IEXPLORE.EXE minimiert Anwendungen und spielt Musik ab

Wenn alles nicht hilft :
Scannen mit LiveCD .....
http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html
ist nur am Download-Tag aktuell!!

Beschreibung
http://www.pcwelt.de/start/sicherheit/antivirus/news/189739/neue_version_des_avira_antivir_rescue_system/

oder  : lt Carpenter
http://scareware.de/2010/04/boot-cd-virenscanner-kaspersky-rescue-disk-10/

Das Teil hängt im MBR. Im Trojaner-Board werden wir damit gerade überflutet.

@Skuttis: Schau mal ins Trojaner-Board und such da nach Bootkit Remover.

 ??? ??? ??? dann sollte man den doch wohl neu schreiben ??

Unter XP ....
Boote  von der System-CD  / und wähle bei der ersten Möglichkeit R.
Hier gelangst du in die Wiederherstellungskonsole.
Dort anmelden und dann:

Master Boot Record (kurz: MBR)  =
fixmbr c:\

Bootsektor  =
fixboot c:\

Evtl danach noch die boot.ini neu erstellen lassen
bootcfg /rebuild



Und die Bootbare AV-CD sollte den eigentlich auch finden ... !!

    

Entweder so oder mann bemutzt den Bootkit Remover.

Also der Bootkit Remover hat kein Erfolg gebracht.Hab dann "fixmbr" und "fixboot" ausgeführt und es scheint alles wieder zu laufen.
Vielen Dank an alle.

Also der Bootkit Remover hat kein Erfolg gebracht.

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Nur mal aus intresse:
dieser seltsame gast versteckt sich nur im MBR oder auch noch auf anderen unzugänglichen sektoren?

Hab ich bisher noch nicht herausbekommen.
Ich hab mit keinem anderen Tool irgendwelche Hinweise gefunden, soweohl vor als auch nach der Reparatur des MBR.
Ich vermute, dass das so oder so ähnlich wie beim TDSSv3 ablaufen könnte. Da wurde die atapi.sys manipuliert (mittlerweile kann das aber auch eine zufällige Systemdatei sein) und wenn man auf diese dann zugreifen wollte, wurde der Zugriff auf die echte atapi.sys "umgelenkt", AFAIK über eine Art verstecktes Dateisystem.

http://www.drweb.com/static/BackDoor.Tdss.565_(aka%20TDL3)_en.pdf

Den musst Du auch speziell ausführen...

remover.exe fix \\.\PhysicalDrive0


  

Wenn Du den Befehl auch so in der Konsole ausführst, musst Du Dich im Pfad befinden, in dem die remover.exe liegt. Oder Du kopierst sie nach system32, dann kannst Du den Befehl immer aus der Konsole ausführen.

Edit: Ab Vista kann auch die UAC ein kleineres Hindernis sein, dazu muss man vorher die Konsole CMD.exe als Admin ausführen.

Hab noch XP.CMD ausgeführt, cd [Pfad] angegeben und dann die remover.exe fix ... das Programm ging zwar aber da stand unknown... (keine ahnung mehr).

das Programm ging zwar aber da stand unknown... (keine ahnung mehr).

Ja tut mir lied falls es mir nochmal passieren sollte schreib ichs auf  .Ist ja jetzt auch egal bin froh das alles funktioniert.

Nö, ist ja auch nicht schlimm. Ich will halt nur Missverständnisse aus dem Weg räumen, da der BootkitRemover sehr zuverlässig den MBR neu schreibt.