Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   iexplorer.exe im Hintergrund mit Werbung/Sound (https://www.trojaner-board.de/87606-iexplorer-exe-hintergrund-werbung-sound.html)

Reflexed 27.06.2010 15:14
iexplorer.exe im Hintergrund mit Werbung/Sound
 
Folgendes Problem:

Im Hintergrund laufen ständig mehrere Instanzen vom InternetExplorer. Dazu geht dann hin und wieder ein Fenster mit Werbung auf (im IE). Dann läuft immer wieder eine Sounddatei mit Werbung. Die Wave-Lautstärke wird auch ständig auf Null gesetzt. Dann hört man die Werbung halt nicht mehr, erst wieder wenn man sie wieder manuel auf laut stellt.

Ich habe mich hier im Forum schon ein bisschen informiert und wollte daher hier eigentlich einen combofix-Logfile mit anhängen. Allerdings hängt combofix sich nach Stufe 2 auf (2 stunden laufen gelassen). TFCleaner hängt sich auch nach kurzer Zeit auf (nein, ich habe nicht die Maus oder Tastatur zwischendurch benutzt;) )

Antivir meldet beim Systemstart immer TR/Click.Cycler.ajqh in C:\System Volume Information\Microsoft\services.exe und in smss.exe (gleicher Ort)


Log von Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4192

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27.06.2010 15:46:39
mbam-log-2010-06-27 (15-46-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135229
Laufzeit: 5 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

RSIT im Anhang


Ich würde mich freuen, wenn mir da jemand helfen kann. Danke schonmal

Larusso 27.06.2010 15:20
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte bootkit_remover. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs


Bitte poste in Deiner nächsten Antwort
Bootkit Remover ausgabe
OTL.txt
Extras.txt

Reflexed 27.06.2010 16:38
Vielen Dank schon mal für deine Hilfe.

Das erste Problem tritt jetzt auf, wenn ich den Bootkit remover benutze. Die Ausgabe ist folgende (daher habe ich erstmal nicht mit Schritt 2 weiter gemacht):

Code:
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: ba1e847be65275becbc41b586456f754

    Size  Device Name          MBR Status
 --------------------------------------------
    93 GB  \\.\PhysicalDrive0  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...

Larusso 27.06.2010 16:41
Und was ist das Problem?

Mach bitte schritt 2

Reflexed 27.06.2010 17:14
Ok, dachte da sollte "mehr" passieren.

Zu Schritt 2: OTL friert nach einiger Zeit ein. Da steht dann gerade: scanning driver:ebpnoise
Habe dann noch 20 minuten gewartet und es eben nach einem Neustart nochmal probiert: Gleiches Ergebnis

Larusso 27.06.2010 17:18
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Reflexed 27.06.2010 17:33
OTL.exe friert weiterhin ein wieder bei ebpnoise

Larusso 27.06.2010 17:47
Schritt 1

Sollte sich die remover.exe nicht am Desktop befinden, dann diese bitte auf den Desktop verschieben.

Windows + R taste drücken. Kopiere nun folgendes in die Zeile

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0


Klicke OK, starte den Rechner neu auf.


Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.


Bitte poste in Deiner nächsten Antwort
Combofix.txt

Reflexed 27.06.2010 18:44
Schritt 1 hat geklappt.

ComboFix stürzt dann allerdings nach Stufe 2 ab.

Larusso 27.06.2010 18:50
Hast Du Combofix auch so wie beschrieben verwendet ?
Neu herunter laden etc.

Reflexed 27.06.2010 19:23
Jep,
Hab es eben auch noch ein zweites Mal probiert (nach Neustart und nochmal mit anderem Dateinamen runtergeladen). .Der Absturz nach Stufe 2 bleibt.

Wenn ich combofix starte kommt übrigens eine Fehlermeldung, dass grpconv nicht gefunden werden konnte. Und wenn die Kommandozeile dann auf ist und der Widerherstellungspunkt gesetzt werden soll, steht da noch mal kurz, dass Windows Script Host auf diesem Rechner nicht aktiv ist, oder so ähnlich.

Larusso 27.06.2010 19:54
\o/

Edit

Das wird noch lustig :D

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings" > "%temp%\look.txt"
dir /s /b GRPCONV.EXE >> "%temp%\look.txt"
notepad "%temp%\look.txt"
del%0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

Reflexed 27.06.2010 21:20
Code:
! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
    DisplayLogo        REG_SZ        1
    ActiveDebugging        REG_SZ        1
    SilentTerminate        REG_SZ        0
    UseWINSAFER        REG_SZ        1
    Enabled        REG_DWORD        0x0
C:\WINDOWS\$NtServicePackUninstall$\grpconv.exe
C:\WINDOWS\ServicePackFiles\i386\grpconv.exe
Ich habe noch ein Malwarebytes log-file gefunden, in dem grpconv auftaucht:

Code:
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Larusso 27.06.2010 21:28
Okay das von MBAM geht OK, die Datei hat dort nichts verloren.

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings" /v enabled /t Reg_Dword /d 1 /f
copy /y "C:\WINDOWS\ServicePackFiles\i386\grpconv.exe" "%windir%\system32"
del%0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"

Starte den Rechner neu auf und versuch erneut einen Quickscan mit OTL.

Reflexed 27.06.2010 22:22
Gleiches Ergebniss wie vorhin. OTL bricht bei driver:ebpnoise ab


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:58 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58