7
Nach dem Entfernen von Spyware Problem mit explorer.exe
Musste gestern mit Hilfe des Programmes "Spybot S&D" zwei Spyware-Probleme beheben: Fraud.Sysguard und WinSpyWareProtect. Danach mach jetzt der Explorer Schwierigkeiten. Wenn ich ein Laufwerk auswähle, egal ob lokales oder Netzlaufwerk, erhalte ich die Fehlermeldung "Das Programm explorer.exe hat eine Problem festgestellt und muss beendet werden." Ich kann den Explorer praktisch nicht mehr benutzen.
Betriebssystem: Windows XP Home Edition SP3.
Wie kann ich das Problem beheben / reparieren?
Gruß, Johannes.
Betriebssystem: Windows XP Home Edition SP3.
Wie kann ich das Problem beheben / reparieren?
Gruß, Johannes.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116185
Url: https://administrator.de/contentid/116185
Printed on: April 25, 2024 at 05:04 o'clock
7 Comments
Latest comment
Scheint so als hätte die Spyware einen Registry Hook gesetzt, welcher noch aktiv ist. Nun wird die .exe nicht mehr gefunden und der Explorer stürzt ab.
Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.
Diese Schlüssel dann mal hier posten.
Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...
Hoffe das ist ein Ansatz für dich.
LG lolol
Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.
Diese Schlüssel dann mal hier posten.
Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...
Hoffe das ist ein Ansatz für dich.
LG lolol
Leider versteh' ich nicht ganz, was du mit "Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat." meinst. Wie / Wo soll ich die dort finden? In den Protokolldateien von Spybot habe ich folgendes gefunden:
Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool
WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan
Und im Logfile steht dies:
14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!
Kannst Du damit was anfangen?
Gruß, Johannes.
Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool
WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan
Und im Logfile steht dies:
14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!
Kannst Du damit was anfangen?
Gruß, Johannes.
Hallo,
das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.
Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...
Gruß lolol
das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.
Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...
Gruß lolol
Hier mein Suchergebnis:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''
Gruß, Johannes.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''
Gruß, Johannes.
Was Du da auf dem Rechner hast ist der Troj/FakeAV-KI, der mit Fake-AV Loesungen, der sogenannten Rogue Spyware, auf dem Rechner installiert wird.
Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...
saludos
gnarff
Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...
saludos
gnarff
Danke für den Hinweis. Ich frage mich nur, warum das Programm Spybot Search & Destroy das nicht herausfindet und auch AntiVir nich Alarm geschlagen hat???
Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:
---
SmitFraudFix v2.416
Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
209.44.111.57 browser-security.microsoft.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\iehelper.dll FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
---
Gruß, Johannes.
Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:
---
SmitFraudFix v2.416
Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
209.44.111.57 browser-security.microsoft.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\iehelper.dll FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
---
Gruß, Johannes.
Im abgesicherten Modus starten und SmitFraudfix ausfuehren mit Option 2, das Reinigen der Registry bestaetigen.
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].
Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.
Saludos
gnarff
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].
Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.
Saludos
gnarff
