Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Internet Explorer geht auf, Ton stellt sich aus, Musik wird eingespielt (https://www.trojaner-board.de/88152-internet-explorer-geht-ton-stellt-musik-eingespielt.html)

bruze 13.07.2010 22:45
Internet Explorer geht auf, Ton stellt sich aus, Musik wird eingespielt
 
Hallo zusammen,

ich habe das gleiche Problem, das schon mehrfach in den letzten Einträgen erschien:

- der Internet Explorer geht mit Werbung auf
- der Ton der Soundkarte geht auf 0
- Musik wird eingespielt
- mehrere IE Prozesse laufen im Hintergrund

Weder mein aktuelles Antivir noch Adaware oder spybot konnten das Problem beseitigen.

Aus dem Thread http://www.trojaner-board.de/87837-i...er-runter.html habe ich den Hinweis entnommen, den bootkit-remover laufen zu lassen. Folgendes Ergebnis:

Code:
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 454f8f8f464d74f8b4b6306cbff41597
\\.\F: -> \\.\PhysicalDrive1
MD5: 454f8f8f464d74f8b4b6306cbff41597

    Size  Device Name          MBR Status
 --------------------------------------------
  465 GB  \\.\PhysicalDrive0  Unknown boot code
  298 GB  \\.\PhysicalDrive1  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Schonmal herzlichen Dank für eure Hilfe!
Bruze

cosinus 14.07.2010 19:00
Welches Betriebssystem? XP?

bruze 14.07.2010 19:03
Hallo Cosinus,

ja, XP auf aktuellem Stand.

cosinus 14.07.2010 19:38
Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0
Danach auch diesen Befehl:

Code:
remover.exe fix \\.\PhysicalDrive1
Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

bruze 14.07.2010 20:09
Hallo Cosinus,

schonmal danke für die Hilfe! Die Anweisung habe ich umgesetzt:

Code:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive0...
OK


C:\>remover.exe fix \\.\PhysicalDrive1
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive1...
OK

Danach habe ich neu gestartet, nach dem Neustart kam folgende Nachricht:

Code:
Gänderte Systemeinstellungen
Die Installatino neuer Geräte wurde fertig gestellt. Sie müssen den Computer neu starten, damit die Gerätesoftware angewendet werden kann. Die Änderungen werden erst nach dem Neustart des Computers wirksam.

Soll der Computer neu gestartet werden?
:dummguck:

Habe nochmal gestartet und dann nochmal den remover laufen lassen:

Code:
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
\\.\E: -> \\.\PhysicalDrive1
MD5: 6def5ffcbcdbdb4082f1015625e597bd

    Size  Device Name          MBR Status
 --------------------------------------------
  465 GB  \\.\PhysicalDrive0  OK (DOS/Win32 Boot code found)
  298 GB  \\.\PhysicalDrive1  OK (DOS/Win32 Boot code found)

Scheint bis jetzt soweit in Ordnung zu sein. Der Ton wurde bis jetzt nicht ausgeschaltet und keine iexplorer-Tasks im Hintergrund.

Wie steht es eigentlich mit USB-Sticks, die ich in letzter Zeit in Gebrauch hatte? Die müssen vermutlich ebenfalls getestet werden? Ich habe mich noch nicht getraut, sie jetzt einfach reinzustecken. Ich habe auch in Forumbeiträgen gelesen, daß man USB-Sticks "impfen" lassen soll, konnte aber damit direkt nichts anfangen.

cosinus 14.07.2010 20:50
Zitat:
daß man USB-Sticks "impfen" lassen soll, konnte aber damit direkt nichts anfangen.
Die kann man mit dem FlashDisinfector impfen.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

bruze 14.07.2010 22:48
Hallo cosinus,

hier der Scan von Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4314

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.07.2010 23:44:56
mbam-log-2010-07-14 (23-44-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 304182
Laufzeit: 1 Stunde(n), 48 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bruze 15.07.2010 11:09
Und hier von Superantispyware:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/15/2010 at 09:31 AM

Application Version : 4.40.1002

Core Rules Database Version : 5203
Trace Rules Database Version: 3015

Scan type      : Complete Scan
Total Scan Time : 01:23:55

Memory items scanned      : 491
Memory threats detected  : 0
Registry items scanned    : 8257
Registry threats detected : 0
File items scanned        : 168091
File threats detected    : 1

Trojan.Agent/Gen-Krpytik
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{FC5A331B-6F81-4EC0-A5CC-090276066E6A}\RP400\A0072310.EXE

Da scheint etwas gefunden worden zu sein.

Die Symptome des anfänglichen Problems (Popup IE, Ton aus usw.) sind übrigens bis jetzt nicht wieder aufgetaucht. :-)

cosinus 15.07.2010 11:53
Sieht ok aus. Falls es kein Fehalarm war, ist der Fund nur ein rel. harmloser Überrest in der Systemwiederherstellung.

bruze 15.07.2010 13:40
Hallo cosinus,

prima, ich danke dir sehr für die tolle und schnelle Hilfe! :huepp:

Ich habe jetzt auch die Sticks mit dem Flash Disinfector geimpft.

Noch eine Frage: Ich habe im Forum gelesen, daß man von einem Nichtadministrator-Zugang aus surfen soll, was nachvollziehbar ist. Gibt es eine eine einfache Möglichkeit, seinen normalen Admin-Account zu kopieren und dann die Kopie auf Nichtadmin umzustellen? Es wäre schön, wenn man so seine ganzen Sondereinstellungen für den Zweitaccount mitnehmen könnte.

Ich habe dazu den einen oder anderen Hinweis im Netz gefunden, aber die Quellen und Anleitungen schienen mir etwas dubios zu sein, ich konnte zumindest nicht erkennen, ob ich damit mehr Schaden als Nutzen anrichte.

Viele Grüße
Bruze

cosinus 15.07.2010 13:48
Zitat:
Gibt es eine eine einfache Möglichkeit, seinen normalen Admin-Account zu kopieren und dann die Kopie auf Nichtadmin umzustellen? Es wäre schön, wenn man so seine ganzen Sondereinstellungen für den Zweitaccount mitnehmen könnte.
ja. Einfach mit dem Standardadmin "Administrator" anmelden und das sonst genutzte Konto rechtemäßig von Computeradminstrator auf Benutzer umstellen.
Notfalls kannst Du auch einen zweiten Admin erstellen, um die Rechte beschneiden zu können, aber aus dem gleichen Konto heraus das machen, welches Du beschränken willst geht AFAIK nicht und würde ich auch nicht empfehlen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19