Was ist das was explorer.exe nicht laden lässt??

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.11.2006, 22:55
Member

Beiträge: 15
#1 Hallo,

ich hätte gerne von irgendjemand gewußt, was das genau sein soll?
Ist es ein Virus, Wurm oder Trojaner....

Mein Nod32 hat ein Trojaner gefunden und gelöscht... leider habe mir den Namen nicht gemerkt?

Hijackthis auswertung habe ich schon durchgeführt, Spybot auch... ich habe in diesem Thread hier mitgepostet ...

http://board.protecus.de/t26728.htm

ich fürchte aber es könnte sich -bei dem Thread-Öffner- um ein unterschiedliches Problem handeln...

Ich danke euch für eure Tipps und Hinweise.


Gruss

Kann mir keiner helfen?
Dieser Beitrag wurde am 23.11.2006 um 16:36 Uhr von User674 editiert.
Seitenanfang Seitenende
24.11.2006, 12:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ich habe dir per PM geschrieben, (als Antwort auf deine Anfrage per PM) - dass du es mit einer Systemwiederherstellung versuchen solltest ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 21:31
Member

Themenstarter

Beiträge: 15
#3 Ja danke für die Anwort.

DAs Problem ist, dass ich die SysWiederherstellung die ganze Zeit schon vorher deaktiviert hatte... und somit nicht darauf zugreifen kann ...

Wenn du sagst du findest nichts, bedeutet dies für mich es muss irgend ein Rootkit auch am Werkeln sein, und dieser macht seine Arbeit ganz schön perfekt... wenn etliche Virenscaner nix finden bzw. das System nicht säubern können!

Helios
http://helios.miel-labs.com/

meldet dass etliche Prozesse "Hooked" sind, diese sind dann Hidden, ich kann aber damit nichts anfangen... sieh Bild

http://img102.imageshack.us/my.php?image=heliossi4.jpg
http://img117.imageshack.us/my.php?image=closeupdt5.jpg

Wenn ich versuche ein Prozess hinterm anderen zu killen passiert v.a. bei einem svchost.exe folgendes:

http://img102.imageshack.us/my.php?image=sysdownev3.jpg

SysDown... und dann bin ich sowas von down!!! :'(

Zur Zeit -seit heute morgen- laeuft zum Zweiten mal mein Knoppicillin (von c't) auf meinem Rechner und versucht mit Hilfe von Bitdefender,F-Secure und Sophos nacheinander mein System zu scannen und hoffentlich auch zu saeubern!

Ich haette da eine Frage zum Thema Reparatur bei XP, funktioniert die bei allen Versionen oder nur bei bestimmten versionen?

Danke
Seitenanfang Seitenende
24.11.2006, 21:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Reparatur ist sinnlos, wenn ein Rootkit auf dem Rechner ist ;)
da hilft nur formatieren....

RootkitRevealer -poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 14:42
Member

Themenstarter

Beiträge: 15
#5 Hallo,

nach dem ich ein tolles WE hatte ;( scans und scans... rechrche und recherche bin ich am Ende...
Habe eine unformatierte Partition mit einer frischen XP installiert von dort auch mein Nod32 installiert upgedatet und auf die alte C XP Platte losgeschickt und viel hat er nicht gefunden!
Anzahl infizierter Objekte: 4
Anzahl gesäuberter Dateien: 4

Und noch 4 Files die er nicht öffnen könnte:

[4] Die Datei kann nicht geöffnet werden. Sie ist in exklusiver Benutzung durch eine andere Anwendung.

C:\System Volume Information\MountPointManagerRemoteDatabase - Fehler (Zugriff verweigert) beim Öffnen. [4]

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp - Fehler (Zugriff verweigert) beim Öffnen. [4]

C:\c583bfecabe7cab175bf07042eb5\msxml4-KB927978-enu.log - Fehler (Zugriff verweigert) beim Öffnen. [4]

Scan Logfile von Nod32 siehe Anhang (zu groß!)


Jetzt läuft Antivir mit aktuellen Virensignaturen. Er fand angeblich 395 die Löschaktion hat er irgendwie nicht ausgeführt!

