1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

explorer.exe startet immer wieder neu....

Discussion in 'Windows XP / Server 2003/2008 / Vista' started by Mystery07, Oct 10, 2008.

Thread Status:
Not open for further replies.
  1. Mystery07

    Mystery07 Byte

    Hallo!

    Ich hatte mir auf meinem PC (WinXP Pro inkl. SP3) einen Trojaner eingefangen. Meine Kaspersky InternetSecurity 2009 hat den auch etwas spät) entdeckt. 2 Dateien der Software "RegRun Suite" und die rundll32.exe waren befallen. Bei der Neutralisation (empfohlen vom Kaspersky) ging aber wohl nicht alles glatt:

    Wenn ich jetzt den PC starte, bekomme ich keine Taskleiste, kein Startmenü und keine Desktop-Symbole mehr. Es werden auch nicht mehr alle Prozesse, die sonst hoch gefahren werden, gestartet. Die "explorer.exe" die dafür zuständig ist wird zwar gestartet, fliegt aber dauernd wieder raus und startet immer wieder neu bis sie es aufgibt. Auch ein manuelles Starten der "explorer.exe" bringt nichts. Das ganze sieht im abgesicherten Modus auch nicht anders aus. Momentan kann ich nur mittels Task-Manager neue Task ausführen und muss die Programme die ich laufen lassen will manuell suchen. Bin ja froh, dass ich noch online gehen kann. Auf Dauer ist das alles aber sehr nervig....!!! Die explorer.exe ist aber definitiv virenfrei und sauber. Die rundll32.exe habe ich auch sauber wieder eingespielt. Ist in der Registry was kaputt???

    Ich versuche als nächstes mal das ServicePack 3, was installiert ist, einfach nochmal rüber zu installieren und zu hoffen, dass der Defekt damit weg ist.

    Was meint ihr? Bringt eine "Drüber-Installation vom SP3 was???? Eine komplette Neuinstallation möchte ich unbedingt vermeiden.....!
     
    Mystery07, Oct 10, 2008
    #1
  2. poro

    poro Ganzes Gigabyte

    poro, Oct 10, 2008
    #2
  3. Mystery07

    Mystery07 Byte

    ...erst morgen erstellen können, da ich mich zur Zeit am PC meiner Ex-Frau aufhalte und erst morgen wieder zu Hause sein werde...

    Melde mich mit dem HiJack-Log morgen wieder hier.....!

    Der Vorfall wurde durch eine verseuchte exe-Datei ausgelöst. Gemeldet wurde ein Trojan.Monder...! An den Scan-Report vom Kaspersky komme ich nicht ran. Der Kaspersky läuft zwar als Prozess im TaskManager (avp.exe), aber ich bekomme ich Programm-Benutzeroberfläche nicht auf den Desktop....! Dummerweise hatte ich für genau 1 Minute den Schutz vom Kaspersky ausgeschaltet. Das war wohl genau 1 Minute zuviel.....! :-(

    Würde ein Durchlauf des Trojan Remover was bringen????

    Danke im voraus für die Mühe.....! :-)

    Gruß,

    Heiko
     
    Last edited: Oct 10, 2008
    Mystery07, Oct 10, 2008
    #3
  4. Shadowrunner200

    Shadowrunner200 Byte

    Das neu aufspielen des SPs wird wohl kaum was bringen. Im gegenteil. Flickschusterei bei Win führt über kurz oder lang zu einem sehr bösen erwachen.

    Am besten ist in einem solchen fall mit Knoppix oder noch besser Ubuntu-Live Daten sichern, das System plätten und komplett neu aufspielen. Aber nicht einfach drüber installieren, das bringts nicht.

    Abgesehen davon das dann wirklich wieder alles im Lot ist, nur dann kannst du dir auch sicher sein das keine Reste von dem Virus mehr auf dem System sind oder das Ding evtl. heimlich die AV-Software umgeht bzw. selbst befallen hat.
     
    Shadowrunner200, Oct 11, 2008
    #4
  5. Mystery07

    Mystery07 Byte

    Hi!

    Ich habe heute entgegen des Anratens doch den Trojan Remover laufen und reparieren lassen.

    Ergebnis: Die Taskleiste, das Startmenü und die Desktop-Symbole sind wieder da und es wurden auch alle Prozesse wieder gestartet.

