1 Tag zuvor) schon im Vollständigen Scan durch (ohne Funde).
Und mir scheint so (nach 1 Tag Beobachtung) als sei die Musik weg, NICHT aber die iexplore.exe Prozesse.

Alle meine Logs habe ich in einer ZIP-File angehängt (ScanLogs.zip unten im Anhang)
Aber eine Übersicht der Logs hier:
1) Malwarebytes Vollständiger Scan 1 Tag alt (ohne Funde)
2) Ad-Aware Free 1 Tag alt
- CCleaner von heute - keine log, aber alles entfernt gemäß Anleitung der Liste oben.
3) Malwarebytes Quickscan von heute (ohne Funde)
4) RSIT-Log von heute
5) RSIT-Info von heute

Das ist mein erster Beitrag und ich hoffe damit könnt ihr schonmal etwas anfangen, und wenn ich weitere Infos nachliefern soll, einfach melden.

Freundlich grüßt Euch
Frank

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

remover.exe Wie beschrieben unter Windows 7 als Administrator ausgeführt.
Ausgabe:
_____________________________________________________
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 7e2d793e655aa56e54045c9032f66f00

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...
_____________________________________________________

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat
         

Lad danach die neu erstellte Datei c:\mbr.dat bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Hi Arne,
mbr.dat der remover.exe Applikation nachdem ich

Code: Alles auswählenAufklappen

ATTFilter

remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat
         

ausgeführt habe ist hochgeladen.
Gruß Frank

Dann nun die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive0
         

Hi wieder Arne,
also den fix habe ich ausgeführt und die cmd-Box meldete nur OK, der Cursor blinkte darunter und die cmd-Box ließ sich nicht schießen.

Da ein Windowsfenster zuvor noch meldete, dass ich unmittelbar nach dem fix neustarten muss (da sons ein möglicher Trojaner wieder den reparierten MasterBootRekord infiziern könnte) habe ich den Rechner neu gesartet.

Windows 7 konnte nicht starten.
Nun musste ich den Windwosdatenträger einlegen (zum Starten) und mittels Reparatur den Windows 7 Starteintrag wiederherstellen, welcher als fehlerhaft erkannt wurde.

Hat auch geklappt und Windwos startete wieder.

Bisher (nach 5-10 Minuten Windwos 7 Betrieb) kann ich sagen:
Meine iexplore.exe Prozesse starten nicht mehr automatisch!
Ich beobachte es weiter...

Benötigst du nun wieder die aktuelle mbr.dat?

Freundlich grüßt Funky-Frank

Ok, danke für die Hinweise, ich schätze dann ist der Bootkit Remover nicht so ganz mit Win7 kompatibel, werd ich mal im Hinterkopf behalten müssen.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

es gab nun keine Funde mehr mit den letzten vollständigen Scans.

Die logfiles behalte ich nun für mich, beziehungsweise habe diese und die Scantools von meinem System gelöscht.

Vielen vielen Dank für Deine professionelle Hilfe.

Danke ans Trojaner-Board-Team.

10 € dafür an: http://www.trojaner-board.de/79994-s...ndenkonto.html

Es grüßt
Frank

Zitat:

Zitat von Funky-Frank

10 € dafür an: http://www.trojaner-board.de/79994-s...ndenkonto.html