Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nach dem Entfernen von Spyware Problem mit explorer.exe

Frage Internet Webbrowser

Mitglied: jochla

jochla (Level 1) - Jetzt verbinden

15.05.2009, aktualisiert 16:45 Uhr, 7392 Aufrufe, 7 Kommentare

Musste gestern mit Hilfe des Programmes "Spybot S&D" zwei Spyware-Probleme beheben: Fraud.Sysguard und WinSpyWareProtect. Danach mach jetzt der Explorer Schwierigkeiten. Wenn ich ein Laufwerk auswähle, egal ob lokales oder Netzlaufwerk, erhalte ich die Fehlermeldung "Das Programm explorer.exe hat eine Problem festgestellt und muss beendet werden." Ich kann den Explorer praktisch nicht mehr benutzen.

Betriebssystem: Windows XP Home Edition SP3.

Wie kann ich das Problem beheben / reparieren?

Gruß, Johannes.
Mitglied: lolol54
15.05.2009 um 16:51 Uhr
Scheint so als hätte die Spyware einen Registry Hook gesetzt, welcher noch aktiv ist. Nun wird die .exe nicht mehr gefunden und der Explorer stürzt ab.

Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.

Diese Schlüssel dann mal hier posten.

Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...


Hoffe das ist ein Ansatz für dich.


LG lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 17:43 Uhr
Leider versteh' ich nicht ganz, was du mit "Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat." meinst. Wie / Wo soll ich die dort finden? In den Protokolldateien von Spybot habe ich folgendes gefunden:

Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool

WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan

Und im Logfile steht dies:

14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!

Kannst Du damit was anfangen?

Gruß, Johannes.
Bitte warten ..
Mitglied: lolol54
15.05.2009 um 18:33 Uhr
Hallo,

das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.

Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...


Gruß lolol
Bitte warten ..
Mitglied: jochla
15.05.2009 um 19:03 Uhr
Hier mein Suchergebnis:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''

Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
16.05.2009 um 04:35 Uhr
Was Du da auf dem Rechner hast ist der Troj/FakeAV-KI, der mit Fake-AV Loesungen, der sogenannten Rogue Spyware, auf dem Rechner installiert wird.

Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...

saludos
gnarff
Bitte warten ..
Mitglied: jochla
16.05.2009 um 08:13 Uhr
Danke für den Hinweis. Ich frage mich nur, warum das Programm Spybot Search & Destroy das nicht herausfindet und auch AntiVir nich Alarm geschlagen hat???

Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:

---
SmitFraudFix v2.416

Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

209.44.111.57 browser-security.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\iehelper.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
---


Gruß, Johannes.
Bitte warten ..
Mitglied: gnarff
17.05.2009 um 00:30 Uhr
Im abgesicherten Modus starten und SmitFraudfix ausfuehren mit Option 2, das Reinigen der Registry bestaetigen.
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].

Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows 7
Explorer.exe - starten des Servers fehlgeschlagen
gelöst Frage von DeathNoteWindows 711 Kommentare

Hi. Ich habe einen Win7 Client, bei dem ich den Explorer nicht mehr starten kann. Es kommt o.a. Fehlermeldung. ...

Windows 7
Explorer.exe: Scnittstelle nicht unterstützt
Frage von itze80Windows 74 Kommentare

Hallo liebe Admins, ich habe hier ein Problem auf einem Terminal Server. Seit gestern können normale Nutzer keine Ordner ...

Windows 7
Bei einem User kommt immer Explorer.exe hat einen Fehler
Frage von Stefan007Windows 75 Kommentare

Hallo, folgendes Problem: eine Mitarbeiterin bekommt immer in einem bestimmten Verzeichnis einen "Explorer.exe" Fehler. Ich hatte zuerst die Vermutung, ...

Windows XP
Windows XP explorer.exe (oder alle Programme) werden nicht ausgeführt
gelöst Frage von minixmaxWindows XP17 Kommentare

Hallo! Wenn ich mein Win XP hochfahre, sehe ich nur das Hintergrundbild und nichts weiter. Wenn ich über Strg ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 19 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 21 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Sichere Remote Desktop Verbindung wie?
gelöst Frage von nuss33Windows Server11 Kommentare

Hallo zusammen, eins vorweg: Ich besitze einen privaten Windows Server 2008 R2 zu Hause im Netzwerk er wird nicht ...