    Hier ist ein Auszug des Logs vom Trojan Remover:

    ***** THE SYSTEM HAS BEEN RESTARTED *****
    11.10.2008 18:49:50: Trojan Remover has been restarted
    C:\WINDOWS\system32\YyJjmUvw.ini has been deleted (if it existed)
    C:\WINDOWS\system32\YyJjmUvw.ini2 has been deleted (if it existed)
    =======================================================
    Removing the following registry keys:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\byXOfdda - already removed
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{48CE7798-D1A3-4C6E-A7D1-B9B8EEBD5985} - removed
    HKCR\CLSID\{48CE7798-D1A3-4C6E-A7D1-B9B8EEBD5985} - removed
    =======================================================
    The Lsa Authentication Packages registry entry has been reset
    Trojan Remover forced a System Restart by terminating WINLOGON.EXE.
    The Cleanup Utility was used to remove locked registry keys.
    11.10.2008 18:49:53: Trojan Remover closed
    ************************************************************

    ***** NORMAL SCAN FOR ACTIVE MALWARE *****
    Trojan Remover Ver 6.7.3.2546. For information, email support@simplysup1.com
    [Registered to: Heiko Garde]
    Scan started at: 17:59:11 11 Okt 2008
    Using Database v7156
    Operating System: Windows XP SP3 [Windows XP Professional Service Pack 3 (Build 2600)]
    File System: NTFS
    Data directory: C:\Dokumente und Einstellungen\Heiko Garde\Anwendungsdaten\Simply Super Software\Trojan Remover\
    Database directory: D:\Programme\Trojan Remover\
    Logfile directory: C:\Dokumente und Einstellungen\Heiko Garde\Eigene Dateien\Simply Super Software\Trojan Remover Logfiles\
    Program directory: D:\Programme\Trojan Remover\
    Running with Administrator privileges

    ************************************************************
    The following Anti-Malware program(s) are loaded:
    Kaspersky Anti-Virus

    ************************************************************


    ************************************************************
    17:59:13: Scanning ----------WIN.INI-----------
    WIN.INI found in C:\WINDOWS

    ************************************************************
    17:59:13: Scanning --------SYSTEM.INI---------
    SYSTEM.INI found in C:\WINDOWS

    ************************************************************
    17:59:13: ----- SCANNING FOR ROOTKIT SERVICES -----
    No hidden Services were detected.

    ************************************************************
    17:59:42: Scanning -----WINDOWS REGISTRY-----
    --------------------
    Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
    --------------------
    Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
    This key's "Shell" value calls the following program(s):
    File: Explorer.exe
    C:\WINDOWS\Explorer.exe
    1036800 bytes
    Created: 07.04.2008
    Modified: 14.04.2008
    Company: Microsoft Corporation
    --------------------
    Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    Value Name: *Restore
    Value Data: C:\WINDOWS\system32\restore\rstrui.exe -c
    C:\WINDOWS\system32\restore\rstrui.exe
    385536 bytes
    Created: 07.04.2008
    Modified: 14.04.2008
    Company: Microsoft Corporation
    --------------------
    ************************************************************
    18:00:27: Scanning ----- SERVICEDLL REGISTRY KEYS -----
    Key: HidServ
    %SystemRoot%\System32\hidserv.dll - file is globally excluded (file cannot be found)
    --------------------
    ************************************************************
    Key: Partizan
    ImagePath: system32\drivers\Partizan.sys
    C:\WINDOWS\system32\drivers\Partizan.sys [file not found to scan]
    ----------
    ************************************************************
    18:02:58: Scanning -----VXD ENTRIES-----

    ************************************************************
    18:02:58: Scanning ----- WINLOGON\NOTIFY DLLS -----
    Key : byXOfdda
    DLLName: byXOfdda.dll
    byXOfdda.dll - this reference has been removed [file not found to scan]

