Hilfe - iexplore.exe und kein sound mehr. Kein Virus? Trojaner?
 

Hallo,

auffälligkeiten: Im Taskmanager erscheint 2 oder drei oder sogar 4 mal der IEXPLORE.EXE... nach manuellem beenden taucht dieser wieder auf. Zusätzlich geht mein wave Regler runter... ob da ein zusammenhang besteht?

Mein hijackthis logfile:


Bitte helft mir :(

van

Hallo,

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo :)

LOG von Malwarebyte's:


Log 1 von Oldtimer

Log 2 von Oldtimer

Danke! :party:

btw: Alle paar Minuten verschwindet mein Ton, das heißt,der wave Regler geht von alleine auf 0 und ich muss den dann wieder hochschieben. Ich konnte über google schon herausfinden dass das evt. etwas miteinander zu tun hat... aber eine Lösung habe ich bisher nicht.

Du solltest einen Vollscan mit Malwarebytes machen!

Hallo, es gibt nur drei arten des scanns...quick, voll, flash...

"Art des Suchlaufs: Vollständiger Suchlauf (C:\|)"

kann ich oben heraus lesen.

Wenn ich mich nun geirrt habe, dann entschuldigung.. wie mache ich denn einen richtigen Vollscan?

Öhm, Du hast ja einen Vollscan gemacht? :dummguck:
Irgendwie müssen mich meine Sinne getäuscht haben, aber wie kann ein Vollscan nur 5 Minuten dauern? :confused:

ich habe ein sehr aufgeräumtes windows xp und eine ssd... dann geht sowas ratz fatz. :D


aber zurück zum thema... kannst du denn irgendwie erkennen ob da was nicht stimmt? bei mir geht alle paar min der ton aus und zwischendurch kommen IE fenster mit werbung... iexplore.exe ist immer noch reichlich vertreten.. das ganze nervt extrem :(

Als ich meinen letzten Beitrag hier abgeschickt hatte dachte ich mir das schon :D

Bitte mal Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

ist in Arbeit... das GMER braucht etwas länger :D...

poste gleich die logs... hoffe du kannst da was finden :(

so einmal GMER:

GMER Logfile:
--- --- ---


Mein ganzes system hat sich danach aufgehängt.. musste resetten...

das andere tool kommt sofort.

OSAM:
Ich hoffe es ist alles ok soweit.

Und wo ist der übeltäter? :/

Ich seh dort so keine Hinweise. :dummguck:
Falls es ein Schädling ist, könnten wir mehr Glück mit einem Scanner über ein Fremdsystem haben, mach mal nen Durchgang mit der Kaspersky Rescue-CD => Kaspersky Rescue Disk: Boot-CD mit Virenscanner (ISO-Image) ... ScareWare.de

Ich denke mal Du weißt wie man Images per Imagebrennfunktion auf CD brennt...

Keine Hinweise? Na wunderbar :( Es haben doch so viele sieses problem mit der iexplore.exe und dem verschwundenen sound gehabt.. aber ich kann nirgends eine konkrete Lösung finden!

Mit cd's brennen usw ist mir jetzt etwas zu viel... es muss doch auch so gehen.

Es kann doch nur mit dem IE zusammenhängen! Ich kann den scheiß IE ja nichtmal deinstallieren.

Mein system ist so kleinlich genau eingerichtet das eine neinstallation ziemlich aufwändig ist. Würde mir das gerne ersparen.

Wie kann ich den IE deaktivieren, dass dieser schädling den IE nicht mehr benutzen kann?

Geht so erstmal nicht. Was hast Du gegen meinen Vorschlag mit der Rescue-Disk? Das ist nur eine CD, die Du brennen musst! Kann doch nicht zuviel verlangt sein, das Image per ImgBurn oder CDBurnerXP auf eine CD zu bringen :balla:
Wenn ich mit keinem Tool Hinweise finde, gibt es keine andere Möglichkeit mehr, als über ein Fremdsystem das installierte Windows zu analysieren! :kloppen:

Hallo,
ich habe ja das gleiche Problem (http://www.trojaner-board.de/87775-i...-auf-null.html)

Ich habe nun folgendes gemachtu nd zwar den Inet explorer einfach deaktiviert

hxxp://sillydog.org/forum/sdt_2677.php

Programmpfad ggf. ändern

seitdem ich das getan habe ist mein sound nicht mehr weg und die iexplore.exen tauchen auch nicht mehr auf.

evtl. ne notlösung aber evtl. hilft es.

Genau. Das ist nichts weiter als eine Notlösung, eher nur Symptombekämpfung, oder hast Du damit die Ursache gefunden? :rolleyes:

leider nicht.
ich muss auch "nur" noch 8 tage überbrücken bis ich semesterferien habe und zuhause formatieren kann.
momentan brauche ich den rechner unbedingt in der prüfungszeit (auch wenns ein mulmiges gefühl macht)

aber ich denke mir, wenn der virus (falls es einer ist) daten per iexplorer sendet und dieser nicht gestartet ist, kann auch nichts rausgehen.


ich meine.. ich habe so ziemlich alle scanner durchlaufen lassen die es gibt, keiner hat irgendwas gefunden und zonealarm sagt auch nichts.. verdammt merkwürdig


//wenigstens bleibt der sound an :D

Naja, ich meine mit Symptombekämpfung, dass Du den IE stillegst, aber nicht einen möglichen Schädling. Da sich dieser mögliche Schädling offensichtlich nichtmal mit OSAM oder GMER aufspüren lässt, wäre der nächste folgerichtige Schritt eine Analyse über ein Fremdsystem - in diesem Falle die auf Linux basierende Kaspersky-Rescue-Disk

da muss ich dir recht geben.
ich hoffe ich finde morgen zeit, rohlinge zu kaufen und einen scan durchzuführen.

ich muss gestehen ich habe bauchschmerzen mit diesem komischen ding auf meinem pc.

und was erhofft ihr euch von kaspersky? soll dieses programm mehr finden als die etlichen anderen?

hxxp://sillydog.org/forum/sdt_2677.php

geht bei mir nicht.

hast du xp?

edit: doch geht.. danke.


mit dem cd tool überleg ich mir noch... welche erfolgssaussichten hat man damit?

es geht darum dass es ein fremdsystem ist, mit dem du windows scannen kannst. auch die datein, an die du beim betrieb von xp nicht ran kommst


ja, ich habe xp.

wenn du die "xx" bei http durch ein "tt" ersetzt geht auch der link :)

hi, ich meinte nicht den link sondern den code.. aber jetzt gehts.. kam da durcheinander.

ie ist nun off.. und ich hab ruhe. hoffentlich bleibt der ton auch.

heute mach ich nix mehr mit brennen... mal sehen ob wir herausfinden wo der fehler liegt ;) regt mich unheimlich auf dieser mist. wie kann das nur passieren? ich benutz nie den ie und surfe nur auf normalen seiten und hab immer virusschutz....

geht mir ähnlich, kann mir auch kaum vorstellen das es ein virus ist.
ich benutze noscript und blocke grundsätzlich alles mit javascript, klicke keine komischen sachen an und öffne auch keine wilde-sabine.jpg.exe datein.

wie cosinus schon gesagt hat, eine wirkliche lösung ist es nicht... aber der ton bleibt. :))

yo der ton bleibt.

1:0 für uns.


den werden wir es schon zeigen. :snyper::balla:


btw: kam bei dir auch ab und zu ein ie werbefenster???

bin ich froh das der ton bleibt.. habe tv über tv karte und alle 5 min der ton weg... gibt nix schlimmeres :D

nein, es kam kein werbefenster..

aber ich würde das problem nicht mit dieser lösung abschließen..

hab ich auch nicht vor.

müssen wir uns auf die cd beschränken.

Was bleibt sonst noch?

Trotzdem ist das unfassbar sowas hartnäckiges... da ist ja jeder hdd killer virus einfacher zu entfernen...

