Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nach dem Entfernen von Spyware Problem mit explorer.exe

Frage Internet Webbrowser

Mitglied: jochla

jochla (Level 1) - Jetzt verbinden

15.05.2009, aktualisiert 16:45 Uhr, 7259 Aufrufe, 7 Kommentare

Musste gestern mit Hilfe des Programmes "Spybot S&D" zwei Spyware-Probleme beheben: Fraud.Sysguard und WinSpyWareProtect. Danach mach jetzt der Explorer Schwierigkeiten. Wenn ich ein Laufwerk auswähle, egal ob lokales oder Netzlaufwerk, erhalte ich die Fehlermeldung "Das Programm explorer.exe hat eine Problem festgestellt und muss beendet werden." Ich kann den Explorer praktisch nicht mehr benutzen.

Betriebssystem: Windows XP Home Edition SP3.

Wie kann ich das Problem beheben / reparieren?

Gruß, Johannes.
Mitglied: lolol54
15.05.2009 um 16:51 Uhr
Scheint so als hätte die Spyware einen Registry Hook gesetzt, welcher noch aktiv ist. Nun wird die .exe nicht mehr gefunden und der Explorer stürzt ab.

Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.

Diese Schlüssel dann mal hier posten.

Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...


Hoffe das ist ein Ansatz für dich.


LG lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 17:43 Uhr
Leider versteh' ich nicht ganz, was du mit "Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat." meinst. Wie / Wo soll ich die dort finden? In den Protokolldateien von Spybot habe ich folgendes gefunden:

Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool

WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan

Und im Logfile steht dies:

14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!

Kannst Du damit was anfangen?

Gruß, Johannes.
Bitte warten ..
Mitglied: lolol54
15.05.2009 um 18:33 Uhr
Hallo,

das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.

Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...


Gruß lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 19:03 Uhr
Hier mein Suchergebnis:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''

Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
16.05.2009 um 04:35 Uhr
Was Du da auf dem Rechner hast ist der Troj/FakeAV-KI, der mit Fake-AV Loesungen, der sogenannten Rogue Spyware, auf dem Rechner installiert wird.

Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...

saludos
gnarff
Bitte warten ..
Mitglied: jochla
16.05.2009 um 08:13 Uhr
Danke für den Hinweis. Ich frage mich nur, warum das Programm Spybot Search & Destroy das nicht herausfindet und auch AntiVir nich Alarm geschlagen hat???

Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:

---
SmitFraudFix v2.416

Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

209.44.111.57 browser-security.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\iehelper.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
---


Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
17.05.2009 um 00:30 Uhr
Im abgesicherten Modus starten und SmitFraudfix ausfuehren mit Option 2, das Reinigen der Registry bestaetigen.
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].

Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.

Saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...