    ************************************************************
    ----------
    Key: Trojan Remover
    CLSID: {52B87208-9CCF-42C9-B88E-069281105805}
    Path: D:\PROGRA~1\TROJAN~1\Trshlex.dll
    D:\PROGRA~1\TROJAN~1\Trshlex.dll
    467552 bytes
    Created: 17.04.2008
    Modified: 05.02.2007
    Company: Simply Super Software
    ----------
    Key: TuneUp Shredder Shell Extension
    CLSID: {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
    Path: D:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
    D:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
    27656 bytes
    Created: 04.09.2007
    Modified: 04.09.2007
    Company: TuneUp Software GmbH
    ----------
    ************************************************************
    ----------
    Key: {48CE7798-D1A3-4C6E-A7D1-B9B8EEBD5985}
    BHO: C:\WINDOWS\system32\wvUmjJyY.dll
    C:\WINDOWS\system32\wvUmjJyY.dll
    317440 bytes
    Created: 08.10.2008
    Modified: 08.10.2008
    Company:
    C:\WINDOWS\system32\wvUmjJyY.dll appears to contain: ADWARE.VIRTUMONDE (HEURISTIC DETECTION)
    C:\WINDOWS\system32\wvUmjJyY.dll - this BHO was being loaded by the following key:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{48CE7798-D1A3-4C6E-A7D1-B9B8EEBD5985} - this key has been removed
    C:\WINDOWS\system32\wvUmjJyY.dll - this BHO was referenced by the following key:
    HKEY_CLASSES_ROOT\CLSID\{48CE7798-D1A3-4C6E-A7D1-B9B8EEBD5985} - this key has been removed
    C:\WINDOWS\system32\wvUmjJyY.dll - file renamed to: C:\WINDOWS\system32\wvUmjJyY.dll.vir
    This file will also be marked for renaming during PC restart, in case it is re-created
    C:\WINDOWS\system32\YyJjmUvw.ini - HIDDEN and SYSTEM file attributes removed
    C:\WINDOWS\system32\YyJjmUvw.ini, associated with Trojan.VirtuMonde, has been deleted
    C:\WINDOWS\system32\YyJjmUvw.ini2 - HIDDEN and SYSTEM file attributes removed
    C:\WINDOWS\system32\YyJjmUvw.ini2, associated with Trojan.VirtuMonde, has been deleted
    Trojan.VirtuMonde has modified a critical registry key value:
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages"
    This key value has been reset.
    ----------
    ************************************************************
    18:04:40: Scanning ----- IMAGEFILE DEBUGGERS -----
    No "Debugger" entries found.

    ************************************************************
    18:04:42: Scanning ------ COMMON STARTUP GROUP ------
    [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
    The Common Startup Group attempts to load the following file(s) at boot time:
    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
    -HS- 84 bytes
    Created: 06.04.2008
    Modified: 05.04.2008
    Company:
    --------------------
    C:\WINDOWS\STK02N\STK02NM.exe
    163840 bytes
    Created: 16.08.2008
    Modified: 21.03.2007
    Company: Syntek Ltd.
    STK02N 2.2 PNP Monitor.lnk - links to C:\WINDOWS\STK02N\STK02NM.exe
    --------------------
    D:\Hardware\ZyDAS 802.11g Utility\ZDWlan.exe
    483328 bytes
    Created: 18.04.2008
    Modified: 22.11.2005
    Company:
    ZDWLan Utility.lnk - links to D:\Hardware\ZyDAS 802.11g Utility\ZDWlan.exe
    --------------------

    ************************************************************
    No User Startup Groups were located to check

    ************************************************************
    18:04:45: Scanning ----- SCHEDULED TASKS -----
    Taskname: 1-Klick-Wartung.job
    File: D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
    D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
    903936 bytes
    Created: 08.04.2008
    Modified: 01.08.2008
    Company: TuneUp Software GmbH
    Parameters: /schedulestart
    Next Run Time: 11.10.2008 19:00:00
    Status: Der Task wird zum nächsten planmäßigen Zeitpunkt ausgeführt
    Creator: Heiko Garde
    Comments: Startet die 1-Klick-Wartung zu festgelegten Zeiten
    ----------
    ************************************************************
    18:04:50: ----- ADDITIONAL CHECKS -----
    PE386 rootkit checks completed
    ----------
    Winlogon registry rootkit checks completed
    ----------
    Heuristic checks for hidden files/drivers completed
    ----------
    Layered Service Provider entries checks completed
    ----------
    Windows Explorer Policies checks completed
    ----------
    Additional checks completed

    ************************************************************
    18:04:57: Scanning ----- RUNNING PROCESSES -----

    C:\WINDOWS\System32\smss.exe
    [1 loaded module]
    --------------------
    C:\WINDOWS\system32\csrss.exe
    [17 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\winlogon.exe
    [75 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\services.exe - file already scanned
    [30 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\lsass.exe
    [73 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\svchost.exe
    [50 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    [43 loaded modules in total]
    --------------------
    C:\WINDOWS\System32\svchost.exe - file already scanned
    [165 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    [37 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\spoolsv.exe
    [70 loaded modules in total]
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe - file already scanned
    [19 loaded modules in total]
    --------------------
    K:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe - file already scanned
    [no modules loaded]
    --------------------
    D:\Hardware\WIDCOMM\Bluetooth Software\bin\btwdins.exe - file already scanned
    [29 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\crypserv.exe - file already scanned
    [19 loaded modules in total]
    --------------------
    C:\WINDOWS\SYSTEM32\GEARSEC.EXE - file already scanned
    [15 loaded modules in total]
    --------------------
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe - file already scanned
    [23 loaded modules in total]
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - file already scanned
    [40 loaded modules in total]
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - file already scanned
    [38 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\nvsvc32.exe
    [40 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\IoctlSvc.exe - file already scanned
    [19 loaded modules in total]
    --------------------
    F:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe - file already scanned
    [16 loaded modules in total]
    --------------------
    D:\Programme\Total Commander\TOTALCMD.EXE
    [71 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    [46 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\SearchIndexer.exe
    [56 loaded modules in total]
    --------------------
    C:\WINDOWS\System32\alg.exe
    [33 loaded modules in total]
    --------------------
    D:\Hardware\ZyDAS 802.11g Utility\ZDWlan.exe
    [41 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\ctfmon.exe - file already scanned
    [28 loaded modules in total]
    --------------------
    C:\WINDOWS\system32\taskmgr.exe
    [61 loaded modules in total]
    --------------------
    C:\Programme\Outlook Express\msimn.exe
    [115 loaded modules in total]
    --------------------
    C:\Dokumente und Einstellungen\Heiko Garde\Anwendungsdaten\Simply Super Software\Trojan Remover\lih2B5.exe
    FileSize: 2614136
    [This is a Trojan Remover component]
    [28 loaded modules in total]
    --------------------

    ************************************************************
    18:10:19: Checking AUTOEXEC.BAT file
    AUTOEXEC.BAT found in C:\
    No malicious entries were found in the AUTOEXEC.BAT file

    ************************************************************
    18:10:19: Checking AUTOEXEC.NT file
    AUTOEXEC.NT found in C:\WINDOWS\system32
    No malicious entries were found in the AUTOEXEC.NT file

    ************************************************************
    18:10:19: Checking HOSTS file
    No malicious entries were found in the HOSTS file
    ************************************************************
    18:10:19: started scan of Windows\System32 DLLs
    C:\WINDOWS\system32\mlJYrqQK.dll appears to be in-use/locked
    1925 DLL files scanned, 0 malicious DLLs deleted (or marked for deletion)
    18:29:55: completed scan of Windows\System32 DLLS
    ************************************************************
    18:29:55: started scan of EXE files in C:\WINDOWS\system32
    401 EXE files scanned in C:\WINDOWS\system32
    0 malicious EXE files deleted (or marked for deletion)
    ************************************************************
    18:30:06: Removing the following Trojan.VirtuMonde config file(s):
    esentprf.ini
    1 Trojan.VirtuMonde config file deleted

    ************************************************************
    -------------------------------------------------------------------------
    One or more files could not be moved or renamed as requested.
    They may be in use by Windows, so Trojan Remover needs
    to restart the system in order to deal with these files.
    11.10.2008 18:31:09: restart commenced
    ************************************************************


    ***** NORMAL SCAN FOR ACTIVE MALWARE *****
    Trojan Remover Ver 6.7.3.2546. For information, email support@simplysup1.com
    [Registered to: Heiko Garde]
    Scan started at: 02:37:21 03 Okt 2008
    Using Database v7156
    Operating System: Windows XP SP3 [Windows XP Professional Service Pack 3 (Build 2600)]
    File System: NTFS
    Data directory: C:\Dokumente und Einstellungen\Heiko Garde\Anwendungsdaten\Simply Super Software\Trojan Remover\
    Database directory: D:\Programme\Trojan Remover\
    Logfile directory: C:\Dokumente und Einstellungen\Heiko Garde\Eigene Dateien\Simply Super Software\Trojan Remover Logfiles\
    Program directory: D:\Programme\Trojan Remover\
    Running with Administrator privileges

    ************************************************************
    The following Anti-Malware program(s) are loaded:
    Kaspersky Anti-Virus

    ************************************************************
    02:47:38: ----- ADDITIONAL CHECKS -----
    PE386 rootkit checks completed
    ----------
    Winlogon registry rootkit checks completed
    ----------
    Heuristic checks for hidden files/drivers completed
    ----------
    Layered Service Provider entries checks completed
    ----------
    ==============================
    Restrictive Windows Explorer Policies found in force on this computer:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    Value: NoFolderOptions
    All Policy Values listed have been removed
    ==============================
    ************************************************************
    02:48:24: Scanning ----- RUNNING PROCESSES -----

    C:\WINDOWS\System32\smss.exe
    --------------------
    C:\WINDOWS\system32\csrss.exe
    --------------------
    C:\WINDOWS\system32\winlogon.exe
    --------------------
    C:\WINDOWS\system32\services.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\lsass.exe
    --------------------
    C:\WINDOWS\system32\svchost.exe
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    --------------------
    C:\WINDOWS\System32\svchost.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    --------------------
    C:\WINDOWS\Explorer.EXE - file already scanned
    --------------------
    C:\WINDOWS\system32\spoolsv.exe
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe - file already scanned
    --------------------
    K:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe - file already scanned
    --------------------
    D:\Hardware\WIDCOMM\Bluetooth Software\bin\btwdins.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\crypserv.exe - file already scanned
    --------------------
    C:\WINDOWS\SYSTEM32\GEARSEC.EXE - file already scanned
    --------------------
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe - file already scanned
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - file already scanned
    --------------------
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\RUNDLL32.EXE
    --------------------
    C:\WINDOWS\system32\nvsvc32.exe
    --------------------
    K:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\taskswitch.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\oodtray.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\oodag.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\ctfmon.exe - file already scanned
    --------------------
    F:\PROGRA~1\RegRun Suite\WatchDog.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\IoctlSvc.exe - file already scanned
    --------------------
    F:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe - file already scanned
    --------------------
    C:\WINDOWS\STK02N\STK02NM.exe
    --------------------
    D:\Hardware\ZyDAS 802.11g Utility\ZDWlan.exe
    --------------------
    D:\Hardware\WIDCOMM\Bluetooth Software\BTTray.exe
    --------------------
    C:\WINDOWS\system32\svchost.exe - file already scanned
    --------------------
    D:\Hardware\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
    --------------------
    C:\WINDOWS\system32\SearchIndexer.exe
    --------------------
    D:\Programme\Window Washer\WasherSvc.exe - file already scanned
    --------------------
    C:\WINDOWS\System32\alg.exe
    --------------------
    D:\Programme\Total Commander\TOTALCMD.EXE
    --------------------
    D:\Programme\SiSoftware Sandra Professional Business XII.SP2\RpcAgentSrv.exe - file already scanned
    --------------------
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe - file already scanned
    --------------------
    C:\Dokumente und Einstellungen\Heiko Garde\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe - file already scanned
    --------------------
    C:\WINDOWS\system32\SearchProtocolHost.exe
    --------------------
    C:\WINDOWS\system32\SearchFilterHost.exe
    --------------------
    C:\Dokumente und Einstellungen\Heiko Garde\Anwendungsdaten\Simply Super Software\Trojan Remover\oyo12.exe
    FileSize: 2614136
    [This is a Trojan Remover component]
    --------------------
    --------------------
    G:\Programme\Opera\Opera.exe
    --------------------

    ************************************************************
    02:49:07: Checking AUTOEXEC.BAT file
    AUTOEXEC.BAT found in C:\
    No malicious entries were found in the AUTOEXEC.BAT file

    ************************************************************
    02:49:07: Checking AUTOEXEC.NT file
    AUTOEXEC.NT found in C:\WINDOWS\system32
    No malicious entries were found in the AUTOEXEC.NT file

    ************************************************************
    02:49:08: Checking HOSTS file
    No malicious entries were found in the HOSTS file