Kann sich jmd evtl noch erinnern was unmittelbar vorher gemacht wurde, als das Symptom auftrat?
Einfach nur *.jpg.exe nicht zu öffnen reicht nicht, man darf mittlerweile nichtmal mehr unbekannte PDF öffnen. Wenn man diese auch noch mit einem alten AdobeReader und Adminrechten startet ist eine Infektion vorpgrammiert...

ich habe am tag zuvor eine software von samsung für die verbindung zu einem handy installiert... und etwas im netz rumgesurft. ich vermute das ich mir da was durch den firefox eingefangen habe.

ansonsten nix aussergewöhnliches.

furchtbar das sowas einfach passiert. wenn wir das nicht wegkriegen dann kann ich mein system neumachen. :/

Das ist unwahrscheinlich und im Grunde nur dann realisitisch wenn Du einen stark veralteten FF hattest. Surfst Du mit Adminrechten? Wenn ja, lass das sein, das ist fahrlässig!

Hm und das wird nicht in Betracht gezogen?
Vllt ist die Samsung-Software ja in irgendeiner Form dafür verantwortlich. Würde mich zwar wundern, aber wer weiß.
Wenn es eine Form von Malware wäre, dann müsste man zumindest mit einem Tool einen noch so kleinen Eintrag finden. Aber ich hab nichts in den Logs von Malwarebytes, OTL, OSAM und GMER gefunden!

Hi, wie meinst du das mit admin rechten surfen?

mein FF ist selbstverständlich aktuell.

Naja, typisch Windows eben :D
Ist kein Vorwurf an Dich, aber man sieht, dass Microsoft die Windows-User alle falsch erzogen hat.
Es gibt unterschiedliche Benuterkonten, eben welche mit Adminrechten und solche mit unprivilegierten Rechten, die nichts am System verändern dürfen. Eingeschränkte bzw. unpriviligierte Konten zu benutzen, ist ein Grundbaustein in jedem Sicherheitskonzept.

Hallo,

Ich habe seit gestern das gleiche Problem - iexplore.exe, wave auf null, komische Töne und Werbe-Pop-Ups. Im Internet gibts nun schon ein Haufen Beiträge alle im Laufe der vergangenen Tage erstelle worden - aber wohl leider noch keine zufriedenstellende Lösung.

Da ich auf meinen Rechner auch angewiesen bin habe ich nun folgende vorübergehende Lösung für mich gefunden.

Batch-Datei mit folgendem Inhalte erstellen und im Hintergrund laufen lassen:

:TOp
taskkill /F /IM iexplore.exe /T
sleep 1
goto TOP

schafft zumindest Ruhe aber das Problem bleibt.

Beste Grüße
cosh

hey.. ich habe das gleiche problem.. werde mir ma die kasperky CD ziehen und brennen. mal schaun was bei rauskommt
mfg

bitte berichtet hier, was ihr erreicht habt...

@ cosinus

wo kann ich da mal genau nachsehen?

Ich seh grad, dass ich den Eintrag aus meiner Batch-Datei falsch kopiert habe, anstelle sleep 1 muss es heißen:


ping localhost -n 2 >NUL

dann ist das Ausführen der Datei weniger ressourcenintensiv

Mit den Benutzerkonten? :confused:
Wenn ja: Start, Ausführen: control userpasswords2 eintippen => ok

Ich habe quasi sonst nichts gelesen (das macht cosinus schon :daumenhoc )

USB-Sound-Gerät (USB-Lautsprecher, USB-Headset, ...) mit Lautstärkeregelungsmöglichkeit?


Außerdem (sorry falls chon irgendwie erledigt oder nicht zutreffend):
http://www.pcwelt.de/start/sicherheit/virenticker/news/2344020/samsung-liefert-s8500-wave-mit-malware-aus/

http://www.zdnet.de/news/wirtschaft_sicherheit_security_update_samsung_liefert_bada_handy_wave_mit_malware_aus_story-39001024-41532939-1.htm

Klasse Samsung! :balla:
Ich seh dort aber irgendwie keine Hinweise was der Schädling genau macht... :dummguck:

mei, shit happens - kann leider jedem passieren. Auch Original kann böse sein, Vorsicht ist (leider) immer und überall angesagt.
Ich habe auch nur 0,051 Sekunden gesucht und die ersten Treffer genommen - prinzipiell hatte ich die Info im Kopf und bei "Samsung" im Thread ist eine Gehirnzelle aufgewacht.

es war aber nicht die software vom s8500 sondern von einem ganz anderen modell.

