|
Internet Explorer Prozess (NUR PROZESS) iexplore.exe startet sich selbst 3 mal Hallo Trojaner-Board-Team, mein Internet Explorer Prozess (nur Prozess) iexplore.exe startet sich selbst 3 mal. Der Benutzer des Prozesses ist SYSTEM. Hin und wieder hör(t)e ich dann Musik (wie in einer Werbung). Wenn ich den Internet Explorer auf leise stelle (im Windows 7 Lautstärke Mixer) ist auch die Musik leise. Wenn ich die iexplore.exe Prozesse beende (im Windows 7 Task-Manager) ist auch die Musik beendet. Ich habe gerade "die Liste" abgearbeitet um euch einen Überblick zu schaffen. Ich meine diese Liste des Torjaner-Boards: http://www.trojaner-board.de/69886-a...-beachten.html Doch vor der Liste (1 Tag zuvor) habe ich schon Ad-Aware Free durchlaufen lassen, welcher auch etwas gefunden und entfernt hat. Auch Malwarebytes lief (1 Tag zuvor) schon im Vollständigen Scan durch (ohne Funde). Und mir scheint so (nach 1 Tag Beobachtung) als sei die Musik weg, NICHT aber die iexplore.exe Prozesse. Alle meine Logs habe ich in einer ZIP-File angehängt (ScanLogs.zip unten im Anhang) Aber eine Übersicht der Logs hier: 1) Malwarebytes Vollständiger Scan 1 Tag alt (ohne Funde) 2) Ad-Aware Free 1 Tag alt - CCleaner von heute - keine log, aber alles entfernt gemäß Anleitung der Liste oben. 3) Malwarebytes Quickscan von heute (ohne Funde) 4) RSIT-Log von heute 5) RSIT-Info von heute Das ist mein erster Beitrag und ich hoffe damit könnt ihr schonmal etwas anfangen, und wenn ich weitere Infos nachliefern soll, einfach melden. Freundlich grüßt Euch Frank |
Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
remover.exe Wie beschrieben unter Windows 7 als Administrator ausgeführt. Ausgabe: _____________________________________________________ Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows 7 (build 7600), 32-bit System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 7e2d793e655aa56e54045c9032f66f00 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... _____________________________________________________ |
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code: remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat |
Hi Arne, mbr.dat der remover.exe Applikation nachdem ich Code: remover.exe dump \\.\PhysicalDrive0 c:\mbr.datGruß Frank |
Dann nun die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code: remover.exe fix \\.\PhysicalDrive0 |
Hi wieder Arne, also den fix habe ich ausgeführt und die cmd-Box meldete nur OK, der Cursor blinkte darunter und die cmd-Box ließ sich nicht schießen. Da ein Windowsfenster zuvor noch meldete, dass ich unmittelbar nach dem fix neustarten muss (da sons ein möglicher Trojaner wieder den reparierten MasterBootRekord infiziern könnte) habe ich den Rechner neu gesartet. Windows 7 konnte nicht starten. Nun musste ich den Windwosdatenträger einlegen (zum Starten) und mittels Reparatur den Windows 7 Starteintrag wiederherstellen, welcher als fehlerhaft erkannt wurde. Hat auch geklappt und Windwos startete wieder. Bisher (nach 5-10 Minuten Windwos 7 Betrieb) kann ich sagen: Meine iexplore.exe Prozesse starten nicht mehr automatisch! :daumenhoc Ich beobachte es weiter... Benötigst du nun wieder die aktuelle mbr.dat? Freundlich grüßt Funky-Frank |
Ok, danke für die Hinweise, ich schätze dann ist der Bootkit-Remover nicht so ganz mit Win7 kompatibel, werd ich mal im Hinterkopf behalten müssen. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, es gab nun keine Funde mehr mit den letzten vollständigen Scans. Die logfiles behalte ich nun für mich, beziehungsweise habe diese und die Scantools von meinem System gelöscht. Vielen vielen Dank für Deine professionelle Hilfe. Danke ans Trojaner-Board-Team. 10 € dafür an: http://www.trojaner-board.de/79994-s...ndenkonto.html :party: Es grüßt Frank |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board