Explorer öffnet nicht!

#0
08.09.2004, 16:43
...neu hier

Beiträge: 9
#1 Hallo zusammen!

Habe folgendes Problem. Habe mir einen Trojaner eingefange. Es handelt sich um den W32/Backdoor-CFB. Habe schon ziemlich viel ausprobiert. Habe McAfee laufen lassen, den Stinger, Ad-Aware, Spybot, HijackThis und Cwshredder. Alles natürlich im abgesicherten Modus, Systemwiederherstellung deaktiviert. Sorry, beutzte windows xp. Klappt nicht. Die infizierte Datei lautet ctle.dll. Habe schon versucht si zu löschen, nichts geht. Jetzt habe ich halt das Problem das ich auf meine Festplatten nicht zugreifen kann. Es klappt nicht über den Arbeitsplatz und auch nicht über Windows E. Er öffnet zwar, doch sobald ich die Platten anklicke wird der Monitor kurz gelöscht und ist dann wieder im normalen Zustand. Im Abgesicherten Modus funktioniert das aber, da kann ich ohne Probleme auf die Platten zugreifen. Wo liegt der Fehler. Es wäre schön wenn mir jemand dabei helfen könnte. Ich weiß nicht mehr weiter. Danke schon mal jetzt.

Gruß

Tieger
Seitenanfang Seitenende
08.09.2004, 19:10
Member
Avatar Ajax

Beiträge: 890
#2 Wenn Du schon sowieso McAfee auf der Platte hast,hier gibt es eine ziemlich genaue Beschreibung wie man das Ding entfernt.

Gruß
Ajax
Dieser Beitrag wurde am 08.09.2004 um 19:11 Uhr von Ajax editiert.
Seitenanfang Seitenende
08.09.2004, 20:13
...neu hier

Themenstarter

Beiträge: 9
#3 Hallo Ajax!

Das habe ich so schon probiert. Der Stinger hat nur einmal etwas gefunden. Danach nicht mehr. Mit dem DAT habe ich schon probiert, so gut wie ich es übersetzten konnte. Hat aber auch nicht geklappt. Muß ich wol noch mal probieren. Bin nicht der beste in Englisch.

Gruß

Tieger
Seitenanfang Seitenende
08.09.2004, 21:56
Member
Avatar Ajax

Beiträge: 890
#4 Hier eine schnelle Übersetzung
4383 DAT Files und höher ermöglichen sowohl Auffinden als auch Entfernung
1.Registry editieren und Schlüssel umbenennen.
2.Neustart
(Jetzt scannen.Auf FAT32 Partitionen sollte jetzt der Schädling gefunden und gelöscht sein.)
Falls eine NTFS Partition,nach Neustart mit folgende Schritte weitermachen:
>Start/Ausführen/%WinDir%\System32-eintippen/bestätigen
>Ordneroptionen/Ansicht/Alle Dateien und Ordner anzeigen-aktivieren
AV ausschalten
Besagte .dll,Schreibschutz entfernen
.dll löschen
AV aktivieren
Umbenennung des Schlüssels in der Registry rüchgängig machen
Neustart
Nicht vergessen die Systemwiderherstellung zu deaktivieren und anschließend zu aktivieren.

Alle Schritte durchgeführt und nichts geholfen ?
Seitenanfang Seitenende
08.09.2004, 22:15
...neu hier

Themenstarter

Beiträge: 9
#5 Danke erst mal dafür. Ich weiß immer noch nicht was ich mit den DAT anfagen soll. Muß ich da was bsonders runterladen oder einfach bei mcafee inrgendwo reinkopieren??? Habe noch nicht o lange den AV. Werde das auf jeden Fall mal ausprobieren. Wird aber wohl erst am WE was. Bin erst mal zwei Tage weg. Beim Neustart abgesicherter Modus? Melde mich dann noch mal ob es geklappt hat. Vielen Dank erst mal dafür.

Gruß Tieger
Seitenanfang Seitenende
08.09.2004, 22:41
Member
Avatar Ajax

Beiträge: 890
#6 DAT sind die Virendefinitionen die bei Updates heruntergeladen werden.
Wenn deine Virendefinitionen aktuell sind ist es OK.

Zitat

Beim Neustart abgesicherter Modus?


Gruß
Ajax
Dieser Beitrag wurde am 08.09.2004 um 22:44 Uhr von Ajax editiert.
Seitenanfang Seitenende
12.09.2004, 10:22
...neu hier

Themenstarter

Beiträge: 9
#7 Guten Morgen!

So, habe alles gemacht wie geschrieben und hat auch funktioniert. Doch leider sagt der explorer immer noch kein Wort. Den Arbeitsplatz kann ich öffnen, doch wenn ich dann eine HDD anklicke passiert nicht das was ich mir wünsche. Es dauert einen Moment, dann wird der Desktop gelöscht und ich bekomme dann wieder den normalen Ausgangsdesktop zu sehen. Der Arbeitsplatz ist dann zu. Woran kann das denn liegen?

Gruß

Tieger
Seitenanfang Seitenende
12.09.2004, 11:24
Member

Beiträge: 441
#8 Hallo,

eventuell könnte weitere Malware für diesen Zustand verantwortlich sein.

Erstelle ein Log-File mit HiJackThis und poste es hier rein
und
Start -> Ausführen -> eventvwr.msc eingeben und bestätigen. Danach die Ereignisanzeige (Anwendung) überprüfen, ob eine Fehlermeldung ausgegeben wird.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
12.09.2004, 11:43
Member
Avatar Ajax

Beiträge: 890
#9

Zitat

Woran kann das denn liegen?

Zitat

Habe schon ziemlich viel ausprobiert.
Hoffentlich nicht was Falsches gefixt oder gelöscht.

McAfee ist ein sehr guter AV aber es kann nicht schaden wenn Du auch mit eScan dein System (im abgesicherten Modus) überprüfst.
Sollte auch eScan nichts finden,dann Cidre's Rat befolgen.
Log nicht im abgesicherten Modus erstellen.

Gruß
Ajax
Dieser Beitrag wurde am 12.09.2004 um 11:45 Uhr von Ajax editiert.
Seitenanfang Seitenende
12.09.2004, 13:49
...neu hier

Themenstarter

Beiträge: 9
#10 Danke erst mal für die Tips. Muß noch den eScan dürchführen. Schicke aber schon mal meine Log vom Hijack

Logfile of HijackThis v1.98.0
Scan saved at 13:44:20, on 12.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee Privacy Service\GUARDDOG.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\McAfee\McAfee Privacy Service\GUARDDOG.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\McAfee.com\Agent\MCAGENT.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\explorer.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINDOWS\madopew.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: McAfee Privacy Service - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Programme\McAfee\McAfee Privacy Service\GDIEHELP.DLL
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [McAfee Guardian] C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe /SU
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\McAfee.com\Agent\MCAGENT.EXE
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Privacy-Leiste - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Programme\McAfee\McAfee Privacy Service\GDIEHELP.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab

Ich hoffe ihr könnt damit was anfagen. Melde mich noch mal wenn der Scan durch ist.

Tieger
Seitenanfang Seitenende
12.09.2004, 15:00
Member
Avatar Ajax

Beiträge: 890
#11 Zuerst eScan und dann HijackThis-Log.
Neuere Version von HijackThis wäre dabei von Vorteil.
Seitenanfang Seitenende
12.09.2004, 15:12
...neu hier

Themenstarter

Beiträge: 9
#12 Ok, eScan hat einiges gefunden und es funktioniert auch wieder. Poste trotzdem noch mal die log fon HiJackThis in aktuellerer form:

Logfile of HijackThis v1.98.2
Scan saved at 15:10:42, on 12.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee Privacy Service\GUARDDOG.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\McAfee Privacy Service\GUARDDOG.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\McAfee.com\Agent\MCAGENT.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administartor\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Privacy Service - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Programme\McAfee\McAfee Privacy Service\GDIEHELP.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [McAfee Guardian] C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe /SU
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\McAfee.com\Agent\MCAGENT.EXE
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Privacy-Leiste - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\Programme\McAfee\McAfee Privacy Service\GDIEHELP.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab

Ich hoffe das jetzt alles clen ist und noch mal vielen Dank an alle!

Gruß

Tieger
Seitenanfang Seitenende
12.09.2004, 15:37
Member

Beiträge: 441
#13 @ tieger1

Was hat der eScan denn gefunden?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
12.09.2004, 15:45
...neu hier

Themenstarter

Beiträge: 9
#14 Ne Menge. Insgesammt 39 Viren. Waren ein paar Trojaner dabei usw. Aber im Moment läuft noch alles. Kann auch den Explorer wieder öffnen, auf meine HDD zugreifen. Klappt alles ohne Probleme!
Seitenanfang Seitenende
12.09.2004, 16:01
Member

Beiträge: 441
#15

Zitat

Ne Menge. Insgesammt 39 Viren. Waren ein paar Trojaner dabei usw.
Deine Antwort ist sehr aussagekräftig!;)

Ich wollte eigentlich wissen, welche "Viren" er genau gefunden hat!

Dann post ich es dir halt allgemein:

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Für die Zukunft:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »