W98SE & Fehler in explorer.exe

Ich habe zu Hause W2k & W98 parallel installiert, vor allem der Spiele und alten Hadern (C64) wegen.
Ohne daß ich wüsste, daß sich (ich) was geändert hätte funzt W98SE nicht mehr. Nach der Pseudo-Anmeldung kommt nur mehr die Meldung, das die Datei explorer.exe wegen eines Fehlers geschlossen werden mußte. (... verursachte einen Fehler durch eine ungültige Seite im Modul explorer.exe bei 017f: 00413f8d ... blablabla)
Sonst bleibt der Bildschirm bis auf das Hintergrundphoto leer. Das einzige, was sich noch aktivieren lässt, ist der Taskmanager, mit dem sich aber leider nix Vernünftiges machen lässt.(Task beenden oder herunterfahren)
Leider konnte ich auch auf der 98SE-CD keinen explorer (.exe) finden, um ihn auszutauschen.
Die CD lässt sich auch nicht starten. (wahrscheinlich kein Autostart eingestellt, weiß nicht mehr), die einzige Möglichkeit ist der Start von der CD, nur dann will er gleich 98 neu installieren, was ich nicht unbedingt (außer als letzen Ausweg) will, da ich dann alles neu verlinken bzw installieren müsste.

In medias res:
Gibz eine Möglichkeit den explorer zu reaktivieren bzw auszutauschen bzw. separat zu installieren?
Oder: gibz irgendwo bei w98 ein Verzeichnis, wo er sich die Links hineinstellt? Einen Ordner, den man einfach rauskopiert und nach der Neuinstallation wieder reinkopiert? Oder halt mehrere.
Ich hab versucht sauber zu installieren, also Betriebsysteme, Programme, Daten & Spiele sind jeweils auf einer eigener Partition. Etliches (Officeprogramme, Antivirus, Utilities usw) sind doppelt installiert, dh verweisen auf den selben Ort

Irgendwelche Ideen?

Ach ja: `s gibt ja zwei explorer.exe, einmal im Root-Verzeichnis und einmal in \Windows. Lustigerweise kann ich dort durch anklicken des Symbols (in W2k) den Explorer starten.

Thx im Voraus

daha

 

Eine Issas.exe und msapp.exe befindet sich nicht in meinen Win98SE System. Ich würde diese sofort löschen!! (auch in der Registry) Anschließend Ad-aware 6 (neuste Version) und das System mit einen guten Virenscanner scannen. Lade Dir von Kaspersky-Antiviren-Labor AVP 3,5 die 30 Tage Trailversion herunter. http://www.avp.ch (unten links in deutsch) Dieser findet und vernichtet fast alle Viren!
Roland

 

hm...naja, wenn Dich ein paar Trojaner nicht stören,
kann man so belassen.

ICH würde alle Datein löschen, resp. vorher gründlicher Scan
mit aktuellen Antitrojaner- und Virenprogrammen.
Dann ein Backup wichtiger Dateien, und die Platte komplett Neu-Partitionieren & Formatieren, um Reste wirklich unschädlich zu machen.

Nach der Neuinstallation des Systems würde ich mich intensiv
mit der Konfiguration der w2k-Dienste und Firewall befassen.

http://www.kssysteme.de/index.shtml

http://www.computer-security.ch/ids/default.asp?TopicID=164

gruss
wolves

PS:
Die HOSTS-Datei(ohne Endung .SAM wird sie aktiviert)
is auch recht interessant...

http://www.50links.de/ivwbox.html

[Diese Nachricht wurde von wolves am 29.07.2003 | 20:54 geändert.]

 

Nun, zum (bequemen, also noch nicht die Registry geöffnet und durchsucht) Teil hab ich Erfolg gehabt.
Die explorer.exe-Datei hab ich aus dem Root-Verzeichnis entfernt und auf eine andere Partition verschoben (man weiß ja nie)
Beim nächsten Hochfahren waren zwar die Symbole wieder da (weiter, also ob alles funzt hab ich nicht ausprobiert) aber plötzlich meldete sich die ?lsass.exe? mit der selben Fehlermeldung wie vor die explorer.exe:
... verursachte bei 017f: 00413 f8d einen Fehler.
Uoh.
Also die lsass.exe gesucht und siehe da, sie war auf die Minute und Sekunde genau zur selben Zeit geändert wie die explorer.exe. Und beide sind zufälligerweise 143kb groß.
Hellhörig geworden hab ich dann nach Dateien die zur selben Zeit erstellt/geändert worden waren gesucht & hab noch eine msdos.exe 96kb angeblich von MS Version 2.0.0.0 und ein ActiveX-Steuerelement MSWinsck.ocx gefunden, die hat allerdings eine MS-Signatur.
Zu meiner Verärgerung hab ich auf der W2k-Partition unter \winnt noch eine lsass.exe gefunden, Eigenschaften wie die obige.
Itzo bin ich verunsichert, weil ich auch eine msapp.exe vom selben Datum&Zeit und ebenso Version 2.0.0.0. (wie die msdos.exe) angeblich MS gefunden hab und auch wieder die MSwinsck.ocx mit selber Zeit.
Auf einem befreundeten w2-Werkl konnte ich weder msapp.exe noch die winsck.ocx finden, und die lsass.exe hat nur 40kb.
Weitere Zufälle: msdos.exe ist aufs byte genauso groß wie msapp.exe (und zur selben Zeit ?entstanden?) und die beiden ocx-Dateien sind ebenfalls haargenau gleich (Größe, Datum)