Dann müsste samsung aber auch sagen wie man den Fehler beheben kann.

Denke aber nicht das es von dieser samsung cd kommt...

bzgl. der Adminrechte...

control userpasswords2:

steht bei mir Benutzername Administrator... Gruppe adminiistratoren

und ein haken ist oben drinne....

was sagt mir das nun?

Es kommt ja auch von einer inifizierten MicroSD-Karte...

Dass Du als Admin surfst!! :kloppen:
Erstell Dir ein zusätzliches Konto mit Adminrechten, Du brauchst min. eins zum Administrieren des Systems.
Meld Dich damit an, geh wieder in control userpasswords2 und leg Dein normales Konto, mit dem Du sonst immer gearbeitet hast in die Gruppe der Benutzer. Es darf nicht mehr Mitglied der Admins sein.

Du könntest auch nochmal Logs mit AVZ erstellen, undoreal würde die gern sehen in diesem Fall.

vorteil ohne adminrecht zu surfen?

Liegt auf der hand, vllt kommst Du selbst drauf, dann dürfte imho die Einsichtigkeit auch schneller da sein.
Nur mal so als Hinweis: Ein Administrator darf alles am System verändern, ein eingeschränkter Benutzer darf nicht in Systembereiche schreiben. Was folgt daraus?

ich darf doch verändern was ich will, was hat das mit malware zu tun? blick ich so nicht durch. ich WILL auch in meinem system alles verändern dürfen. wie soll ich es sonst konfigurieren?

Weil Malware mit Adminrechten gestartet auch alles machen kann und das System dann infiziert ist!

Indem Du zum Surfen und für andere alltägliche Dinge mit eingeschränkten Rechten unterwegs bist - wenn Du was administrieren willst meldest Du Dich als Admin an!
Aber ständig als Admin arbeiten ist so, als würdest Du ständig mit geladener Schusswaffe herumlaufen, weil Du irgendwann mal 1x im Monat auf die Jagd gehst!

Aber ich merk es, ich hab das schon so vielen verschiedenen Windows-Usern versucht zu erzählen. KEINER will auf seine Adminrechte verzichten, weil das Sicherheitskonzept was dahintersteckt nicht verstanden oder einfach ignoriert wird. MS hat da ganze Arbeit getan und jeden 0815-User falsch erzogen!

Also ich habe nun die Kaspersky Rescue CD drin und mache mal einen durchlauf. mal gespannt was dabei rauskommt

Sehr gut!! :daumenhoc

Denk dran Kaspersky zu aktualisieren wenn der Start von der CD durch ist!!

Poste bitte die Ergebnisse zuerst, bitte noch nichts entfernen falls was gefunden wird, nur in Absprache mit mir.
Grund ist, dass eine evtl. veränderte Systemdatei gelöscht werden könnte und dadurch Dein Windows nicht mehr hochfährt.

ja, hab direkt aktualisiert udn auch eingestellt, dass er nichts löscht sondern am ende nachfragt. werde mich dann wieder melden, das dauert jetzt bestimmt ein bisschen ;)

hallo,

ich habe mal einen avz scan durchgeführt.

logs im anhang (den 1. scan habe ich ausversehen vom desktop laufen lassen , sry)

schönen gruß :)


//edit:
hab gerade in diesem thread was interessantes darüber erfahren
http://www.trojaner-board.de/87837-i...er-runter.html

und zwar die dort benannten seite kenne ich auch, als ich geschaut habe was mit meinem IE los ist, wurde ich gefragt ob ich die letzte session nochmal öffnen möchte, da habe ich natürlich ja angeklickt, weil ich mir nicht bewusst war, dass der IE noch abgestürzte oder aktive sessions aufhaben könne. diese dort benannte seite yadaying öffnete sich..
allerdings habe ich keine werbepopups o.ä.
sehr merkwürdig

//edit. kaspersky leider nicht geschafft. erst vor kurzem aus der uni gekommen.

gruß

also irgendwie hängt kaspersky schon seit eigkeiten bei 75% rum und es kommt mir so vor dass er ständig nur noch die selben dateien durchgeht.. ich kann leider den kompletten pfad nicht sehen, da steth nur C:/...//whdata/whfdata oder sowas.. dann kommen wieder andere dateien und dann siehts wieder so aus.. irgendwie immer das gleiche.

das war alles. unfassbar

Hallo,

Ich habe nun alleine versucht das Problem zu lösen und glaube erfolgreich gewesen zu sein. Und zwar mit dem Bootkit Remover:

hxxp://www.esagelab.com/files/bootkit_remover.rar

Einfach die exe starten und sehen, ob ein ungewöhnlicher Eintrag gemeldet wird - war bei mir der Fall. Dann ne *.bat Datei mit folgendem Inhalt erzeugen

Das fett gedruckte muss entsprechend der Meldung von remover.exe angepasst werden, der Eintrag kann aber auch schon stimmen.

Als letztes wird die Bat Datein einmal ausgeführt und Neugestartet.

Wer das Problem auch noch hat kann es ja mal ausprobieren - will aber cosinus nicht in seine Lösungsstrategie reinpfuschen.

Bei mir taucht nach dem fix durch den remover kein iexplore mehr auf, auch der wave Kanal bleibt offen.

Beste Grüße
cosh

kann das jemand 2tes soweit bestätigen?

Gibts es sonst neuigkeiten?

Bin heute noch nicht dazu gekommen etwas auszuprobieren.

Bzgl. der erziehung von MS. Ich hab das einfach so gelassen wie es ist.. das war nun mal so mit den admin rechten.... wenn ich mein System mal wieder neumache, dann werd ich das entsprechend ändern.

naja, ich meine..

wenn man ein problem hat, das durch irgendwas verschwindet, man aber nicht weiß wo es herkam und somit auch nicht sagen kann, ob es wirklich weg ist.
also wenn man die ursache nicht kennt, ist das alles keine wirkliche lösung.

ich würde lieber wissen wo sich das ding versteckt und wo es herkommt.


//edit: wonach haltet ihr ihn den logs eigl. ausschau? kennt ihr alle prozesse und schaut ob irgendwas unbekanntes auftaucht?

Naja, ganz so ins Blaue hinein war das nicht:

hxxp://www.techspot.com/vb/topic149396.html

ab Beitrag #8

Aber wie gesagt ich will da keinem reinreden - inwieweit diese Lösung perfekt ist weiß ich nicht, mich stellt sie zufrieden.

Viel Erfolg noch und Besten Gruß
cosh

Wie es aussieht ist es wohl ein (neueres?) Bootkit.

@cosh: Hast Du noch die genaue Meldung vom BootkitRemover vor dem Fixen mit der Batch?

was bedeutet "neueres" bootkit?

Was ein Bootkit ist, hättest Du durch Google erfahren => Bootkit ? Wikipedia

Nein, tut mir leid - Sinngemäß stand dort in orangener Schrift, das unbekannte oder unübliche Einträge gefunden wurden.

stimmt allerdings.. hätte nicht gedacht das es sowas allgemein bekanntes ist. aber ok, danke. :)

hab gerade mal den bootkit remover gestartet, dass kam dabei raus:

Genau das gleiche wars bei mir!

@dermoo: Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Lad danach die neu erstellte Datei c:\mbr.dat bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html


Edit: Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

ok,

ich habe ja den IE mit hxxp://sillydog.org/forum/sdt_2677.php deaktiviert, soll ich ihn vorher aktivieren, oder nicht?

Du kannst ihn nachher wieder aktivieren. Ich will erstmal an den infizierten MBR ran!
Das geht nur wenn Du nicht schon die Batch ausgeführt hast wie von cosh gepostet!

alles klar, habe ich gemacht.
müsste oben sein.

habe die bat von cosh nicht ausgeführt!

Ok. Kannst den MBR nun fixen, das hier wieder in der Konsole ausführen:

Konntest du im MBR noch was entdecken?

hallo,

gesagt getan :D

hast du noch was entdeckt? ist das problem nun behoben? was war da los in der dat ;)

schonmal ein dickes danke!!

