jochla
Goto Top

Nach dem Entfernen von Spyware Problem mit explorer.exe

Musste gestern mit Hilfe des Programmes "Spybot S&D" zwei Spyware-Probleme beheben: Fraud.Sysguard und WinSpyWareProtect. Danach mach jetzt der Explorer Schwierigkeiten. Wenn ich ein Laufwerk auswähle, egal ob lokales oder Netzlaufwerk, erhalte ich die Fehlermeldung "Das Programm explorer.exe hat eine Problem festgestellt und muss beendet werden." Ich kann den Explorer praktisch nicht mehr benutzen.

Betriebssystem: Windows XP Home Edition SP3.

Wie kann ich das Problem beheben / reparieren?

Gruß, Johannes.

Content-ID: 116185

Url: https://administrator.de/forum/nach-dem-entfernen-von-spyware-problem-mit-explorer-exe-116185.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

lolol54
lolol54 15.05.2009 um 16:51:39 Uhr
Goto Top
Scheint so als hätte die Spyware einen Registry Hook gesetzt, welcher noch aktiv ist. Nun wird die .exe nicht mehr gefunden und der Explorer stürzt ab.

Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat.

Diese Schlüssel dann mal hier posten.

Einfach löschen geht leider nicht, aber der Hook muss da raus, die Experten hier werden es wissen, was ich meine...


Hoffe das ist ein Ansatz für dich.


LG lolol
jochla
jochla 15.05.2009 um 17:43:38 Uhr
Goto Top
Leider versteh' ich nicht ganz, was du mit "Geh in die Registry und such dort nach den Dateien, die Spybot S&D gelöscht hat." meinst. Wie / Wo soll ich die dort finden? In den Protokolldateien von Spybot habe ich folgendes gefunden:

Fraud.Sysguard: [SBI $69ECEF4B] Autorun-Einstellungen (system tool) (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool

WinSpywareProtect: [SBI $7B060FA9] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-3532425543-1113074848-1080664204-1010\Software\AvScan

Und im Logfile steht dies:

14.05.2009 14:30:06 Encountered and terminated Fraud.Sysguard in C:\WINDOWS\sysguard.exe!
14.05.2009 15:19:01 Erlaubt (based on user decision) value "system tool" (new data: "") gelöscht in System Startup user entry!

Kannst Du damit was anfangen?

Gruß, Johannes.
lolol54
lolol54 15.05.2009 um 18:33:48 Uhr
Goto Top
Hallo,

das ist doch schon mal was... Such mal in der Registry nach der sysguard.exe.

Und poste dann die Schlüssel die er findet, ich schau dann bei mir nach, wie sie richtig lauten...


Gruß lolol
jochla
jochla 15.05.2009 um 19:03:14 Uhr
Goto Top
Hier mein Suchergebnis:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Eintrag: C:\WINDOWS\sysguard.exe = ???? ''?????''

Gruß, Johannes.
gnarff
gnarff 16.05.2009 um 04:35:53 Uhr
Goto Top
Was Du da auf dem Rechner hast ist der Troj/FakeAV-KI, der mit Fake-AV Loesungen, der sogenannten Rogue Spyware, auf dem Rechner installiert wird.

Mit einem der gaengigen Onlinescanner, kannst Du den Schaedling restlos entfernen oder aber es selbst tun, mit Smit Fraud Fix...

saludos
gnarff
jochla
jochla 16.05.2009 um 08:13:39 Uhr
Goto Top
Danke für den Hinweis. Ich frage mich nur, warum das Programm Spybot Search & Destroy das nicht herausfindet und auch AntiVir nich Alarm geschlagen hat???

Ich hab daas Programm SmitFraudFix mal laufen lassen, komme aber mit dem Rapport nicht klar. Es ist wohl "nur" die hosts-Datei corrupt!? Hier mal der Inhalt von rapport.txt:

---
SmitFraudFix v2.416

Scan done at 12:02:23,89, 16.05.2009
Run from C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PDFCreator\PDFCreator.exe
C:\Programme\Automatic Update\AutoUpdate.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Automatic Update\AutoUpdateGUI.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Amadeus\Pro Printer\Mainsrv.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programme\Amadeus\Pro Printer\ReworkStarter.exe
C:\Programme\Amadeus\Pro Printer\ComAdapt.exe
C:\Programme\Amadeus\Pro Printer\Panel.exe
C:\Programme\Amadeus\Pro Printer\moda.exe
C:\Programme\Amadeus\Pro Printer\AmaPrt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Helena.NB01\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

209.44.111.57 browser-security.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\iehelper.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Helena.NB01\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HELENA~1.NB0\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
...

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
---


Gruß, Johannes.
gnarff
gnarff 17.05.2009 um 00:30:49 Uhr
Goto Top
Im abgesicherten Modus starten und SmitFraudfix ausfuehren mit Option 2, das Reinigen der Registry bestaetigen.
Danach Neustart und Windows im laufenden Betrieb aktualisieren, sollte danach der Explorer immer noch seinen Dienst verweigen, Neustarten und eine Reparaturinstallation ausfuehren [nicht uber Wiederherstellungskonsole].

Dass Avira keinen Alarm schlaegt ist eigentlich nichts neues, vllt. mal eine vernuenftige AV-Loesung suchen.

Saludos
gnarff