Datenausführungsverhinderung: Firefox/IE

Vor einigen Tagen wollte ich eine Datei öffnen, aber beim Öffnen kam eine Meldung von G Data Internet Security, dass die Datei einen Virus enthalten würde und sie in die Quarantäne verschoben wurde.

Daraufhin ist Firefox abgestürzt. Als ich ihn neustarten wollte, kam der Crash-Reporter. Da konnte ich zwischen "Beenden" und "Neustarten" wählen. Beim Klick auf "Beenden" wurde Firefox geschlossen. Wenn ich Firefox wieder starten wollte, kam wieder der Crash-Reporter. Bei "Neustarten" passierte dasselbe.

Auch der Internet Explorer stürzte immer ab, weil es wohl Probleme beim Zugriff auf einen bestimmten Teil im Speicher gab. Hing auch mit der Datenausführungsverhinderung zusammen.

Ich habe beide Programme aus der Datenausführungsverhinderung rausgenommen (Systemsteuerung->System).

Jetzt kommt beim Starten von Windows:
"yjkeznbgf.exe" wurde von der Datenausführungsverhinderung blockiert. Wenn ich das wegklicke, kommt:
"yjkeznbgf.exe hat ein Problem festgestellt und muss beendet werden." Wenn ich das auch wegklicke, sehe ich nur meinen Desktop-Hintergrund. Ich muss die explorer.exe manuell im Task-Manager starten, damit alles wieder angezeigt wird.

Woran liegt das? Ist das ein Virus?

 

> http://www.pcwelt.de/forum/sicherhe...12-malwarebefall-posten-bitte-abarbeiten.html

 

Meine HijackThis-Logs sind eigentlich völlig ok.

Aber gestern hatte ich direkt nach dem Systemstart diese komischen Prozesse im Task-Manager stehen:
- MRT.exe
- mrtstub.exe
- windows-kb890830-v3.2-delta.exe
Benutzername war jeweils "SYSTEM". Nach ein paar Minuten waren die Prozesse wieder weg!?

Sind das auch Teile von Viren? Ich kann die Datei mrtstub.exe jetzt auch nicht mehr mit der Windows-Suche finden.

 

Die Prozesse gehören zum Microsoft Malicious Software Removal Tool. Das hat wohl Windows beim Start untersucht. Vorher wird es wohl vom Automatischen Windows Update runter geladen worden sein.

 

Danke, dann waren diese Prozesse wohl kein Teil vom Virus.

G Data InternetSecurity hat jetzt "yjkeznbgf.exe" als Trojaner erkannt und in die Quarantäne verschoben. Die Meldung beim Systemstart (siehe erster Post) kommt jetzt nicht mehr. Allerdings wird die "explorer.exe" immer noch nicht gestartet. Ich muss sie also weiterhin manuell starten.

Woran könnte das liegen?

 

> http://www.pcwelt.de/forum/windows-xp-server-2003/375956-xp-nur-desktophintergrund.html

 

Danke für den Link. Aber beide Schlüssel sind in der Registrierung drin. Daran kann es also nicht liegen.

 

Ich halte das für einen Fehlalarm von GDATA.
Es ist nicht ungewöhnlich, dass ein AV-Scanner einen anderen als Trojaner bezeichnet. Ein Programm, dass immer im Autostart mit startet, Dateien, Registry und diverse andere Bereiche scann, kann ein AV-Scanner sein oder ein Trojaner.

 

Wieso sollte das ein Fehlalarm sein?

yjkeznbgf.exe ist doch kein AV-Programm ...

 

Du hast recht. Ich habe das mit den anderen Prozessen verwechselt.
In dem Licht sieht die Sache ganz anders aus. Da kann ein Trojaner das Microsoft Malicious Software Removal Tool sabotiert haben.

 

@2UNEM
Lade dir von Avira-HP folgendes runter und scan mit der ständig aktualisierten Boot-CD:
> http://www.free-av.de/de/tools/12/av...ue_system.html

Aber du hast bisher kein Log gepostet.
Also mach bitte nochmals ein HJT.
Ich möchte dir auch vorschlagen, den Sticky vom Link in post #2 zu lesen.

 

Könnte es auch sein, dass ein Trojaner die Datenausführungsverhinderung manipuliert hat? Ich wollte nämlich gerade mit G Data eine Boot-CD brennen und da kam die Meldung:
http://i50.tinypic.com/jrblhk.jpg
Der Brennvorgang wurde daraufhin abgebrochen. Auch Firefox und Internet Explorer werden seit kurzem von der Datenausführungsverhinderung geblockt. Und eben diese "yjkeznbgf.exe" ...

Das HijackThis-Log hab ich auf hijackthis.de automatisch auswerten lassen - und da kam nur Positives raus. Dieses Avira AntiVir Rescue System hab ich jetzt mal runtergeladen und meinen PC gescannt: Der einzige Fund war "SPR/Tool.Key.250368". Wird laut Virustotal.com aber nur von 4,88% der Virenscanner erkannt. Ist also vielleicht ein Fehlalarm?! http://www.virustotal.com/de/analis...d42f158333191886438f062868b9cbc381-1260686421

 

Da steckt wohl mehr hinter, aber solange keine logs aus dem zitierten PCWF-Link eingesehen werden können, bleibts dabei.
Setz am besten das System neu auf oder mach ein Rollback von sauberem Image, dann ist es stabil,
wobei aber die Infizierung eigener Dateien nicht ausgeschlossen werden kann.

 

Mehr kann man nicht raten. Es fehlen zur genaueren Beurteilung Logdateien (http://www.pcwelt.de/forum/2127032-post2.html). Dazu noch Ereignisanzeige
http://www.pcwelt.de/start/software...455/das_zeichnet_windows_alles_auf/index.html