Nicht so wirklich. Vllt wirst Du draus schlau, hab davon nen Screenshot in GHex gemacht => http://saved.im/mtc0mde2z2h0/mbr.png

Wie bist denn auf den BootkitRemover gekommen? :)
Hatte da in einem anderen Strang auch die Idee, aber nur weil Larusso in einem älteren ähnlichen Strang da auch auf Verdacht den BootkitRemover ausführen ließ. ;)

oh gut, hex-code oder? :)

naja, wenn nichts schlimmes dran war, kann es ja nicht so ein riesen "schädling" gewesen sein ,oder?
meinst du er ist nun weg?

//werde in 1 woche aber so oder so formatieren denke ich.

Die "kleine" Veränderung im MBR kann aber große Auswirkungen haben! :p

Ich hab anderthalb Tage gegoogelt und bin vorhin auf diesen Beitrag gestoßen, das Problem war das gleiche:

hxxp://www.techspot.com/vb/topic149396.html

Der Bootkitremover schien da geholfen zu haben und voila es hat auch bei uns auch geklappt. Wirklich auskennen tu ich micht nicht!

Also denn bis hoffentlich nicht so bald :D

Tolles Forum hier, weiter so!!! :-)

cosh

hm, okee.
kenn mich da leider nicht so aus, sieht aber interessant aus!


auf jeden fall vielen vielen vielen dank! nun kann ich mich wieder ruhigen gewissens an meinen pc setzten!

werde dann in 1 woche formatieren und auch einen anderen benutzer anlegen oder adminrechte, das geht doch unter benutzerkonten und dann "eingeschränkt", oder? scheint mir auf jeden fall sicherer zu sein!

moment mal... jetzt komm ich erst noch drann :D

probiere das gleich mal aus.. geht das per windows?

Deswegen mag ich diese Sammelstränge garnicht! Hier entsteht immer ein ziemliches unübersichtliches Wirrwarr...

Bitte den bootkit_remover herunterladen. Entpacke das Tool und führe in dem Ordner die Datei remove.exe aus, über Rechtsklick => als Administrator ausführen
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device.

aaach das kriegen wir schon hin... ist ja nicht sooo unübersichtlich ;)

Bild im Anhang...


btw: ich habe mehrere Festplatten, insgesamt 4 Datenplatten. ich habe jetzt nur meine System SSD angeschlossen und EINE Datenplatte... die mit 1500GB...

dieser bootkram ist aber nur auf der SSD dann, oder???

Entpack die remover.exe vorher richtig!! Bitte nicht aus dem RAR-Archiv ausführen! Sieht man am Titel des CMD-Fensters!

habs grad gemacht. kommt das gleiche bei raus :)

Ok. Du hast absolut den gleichen Mist drauf wie Deine Leidensgenossen, die Prüfsumme ist identisch.
Mach mal mit dem Fix weiter, wie ich das dermoo schon aufgegeben habe. Die remover.exe musst Du aber besser vorher nach C:\windows\system32 kopieren. Wenn sie da liegt, kannst Du sie immer aus CMD ausführen, egal in welchem Pfad Du Dich aktuell gerade befindest (auf Kommandozeilenebene)

ist der mist denn jetzt nur auf der ssd ???


edit: ich hab jetzt direkt "remover.exe fix \\.\PhysicalDrive0" unter ausführen eingegeben... dann kam das fenster und gut... ist das jrtzt ok? oder hätte ich vorher noch "remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat" ausführen müssen???

Ich hab doch geschrieben in der Konsole ausführen!
Über Start, Ausführen siehst Du das CMD-Fenster nur ganz kurz!

hab ich doch gemacht mit dem code hier: remover.exe fix \\.\PhysicalDrive0


reicht das?

Wollen wir es mal hoffen. Du kannst ja zur Überprüfung nochmal den ersten Schritt mit dem BootKit Remover machen und wieder die Ausgabe posten.

gefällt mir noch nicht so ganz...

