iexplore.exe, wavesound auf 0, Werbepopups
 

Hallo da draussen,

hatte mit einem kollegen über Fussi Statiskien diskutiert. Er schickt mit per IM (Trillian) einen Link...normalerweise mach ich da copy/paste und nutze Firefox. IE benutze ich nie. Der link öffnet sich im IE und seitdem habe ich diesen Popup Müll mit I-Phone Reklame etc, die per IE Fenster angezeigt werden. Der Sound geht auf null. Es nervt. Habe iexplore.exe gesucht (versteckte Dateien und ordner etc. habe ich vorher sichtbar gemacht), ATF-Cleaner geöffnet, Netz abgestöpselt, Prozess gekillt, alle iexplore.exe(n) gelöscht und dann direkt ATF alles aus dem recyler löschen lassen. Nu scheints fort...Sicherheitshalber habe ich mir noch "GMER" runtergeladen um mir hier von euch ein feedback zu holen. hier der log :

"GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-13 08:50:26
Windows 5.1.2600 Service Pack 2
Running: jcborccs.exe; Driver: C:\DOKUME~1\Funkfred\LOKALE~1\Temp\pgrdypob.sys


---- System - GMER 1.0.15 ----

SSDT B9E3913E ZwCreateKey
SSDT B9E39134 ZwCreateThread
SSDT B9E39143 ZwDeleteKey
SSDT B9E3914D ZwDeleteValueKey
SSDT B9E39152 ZwLoadKey
SSDT B9E39120 ZwOpenProcess
SSDT B9E39125 ZwOpenThread
SSDT B9E3915C ZwReplaceKey
SSDT B9E39157 ZwRestoreKey
SSDT B9E39148 ZwSetValueKey
SSDT B9E3912F ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\wuauclt.exe[1320] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C70000
.text C:\WINDOWS\system32\wuauclt.exe[1320] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00C90000
.text C:\Dokumente und Einstellungen\Funkfred\Eigene Dateien\Downloads\jcborccs.exe[2704] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00BB0000
.text C:\Dokumente und Einstellungen\Funkfred\Eigene Dateien\Downloads\jcborccs.exe[2704] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00BD0000
.text C:\WINDOWS\Explorer.EXE[3356] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 01AE0000
.text C:\WINDOWS\Explorer.EXE[3356] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 01B00000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00BF0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00C10000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] ADVAPI32.dll!CryptDeriveKey 77DBA1A5 5 Bytes JMP 00EA0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] ADVAPI32.dll!CryptImportKey 77DBA399 5 Bytes JMP 00E60000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] ADVAPI32.dll!CryptGenKey 77DE1511 5 Bytes JMP 00E80000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 00E00000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WS2_32.dll!send 71A1428A 5 Bytes JMP 00E20000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetConnectA 7719308A 5 Bytes JMP 00CA0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpOpenRequestA 77193674 5 Bytes JMP 00DA0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00D60000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetCloseHandle 77194D3C 5 Bytes JMP 00DE0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpSendRequestA 771960C9 5 Bytes JMP 00CE0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetReadFile 7719827C 5 Bytes JMP 00C30000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00D80000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpOpenRequestW 7719F3BE 5 Bytes JMP 00DC0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!CommitUrlCacheEntryA 771A1B4A 5 Bytes JMP 00D20000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetQueryDataAvailable 771A8A37 5 Bytes JMP 00CC0000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetReadFileExA 771C868E 5 Bytes JMP 00C50000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!InternetReadFileExW 771C90DE 5 Bytes JMP 00C70000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!HttpSendRequestW 771E23AC 5 Bytes JMP 00D00000
.text C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE[3576] WININET.dll!CommitUrlCacheEntryW 771F01A3 5 Bytes JMP 00D40000
.text C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe[3708] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 01000000
.text C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe[3708] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 01020000
.text C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe[3720] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00990000
.text C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe[3720] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00A30000
.text C:\WINDOWS\system32\RunDll32.exe[3748] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00BF0000
.text C:\WINDOWS\system32\RunDll32.exe[3748] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00C10000
.text C:\WINDOWS\system32\RunDll32.exe[3748] USER32.dll!MessageBoxW 7E3B630A 5 Bytes JMP 00BD0000
.text C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe[3756] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00910000
.text C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe[3756] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 009B0000
.text C:\Programme\ThinkPad\Utilities\TpKmapMn.exe[3776] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00CA0000
.text C:\Programme\ThinkPad\Utilities\TpKmapMn.exe[3776] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00CC0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C10000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00C30000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] WS2_32.dll!send 71A1428A 5 Bytes JMP 00E40000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] ADVAPI32.dll!CryptDeriveKey 77DBA1A5 5 Bytes JMP 00EC0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] ADVAPI32.dll!CryptImportKey 77DBA399 5 Bytes JMP 00E80000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] ADVAPI32.dll!CryptGenKey 77DE1511 5 Bytes JMP 00EA0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 00E20000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetConnectA 7719308A 5 Bytes JMP 00CC0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpOpenRequestA 77193674 5 Bytes JMP 00DC0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00D80000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetCloseHandle 77194D3C 5 Bytes JMP 00E00000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpSendRequestA 771960C9 5 Bytes JMP 00D00000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetReadFile 7719827C 5 Bytes JMP 00C50000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00DA0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpOpenRequestW 7719F3BE 5 Bytes JMP 00DE0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!CommitUrlCacheEntryA 771A1B4A 5 Bytes JMP 00D40000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetQueryDataAvailable 771A8A37 5 Bytes JMP 00CE0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetReadFileExA 771C868E 5 Bytes JMP 00C70000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!InternetReadFileExW 771C90DE 5 Bytes JMP 00CA0000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!HttpSendRequestW 771E23AC 5 Bytes JMP 00D20000
.text C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe[3796] wininet.dll!CommitUrlCacheEntryW 771F01A3 5 Bytes JMP 00D60000
.text C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe[3804] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C40000
.text C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe[3804] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00C60000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00EF0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 015A0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WS2_32.dll!send 71A1428A 5 Bytes JMP 017A0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] ADVAPI32.dll!CryptDeriveKey 77DBA1A5 5 Bytes JMP 01820000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] ADVAPI32.dll!CryptImportKey 77DBA399 5 Bytes JMP 017E0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] ADVAPI32.dll!CryptGenKey 77DE1511 5 Bytes JMP 01800000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 01780000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetConnectA 7719308A 5 Bytes JMP 01620000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpOpenRequestA 77193674 5 Bytes JMP 01720000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 016E0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetCloseHandle 77194D3C 5 Bytes JMP 01760000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpSendRequestA 771960C9 5 Bytes JMP 01660000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetReadFile 7719827C 5 Bytes JMP 015C0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 01700000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpOpenRequestW 7719F3BE 5 Bytes JMP 01740000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!CommitUrlCacheEntryA 771A1B4A 5 Bytes JMP 016A0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetQueryDataAvailable 771A8A37 5 Bytes JMP 01640000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetReadFileExA 771C868E 5 Bytes JMP 015E0000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!InternetReadFileExW 771C90DE 5 Bytes JMP 01600000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!HttpSendRequestW 771E23AC 5 Bytes JMP 01680000
.text C:\Programme\Support.com\bin\tgcmd.exe[3884] WININET.DLL!CommitUrlCacheEntryW 771F01A3 5 Bytes JMP 016C0000
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3912] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00DE0000
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[3912] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00E00000
.text C:\WINDOWS\system32\ctfmon.exe[3932] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A70000
.text C:\WINDOWS\system32\ctfmon.exe[3932] kernel32.dll!ExitProcess 7C81CDEA 5 Bytes JMP 00A90000

---- EOF - GMER 1.0.15 ----"

Muss ich noch was machen ? Meine Prozessliste sieht wieder normal aus. Formatieren wäre echt Wurst-Käse Zenario. Wenn irgendwie umgehbar, bitte ich um Anleitung. Danke für eure Unterstützung im voraus.

Viele Grüße :dankeschoen:

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

hier was der remover ausgeworfen hat :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
34 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Press any key to quit...


Gruß und Dank...

PS: Habe ich gestern schonmal drüber laufen lassen wie in einem anderen Thread beschrieben.
Maschine hat XP/SP3

Hast Du den MBR damit auch schon repariert?
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!