Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nach dem Entfernen von Spyware Problem mit explorer.exe

Mitglied: jochla

jochla (Level 1) - Jetzt verbinden

15.05.2009, aktualisiert 16:45 Uhr, 7426 Aufrufe, 7 Kommentare

Musste gestern mit Hilfe des Programmes "Spybot S&D" zwei Spyware-Probleme beheben: Fraud.Sysguard und WinSpyWareProtect. Danach mach jetzt der Explorer Schwierigkeiten. Wenn ich ein Laufwerk auswähle, egal ob lokales oder Netzlaufwerk, erhalte ich die Fehlermeldung "Das Programm explorer.exe hat eine Problem festgestellt und muss beendet werden." Ich kann den Explorer praktisch nicht mehr benutzen.

Betriebssystem: Windows XP Home Edition SP3.

Wie kann ich das Problem beheben / reparieren?

Gruß, Johannes.
Mitglied: lolol54
15.05.2009 um 16:51 Uhr
Scheint so als hätte die Spyware einen Registry Hook gesetzt, welcher noch aktiv ist. Nun wird die .exe nicht mehr gefunden und der Explorer stürzt ab.

Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.

Diese Schlüssel dann mal hier posten.

Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...


Hoffe das ist ein Ansatz für dich.


LG lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 17:43 Uhr
Leider versteh' ich nicht ganz, was du mit "Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat." meinst. Wie / Wo soll ich die dort finden? In den Protokolldateien von Spybot habe ich folgendes gefunden:

Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool

WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan

Und im Logfile steht dies:

14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!

Kannst Du damit was anfangen?

Gruß, Johannes.
Bitte warten ..
Mitglied: lolol54
15.05.2009 um 18:33 Uhr
Hallo,

das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.

Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...


Gruß lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 19:03 Uhr
Hier mein Suchergebnis:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''

Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
16.05.2009 um 04:35 Uhr
Was Du da auf dem Rechner hast ist der Troj/FakeAV-KI, der mit Fake-AV Loesungen, der sogenannten Rogue Spyware, auf dem Rechner installiert wird.

Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...

saludos
gnarff
Bitte warten ..
Mitglied: jochla
16.05.2009 um 08:13 Uhr
Danke für den Hinweis. Ich frage mich nur, warum das Programm Spybot Search & Destroy das nicht herausfindet und auch AntiVir nich Alarm geschlagen hat???

Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:

---
SmitFraudFix v2.416

Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

209.44.111.57 browser-security.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\iehelper.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
---


Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
17.05.2009 um 00:30 Uhr
Im abgesicherten Modus starten und SmitFraudfix ausfuehren mit Option 2, das Reinigen der Registry bestaetigen.
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].

Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows 7

Explorer.exe - starten des Servers fehlgeschlagen

gelöst Frage von DeathNoteWindows 711 Kommentare

Hi. Ich habe einen Win7 Client, bei dem ich den Explorer nicht mehr starten kann. Es kommt o.a. Fehlermeldung. ...

Windows 7

Explorer.exe: Scnittstelle nicht unterstützt

Frage von itze80Windows 74 Kommentare

Hallo liebe Admins, ich habe hier ein Problem auf einem Terminal Server. Seit gestern können normale Nutzer keine Ordner ...

Windows 7

Bei einem User kommt immer Explorer.exe hat einen Fehler

Frage von Stefan007Windows 75 Kommentare

Hallo, folgendes Problem: eine Mitarbeiterin bekommt immer in einem bestimmten Verzeichnis einen "Explorer.exe" Fehler. Ich hatte zuerst die Vermutung, ...

Windows XP

Windows XP explorer.exe (oder alle Programme) werden nicht ausgeführt

gelöst Frage von minixmaxWindows XP17 Kommentare

Hallo! Wenn ich mein Win XP hochfahre, sehe ich nur das Hintergrundbild und nichts weiter. Wenn ich über Strg ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Windows Server
HyperV Failover Cluster Konzeption und Aufbau
Frage von snowboard86Windows Server5 Kommentare

Hallo liebe KollegInnen, Ich habe eine Frage zu Hyper V Failover-Clusters. Wir sind ein mittelständisches Handelsunternehmen und haben aktuell ...