Das Bild ist leider etwas verschwommen... wenn ich in panik bin zittere ich immer so :D

Der Bootcode von Deiner Startplatte - das ist physicaldrive0 - ist wie Du siehst ok.
Deine Datenplatte kannst Du vorsichtshalber mit dem gleichen Fix ja nochmal behandeln. Natürlich musst Du dann den Device-Pfad ändern, also diesen Befehl anwenden:

"remover.exe fix \\.\PhysicalDrive2"


physicaldrive1 also Laufwerk Z: sieht mir nach einem CDROM Laufwerk ohne Datenträger aus.

hi,
habs gemacht..

jetzt ist die Schrift bei der Datenplatte auch grün :)

Z ist eine RAM Disk... ich habe 4GB ram und da XP nur 3GB adressieren kann, verwene ich 1GB als ramdisk und habe dort temp usw drauf.. bei jedem neustart ist das alles gelöscht. Eigentlich kann da nix drauf sein...

trotzdem zeigt mir das tool jetzt immernoch an, dass irgendwo was gefunden wurde...

was soll ich jetzt machen?

remover.exe fix \\.\PhysicalDrive1 ???

Wie soll eine RAM-Disk einen MBR unterstützen?? Booten von RAM wäre ja mal geil, ich lade das OS vom RAM in den Arbeitsspeicher (RAM) :uglyhammer:
Du hast doch selber schon herausgefunden, dass der RAM ein flüchtiger Speicher ist und bei jedem Neustart seine Daten verliert. Was soll man da bitte fixen?? ;)

und wieso zeigt mir das programm immernoch an das ein unbekannter boot code in eines meiner laufwerke gefunden wurde? ist das jetzt etwa so richtig alles? :)

Ja, aber unbekannter Code doch im in der RAM-Disk? :confused:

habs jetzt mit 1 probiert... das tool sagt dann aber auch noch unbekannter code.... also in der ramdisk kann ja nun wirklich nichts sein. ich starte mal neu....

edit: hab nochmal gemacht.. das gleiche ergebnis. weiterhin unbekannter code in ramdisk.

Wir oft soll ich Dir denn das noch erklären, dass ein MBR in der RAM-Disk keinen Sinn macht :D

und was soll ich jetzt tun?

hab ich jetzt noch einen schädling oder ist das programm nicht ok?:applaus:

Du musst Dir im Klaren sein, was das Tool kann und was nicht. Es hat Dir jetzt "nur" den MBR repariert.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

mach ich dann heute Nachmittag.

Also grundsätzlich kann sich der schädlingskram ja nur auf der ssd befinden, oder?

Bin dann erstmal...:sleepy:
Danke für die Hilfe :daumenhoc

hier erstmal malwarebytes:

habe den geschwindigkeitsrekord gebrochen :D

muss dazu sagen dass ich es schon 3 mal laufen lassen hab und bei den ersten beiden malen hatte er was entfernt... aber scheint noch nicht ganz weg zu sein?

Lösung???

SASW hat nur Überreste gefunden. Cookies nun mal.

Halte ich für nen Fehlalarm. Wann hast Du Trojancheck installiert? :balla:

ich weiß es erhrlich nicht mehr. kann sein das ich das vorher installiert hatte weil ich bei google drauf gestoßen bin.

PRT.exe ist ein tool für meine ssd... nix schlimmes.

aber wo zum geier kommen jetzt diese fehler her? ist mein system wieder ok zu bekommen oder was ist da los? wenn es nicht besser wird dann installiere ich alles neu.

ich wills aber noch hinbekommen.

muss ich meine anderen datenplatten auch noch bzgl. des bootkits kontrollieren oder brauch ich mir da keine sorgen machen das mir da irgendwas überspringt?


danke


p.s:
Geb doch dem "sgehdn" mal die Berechtigung hier zu posten.

Aus der Ferne seh ich Deinen PC nur über die Logs und kann den Zustand daher nur eingeschränkt bewerten. Wenn Du mir bestimmte Sachen nicht sagen kannst, hilft uns das auch nicht viel weiter.

Was für Fehler meinst Du? Ich hab Dir bereits erzählt, dass ich den Fund mit dem TrojanCheck6 für einen Fehlalarm halte. Also drück Dich bitte mal genauer aus und v.a. auch ein kleiner Hinweis zum Zustand des Gesamtsystems (wie der Rechner allgemein nun läuft usw.)
Ich kann Dir rein garnichts sagen, wenn Du die Sätze so formulierst, dass man herumraten muss, was Du meinst und mit Deinem System nicht i.O. sein könnte!