    ************************************************************
    ------ INTERNET EXPLORER HOME/START/SEARCH SETTINGS ------
    HKLM\Software\Microsoft\Internet Explorer\Main\"Start Page":
    http://go.microsoft.com/fwlink/?LinkId=69157
    HKLM\Software\Microsoft\Internet Explorer\Main\"Local Page":
    %SystemRoot%\system32\blank.htm
    HKLM\Software\Microsoft\Internet Explorer\Main\"Search Page":
    http://go.microsoft.com/fwlink/?LinkId=54896
    HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Page_URL":
    http://go.microsoft.com/fwlink/?LinkId=69157
    HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Search_URL":
    http://go.microsoft.com/fwlink/?LinkId=54896
    HKCU\Software\Microsoft\Internet Explorer\Main\"Start Page":
    http://search.conduit.com?SearchSource=10&ctid=CT1558496
    HKCU\Software\Microsoft\Internet Explorer\Main\"Local Page":
    C:\WINDOWS\system32\blank.htm
    HKCU\Software\Microsoft\Internet Explorer\Main\"Search Page":
    http://go.microsoft.com/fwlink/?LinkId=54896

    ************************************************************
    === CHANGES WERE MADE TO THE WINDOWS REGISTRY ===
    Scan completed at: 02:49:08 03 Okt 2008
    Total Scan time: 00:11:45
    ************************************************************
     
    Mystery07, Oct 11, 2008
    #5
  6. deoroller

    deoroller Wandelndes Forum

    Auch wenn der Mist jetzt weg sein sollte, bleibt das System gefährdet, weil die Schlupflöcher immer noch da sind, über die sich die Malware einschleusen kann.
    Oder hast du dabei mitgeholfen?
    Das wäre Mangel an Brain.exe :)
     
    deoroller, Oct 11, 2008
    #6
  7. Mystery07

    Mystery07 Byte

    ich selbst Schuld an der Einschleusung des Trojaners hatte. Ich selbst habe das Scheunentor gaaaaaanz weit aufgemacht gehabt: Ich hatte aus Bequemlichkeit und einem Anfall geistiger Umnachtung den Kaspersky-Schutz für 15 Minuten völlig ausgeschaltet.

    Als ich ihn wieder aktivierte, war es zu spät. Der Kaspersky hat ihn zwar erkannt, konnte aber den Befall nicht komplett säubern.

    Naja, das hat ja nun der Trojan Remover vorzüglich getan....! :-)))
     
    Mystery07, Oct 12, 2008
    #7
  8. deoroller

    deoroller Wandelndes Forum

    Es kann aber nicht sein, dass der PC sofort verseucht wird, wenn die Sicherheitssoftware mal nicht läuft.
    Dann würde ja jeder PC ohne AV-Software sofort verseucht, was aber nicht der Fall ist, wenn die Software auf dem neusten Stand und gepatched ist.

    Kaspersky ist auch berüchtigt dafür, dass die Hintergrunddienste unzuverlässig sind.
    Aktuell: Das Update beendet kompletten Schutz
    http://forum.kaspersky.com/index.php?showtopic=83347

    Das passt dazu
    Kompromittierung unvermeidbar?
    http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html
     
    deoroller, Oct 12, 2008
    #8
  9. Mystery07

    Mystery07 Byte

    ich selbst Schuld an der Einschleusung des Trojaners hatte. Ich selbst habe das Scheunentor gaaaaaanz weit aufgemacht gehabt: Ich hatte aus Bequemlichkeit und einem Anfall geistiger Umnachtung den Kaspersky-Schutz für 15 Minuten völlig ausgeschaltet.

    Als ich ihn wieder aktivierte, war es zu spät. Der Kaspersky hat ihn zwar erkannt, konnte aber den Befall nicht komplett säubern.

    Naja, das hat ja nun der Trojan Remover vorzüglich getan....! :-)))
     
    Mystery07, Oct 12, 2008
    #9
  10. deoroller

    deoroller Wandelndes Forum

    Ist die zweite Antwort ein Bug des Forums :confused:
     
    deoroller, Oct 12, 2008
    #10
  11. Mystery07

    Mystery07 Byte

    ...das Doppel-Posting war ein Fehler von mir....!! :-)))

    Ich hatte den Kaspersky ausgeschaltet, da er mich bei einer Outlook-Abfrage störte.

    Während dieser Abfrage habe ich dann die (im Nachhinein) verseuchte exe-Datei geöffnet, was dann zu dem Befall des PC`s führte.

    Nach der Reaktivierung des Kaspersky hat er sofort gemeckert, dass was im Argen ist....!

    So ist das alles angefangen.....
     
    Mystery07, Oct 12, 2008
    #11
Thread Status:
Not open for further replies.

Share This Page