Und die lsass.exe produziert sich mit jedem Systemstart wieder dorthin, msapp &lsass sind in der Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
zu finden. (w2k, bei w98 nur lsass)
Dort findet sich auch eine Erklärung(?) als UserInitialization. Ich nehme an die speichert User-Profile? Aber wieso sind w98 & w2k gleich groß? Unlogisch das.
Außerdem hab ich ja noch eine lsass.exe unter c:\windows, die allerdings auch 143kb und selbe Zeit hat (so wie die unter w2k unter \winnt, also genau gleich) Die im root-verzeichnis ist allerdings schattiert (geschützt/ausgeblendet) und auf die verweist auch die Registry.
In w2k findet sich unter\winnt\system32 eine lsass.exe die wie beim befreundeten System Details (Version) zum besten gibt und auch nur 39kb hat.
Die msapp.exe wird in der Registry als Winapp32 geführt.

Kurz:
w2k: lsass in \winnt 143kb und \winnt\system32 40kb (und verdächtig: msapp, andere Partition aber mit selbem seltsamen Datum/Zeit und dem Autostarteintrag in der Registry (s.o.) fürs root-Verzeichnis) & mswinsck.ocx
w98: lsass im root und \windows 143kb, Registry-Eintrag in Schlüssel s.o., weitere verdächtige Dateien (verschoben): msdos.exe & explorer.exe & mswinsck.ocx

Soll ich die Registry-Einträge von lsass.exe bzw msapp.exe löschen bzw ändern auf die ?richtigen? Pfade? Wobei ich gar nicht weiß, obs in W98 jemals eine lsass gegeben hat. Mit der Registry wollte ich mich bisher nicht befassen, da man einfach zuviel verpfuschen kann. Siehe ganz unten.

Also eigentlich weiß ich nicht mehr was ich davon halten soll.

Auszüge aus dem ZA-Log:

PE,2003/07/05,16:35:02 +2:00 GMT,lsass.exe,63.246.131.110:80,N/A
ACCESS,2003/07/05,16:35:14 +2:00 GMT,lsass.exe was blocked from connecting to the Internet (63.246.131.110:HTTP).,N/A,N/A
ACCESS,2003/07/05,17:35:20 +2:00 GMT,lsass.exe was blocked from connecting to the Internet (63.246.131.110:HTTP).,N/A,N/A

Also Sekunden nachdem diverse Dateien geändert bzw installiert wurden. (16:34:58) Was will die lsass? ET zu Hause telefonieren?

Mittlerweile, nach einem Durchlauf, wurden einige(!, oarg) Trojaner, Forten & nocheat gefunden und die Zips entfernt.

Nach Durchsuchen der Registry (dein Link):

W98:
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*" da wird mshta.exe aufgerufen, schaut echt aus.
Dort ebenso: HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="\"%1\" %*"

W2k
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ ruft \winnt\lsass.exe & msapp.exe auf
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\ ruft internat.exe auf (Sprachanzeigeprg), schaut echt aus.

daha

 

Hi,
hm...eine Explorer.exe im Root, sieht verdächtig nach
einem Virus bzw.Trojaner gleichen Namens aus, würde mal mit
einem aktuellen und guten Antivirusprogramm das ausschliessen.

Die Explorer.exe befindet sich auf meiner SE-CD unter
win98 se\win98\win98_43.cab

gruss
wolves

PS:
Zitat:
http://www.eckertweb.de/hackingschutz/trojaner/subseven/trojaner_sub_seven_2_2.htm

Der Trojaner SUB SEVEN ist um die Version 2.2 reicher geworden, welche seit März 2001 Ihr Unwesen treibt.
Die Servergröße beträgt: 54.5K (nur Default Server) und kann sich wie immer hinter jedem Dateinamen verstecken !

6. Methode über "Explorer.exe" auf Laufwerk C:Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe (in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt, dass der Sub7 Server zunächst geladen wird, der sich im Verzeichnis c:\windows\system befindet.
Die Datei "explorer.exe" aus dem Verzeichnis c:\ entfernen.

http://www.trojaner-info.de/erkennung.shtml
[Diese Nachricht wurde von wolves am 25.07.2003 | 06:15 geändert.]

 

hallo....

hab ein ähnliches problem nur das bei mir nicht ma ne fehlermeldung kommt sondern nur der rechner soweit startet bis ich das hintergrundbild sehe sonst nix =( habe explorer.exe schon durch die von nem anderen rechner ausgetauscht aber ohne erfolg.

hast du mittlerweile eine lösung gefunden???ß

welche links meinst du nicht die favoriten oder???
die stehen unter C:\Windows\Favoriten

Mfg Luminati