keats
2019-12-29, 21:36:29
Hallo,
ich habe auf dem Rechner eines Freundes ein interessantes Problem, das ich nicht ganz verstehe. Auf dem Rechner lief eine Nag/Scam-Ware, die entfernt wurde. Das ist zum einen mit Hilfe von Process Explorer und Autoruns passiert als auch durch anschließendes Löschen der Verzeichnisse/Dateien. Danach lief noch Malwarebytes durch. Bei den folgenden Systemstarts ist nichts davon wieder aufgetaucht.
Allerdings wird nach wie vor sporadisch (!) beim Öffnen des Internet Explorer eine Scam-Seite mit falscher Virenwarnung im Look des Windows Defenders von Windows 7 aufgerufen. Nachdem die Seite in der eingeschränkten Zone eingetragen wurde, lässt sich der Kram einfach wieder schließen und bleibt dann auch erstmal weg.
Aber woher kommt der entsprechende Aufruf und das nur manchmal?
- Windows Defender, Malwarebytes, Malwarebytes Anti-Rootkit und McAfee Rootkit Remover finden nichts
- Laufwerk an anderem Rechner über USB-Adapter, Defender findet ebenfalls nichts
- Startseiteneintrag ist in Ordnung
- keine verdächtigen Add-ins installiert
- Sicherheitszonen auf Standard
- UAC springt nicht an
- Link zum Internet Explorer ist in Ordnung
- Proxy-Einstellungen sind in Ordnung
- hosts-Datei ist in Ordnung
- DNS-Einstellungen sind in Ordnung / DNS flush ausgelöst
- in Autoruns und Process Explorer nichts Verdächtiges
- in der Registry nichts mit Suche nach der URL (nur Domain) gefunden
- sfc /scannow und dism mit RestoreHealth durchlaufen lassen
Windows 10 Pro 1903 mit aktuellem Patchstand. Der Internet Explorer wird leider für bestimmte Unternehmensseiten benötigt.
Mir ist im Process Explorer aufgefallen, dass der Internet Explorer die adb.exe für die Verbindung zu Android Telefonen als Subprozess hatte. Die adb.exe ist im Rahmen der Telefonsoftware regulär installiert und lt. Virus Total sauber. Die adb.exe als Subprozess ist aber auch kein muss und lässt sich nicht bewusst reproduzieren.
ich habe auf dem Rechner eines Freundes ein interessantes Problem, das ich nicht ganz verstehe. Auf dem Rechner lief eine Nag/Scam-Ware, die entfernt wurde. Das ist zum einen mit Hilfe von Process Explorer und Autoruns passiert als auch durch anschließendes Löschen der Verzeichnisse/Dateien. Danach lief noch Malwarebytes durch. Bei den folgenden Systemstarts ist nichts davon wieder aufgetaucht.
Allerdings wird nach wie vor sporadisch (!) beim Öffnen des Internet Explorer eine Scam-Seite mit falscher Virenwarnung im Look des Windows Defenders von Windows 7 aufgerufen. Nachdem die Seite in der eingeschränkten Zone eingetragen wurde, lässt sich der Kram einfach wieder schließen und bleibt dann auch erstmal weg.
Aber woher kommt der entsprechende Aufruf und das nur manchmal?
- Windows Defender, Malwarebytes, Malwarebytes Anti-Rootkit und McAfee Rootkit Remover finden nichts
- Laufwerk an anderem Rechner über USB-Adapter, Defender findet ebenfalls nichts
- Startseiteneintrag ist in Ordnung
- keine verdächtigen Add-ins installiert
- Sicherheitszonen auf Standard
- UAC springt nicht an
- Link zum Internet Explorer ist in Ordnung
- Proxy-Einstellungen sind in Ordnung
- hosts-Datei ist in Ordnung
- DNS-Einstellungen sind in Ordnung / DNS flush ausgelöst
- in Autoruns und Process Explorer nichts Verdächtiges
- in der Registry nichts mit Suche nach der URL (nur Domain) gefunden
- sfc /scannow und dism mit RestoreHealth durchlaufen lassen
Windows 10 Pro 1903 mit aktuellem Patchstand. Der Internet Explorer wird leider für bestimmte Unternehmensseiten benötigt.
Mir ist im Process Explorer aufgefallen, dass der Internet Explorer die adb.exe für die Verbindung zu Android Telefonen als Subprozess hatte. Die adb.exe ist im Rahmen der Telefonsoftware regulär installiert und lt. Virus Total sauber. Die adb.exe als Subprozess ist aber auch kein muss und lässt sich nicht bewusst reproduzieren.