Hi Leutz!

Habe glaub ich einen ärgerlichen Trojaner auf meinen Platten und wollte euch um euren Rat und eure Hilfe bitte, falls ihr dieses "Vieh" kennt! [img]graemlins/crazy.gif[/img]
Es passiert folgendes, wenn ich den PC nach einiger Zeit runterfahre (dazwischen schon ein paar mal neu gestartet), braucht der Rechner beim Fenster "Einstellungen werden gespeichert" ziemlich lange und beim nächsten starten bleibt er kurz bevor der Desktop kommt hängen! Genauer gesagt, der Bildschirm bleibt schwarz und es erscheint das Fenster "System Error" (Titelleiste) mit dem Inhalt "unable to open dialog" In dem Fenster ist noch ein Ok Button, aber das einzige was passiert wenn man Ok klickt ist, daß das Fenster verschwindet, aber man den Desktop trotzdem nicht sieht. Den Taskmanager kann man aufrufen und alle Prozesse sind da! Mehr geht nicht!!!!
Hat das einer von euch vielleicht schon mal gehabt?!

Habe wenn ich im Google nach dieser Fehlermeldung eine Seite gefunden in der ein Typ schreibt, daß es sich um einen Trojaner handelt, der eine "Trojanerdatei" namens "explorer.exe" und "explor.exe" in der C:\WinNT\System32 anlegt (die echte explorer.exe ist normal nur unter C:\WinNT) Nachdem ich diese beiden Dateien gelöscht habe, startet mein System wieder normal. Nur glaubt ich nicht, daß der Trojaner damit verschwunden ist, verstecht sich sicher noch irgendwo im System!!! Hoffe ihr könnt mir weiterhelfen wie ich ihn ganz los werde!!! [img]smile.gif[/img]

Mein System:

P4 2,4GHz HT
MB: MSI Neo LRS2
2x60 GB IBM HDs an einem Dawicontrol Raidcontroller
Win2k noch ohne Servicepack
Norten2002 ist oben, findet aber nix!

Falls ihr noch Infos braucht, bitte melden.

Vielen Dank jetzt schon mal für euere Hilfe!!!!

so long
MadMax

Ich empfehle dir mal einen vollständigen Systemscan mit KAV zu machen, da Norton bei der Trojanererkennung nicht so gut ist und deswegen wohl auch nichts findet, und zusätzlich mit Trojancheck einen Report erstellen zu lassen und den mal hier her zu posten (copy&paste ist dir sicherlich ein Begriff?).

ciao

Hi CyberFred!

Vielen Dank für die schnelle Antwort!!! Na dann post ich mal den Report, ich hoffe das ist der den du meinst?!


Trojancheck 6 Report
Created: 26.07.2003 01:15:39

Navigation
Registry - Standardeinträge
Registry - Shell Spawning
Registry - Active Setup
Registry - Virtuelle Gerätetreiber (VxD)
Registry - ICQ Net
Autostart - Standardeinträge
INI Dateien
Batch und Text Dateien
EXPLORER.EXE in C:\

--------------------------------------------------------------------------------

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run NvMediaCenter RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Synchronization Manager mobsync.exe /logon
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NvCplDaemon RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run nwiz nwiz.exe /install
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NAV Agent C:\PROGRA~1\NORTON~1\navapw32.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NVRT
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run winapildr C:\WINNT\system32\explore.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Configuration Loader iexplore.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices Configuration Loader iexplore.exe


Top

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINNT\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*


Top

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\system32\ie4uinit.exe


Top

Registry - Virtuelle Gerätetreiber (VxD)
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Registry - ICQ Net
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Autostart - Standardeinträge
Pfad Dateiname Link zu


Top

INI Dateien
Dateiname Wert Inhalt
C:\WINNT\win.ini load
C:\WINNT\system.ini shell Explorer.exe


Top

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt


Top

EXPLORER.EXE in C:\
Pfad


Top

Hi,

</font><blockquote>Zitat:</font><hr />Standardeinträge:
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run winapildr C:\WINNT\system32\explore.EXE </font>[/QUOTE]Das ist noch ein übriggebliebener Registry-Eintrag, falls ich nicht irre. Diesen Wert kannst du imho aus dem Run-Schlüssel löschen.
Mach aber vorher eine Registry-Sicherung!
Oder warte mit dem Bereinigen, bis dir meine These noch von einem Berufenen bestätigt wird.
Ansonsten sehe ich nichts auffälliges, wenn ich auch mit "Pfad" unter "EXPLORER:EXE in C:\" nichts anfangen kann...
Ist dort ein Pfad angegeben (sollte nicht sein)?

Gruß
Der

Hi Hirsch!

Danke auch für deine Hilfe, aber das Problem hast sich inzwischen gelöst, nachdem ich KAV installiert hab, hat mein Windows komplett gesponnen und nach einem Neustart kam ich nicht mal in den Task Manager. Hab jetzt gleich WinXP installiert und bis jetzt läuft´s problemlos, naja wenn in den 2 Tagen schon zicken gemacht hätte, wär ich eh durchgedreht!!! [img]graemlins/lach.gif[/img]
Die Datei "explore.exe" unterm System32 Ordner wahr wahrscheinlich der Trojaner!!! Hab ich auf 2 anderen Seiten gefunden wo Leute auch solche Probleme gehabt haben!!!
Wie gesagt, jetzt läuft eh wieder alles!!!

Vielen Dank nochmal Leute!!!! [img]smile.gif[/img]

so long
Mad Max