Logfile von dem RootkitRevealer:

HKLM\SECURITY\Policy\Secrets\SAC* 29.12.2005 20:19 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 29.12.2005 20:19 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\.ids\ 28.03.2006 13:22 9 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\ 28.03.2006 13:22 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 28.03.2006 13:22 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 23.04.2006 11:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 26.11.2006 13:32 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 06.11.2006 13:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 23.04.2006 07:42 0 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010008.ci 26.11.2006 13:36 24.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010008.dir 26.11.2006 13:36 435 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010009.ci 26.11.2006 13:36 460.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010009.dir 26.11.2006 13:36 4.76 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000A.ci 26.11.2006 13:37 40.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000A.dir 26.11.2006 13:37 488 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000B.ci 26.11.2006 13:37 40.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000B.dir 26.11.2006 13:37 549 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000C.ci 26.11.2006 13:37 48.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000C.dir 26.11.2006 13:37 609 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000D.ci 26.11.2006 13:37 124.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000D.dir 26.11.2006 13:37 1.36 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001000E.ci 26.11.2006 13:37 64.00 KB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\0001000E.dir 26.11.2006 13:37 747 bytes Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\0001000F.ci 26.11.2006 13:38 40.00 KB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\0001000F.dir 26.11.2006 13:38 483 bytes Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\00010010.ci 26.11.2006 13:38 872.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010010.dir 26.11.2006 13:38 5.25 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010011.ci 26.11.2006 13:38 16.00 KB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\00010011.dir 26.11.2006 13:38 373 bytes Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\00010012.ci 26.11.2006 13:38 96.00 KB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\00010012.dir 26.11.2006 13:38 925 bytes Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\catalog.wci\00010013.ci 26.11.2006 13:38 380.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010013.dir 26.11.2006 13:38 3.38 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010014.ci 26.11.2006 13:39 2.40 MB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010014.dir 26.11.2006 13:38 4.64 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010015.ci 26.11.2006 13:41 112.00 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\00010015.dir 26.11.2006 13:41 1.06 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\00010016.ci 26.11.2006 13:42 792.00 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\00010016.dir 26.11.2006 13:42 4.83 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\00010017.ci 26.11.2006 13:42 272.00 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\00010017.dir 26.11.2006 13:42 2.06 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\0001001B.ci 26.11.2006 13:39 604.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\0001001B.dir 26.11.2006 13:39 4.44 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.000 26.11.2006 13:42 240 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\CiFLfffc.001 26.11.2006 13:42 960.00 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\CiFLfffc.002 26.11.2006 13:42 960.00 KB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\catalog.wci\CiFLfffd.000 26.11.2006 13:38 240 bytes Visible in Windows API, MFT, but not in directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.001 26.11.2006 13:38 960.00 KB Visible in Windows API, MFT, but not in directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.002 26.11.2006 13:38 960.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINXP\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 20.11.2006 10:07 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINXP\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 20.11.2006 10:07 111.50 KB Visible in Windows API, but not in MFT or directory index.

Langsam denke ich, dass ist ein hoffnungsloser Fall!!! Und dass ich vielleicht doch ein neue Installation aufsetzen muss!!!

Gruss,
Seitenanfang Seitenende
28.11.2006, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich sehe keinen Rootkit, der malware sein koennte - und die 0 bytes Key kan man loeschen
ich denke fast, dass es kein Viren, sondern ein Software-Problem ist.

1.
Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.

2.
# mit Rechtsklick auf Deinem Lokalen Datenträger auf "Eigenschaften" drücken; nun gehst Du auf
# "Extras" und wählst hernach
# "Fehlerüberprüfung"
Die Prüfung startet dann nach einem Neustart!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 22:39
Member

Themenstarter

Beiträge: 15
#7 Hallo,

ich danke dir für deine Geduld und deine Hilfe...
Es hat aber leider nichts gebracht, so dass ich gestern morgen das System neu aufgesetzt habe!

Ich konnte nicht mehr ...

Many many thanks again.


Gruesse,
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: