![]() |
"iexplore.exe" verursacht Traffic + GuraqVM,NecursX und Dropper gefunden Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Der Fund: An Neujahr tauchte Abends nach dem Anmelden eine Windows Meldung auf, die mich dazu aufforderte ein Passwort für die Verschlüsselung meiner Daten auszuwählen. Habe darauf hin das Problem bei Google nachgeschlagen, den "EFS" Dienst deaktiviert und hatte keine Probleme mehr, damit war das Thema erstmal vergessen. 6 Tage Später wurde meine Internetverbindung furchtbar langsam. Also speedtest gemacht und einen Ping von über 500ms sowie eine stark gesunkene Bandbreite festgestellt. Im Taskmanager ist mir dann die "iexplore.exe" aufgefallen, welche 4-mal ausgeführt wurde. Ein blick in den Ressourcenmanager hat mir dann einen ziemlichen Schrecken eingejagt (Screenshot im Anhang). Meine Maßnahmen: Ein Avira scan (von einer anderen Windows installation aus) hat einige Schädlinge gefunden, diese wurden in die Quarantäne verschoben. Danach habe ich wieder das befallene OS gebootet. "iexplore.exe" kam jedoch nach wenigen Minuten zurück. Darauf hin ein weiterer Scan, dieses mal von dem befallen System aus, jedoch ohne fund. Darauf hin habe Ich mich Heute dann hier angemeldet, Defogger ohne Fehlermeldung und FRST64.exe ausgeführt. GMER meldet sich beim Start mit der Meldung: "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Habe vor dem Start Browser, AV und andere Programme beendet. Wenn ich nun auf Scan clicke, kommt diese Meldung erneut, darauf hin erscheint eine ganz ähnliche nur mit anderem Pfad: "C:\Users\Adrian\ntuser.dat" und darauf hin sagt mir GMER, dass es keine "system modification" gefunden hat. Die Gmer.txt ist komplett leer. Ein Screenshot des Resourcenmonitors sowie die Logs sind im Anhang, da zu lang. |
Hallo, ja da ist ein Rootkit-Treiber aktiv.. Schritt 1 Scan mit Combofix
Schritt 2 Starte noch einmal FRST.
|
Vielen Dank für die schnelle Antwort! Hier die Combofix Logfile: Code: ComboFix 14-01-08.02 - Adrian 08.01.2014 16:24:54.1.4 - x64 |
Das Ding wurde nicht erwischt. Wir müssen in die Reperaturoptionen wie folgt: Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board