Hallo zusammen

"Explorer.exe hat ein Problem festgestellt und muss beendet werden"
Das ist was mich plagt und mir den letzten Nerv raubt.

Ich habe schon so einiges versucht, (smc /scannow, Virenscan, Windowsupdate, Regclean) aber das Problem besteht weiterhin. Das Problem tritt vor allem dann auf wenn ich innerhalb von Ordnern etwas mache.

Ich poste jetzt mal mein Hijack-Log, vieleicht ist daraus etwas ersichtlich.

Vielen dank schonmal an alle die sich die Mühe machen es durchzusehen



Logfile of HijackThis v1.99.1
Scan saved at 14:11:52, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Sygate\SPF\smc.exe
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\WINDOWS\SOUNDMAN.EXE
I:\Programme\Raptor-Gaming\RGM2\Panel.exe
I:\Programme\Java\jre1.5.0_03\bin\jusched.exe
J:\Programme\Winamp\winampa.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
I:\Programme\QuickTime\qttask.exe
I:\Programme\Messenger\MSMSGS.EXE
I:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Mozilla Firefox\firefox.exe
J:\Programme\Winamp\Winamp.exe
I:\WINDOWS\system32\drwtsn32.exe
I:\WINDOWS\system32\drwtsn32.exe
I:\WINDOWS\system32\drwtsn32.exe
I:\WINDOWS\system32\drwtsn32.exe
I:\WINDOWS\explorer.exe
I:\Dokumente und Einstellungen\...\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SmcService] I:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "I:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Raptor-Gaming M2] I:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] J:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PrinTray] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\MSMSGS.EXE" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h..p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129315840781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129315828343
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - I:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - I:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - I:\Programme\Sygate\SPF\smc.exe


Hoffe ich habe alles richtig gemacht...

Servus!
In Deinem Log finde ich nichts, was momentan auf Malware hindeutet (was aber nicht bedeutet, dass keine da ist!)
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

Vielen Dank für die schnelle Antwort

Ich habe mich jetzt genau an die Anweisungen gehalten. Habe aber nun das Problem dass mir E-Scan beim Scan bei jeder neuen Datei meldet dass sich kein Datenträger im Laufwerk befindet!?

Ich frage mich auch ob es dennoch ein Logfile ertellt hat. Aus meiner Dateiliste ist leider nicht ersichtlich ob es sich bei der MWAV um eine .log handelt.

Servus!

Zitat:

neuen Datei meldet dass sich kein Datenträger im Laufwerk befindet!?

welches Laufwerk wird genannt?

Zitat:

Aus meiner Dateiliste ist leider nicht ersichtlich ob es sich bei der MWAV um eine .log handelt.

Schau mal in explorer im Menü Extras-->Ordneroptionen--> Karteireiter 'Ansicht' ob beim Eintrag 'Erweiterungen bei bekannten Dateitypen ausblenden' ein Haken gesetzt ist. Wenn ja, Haken rausnehmen und 'übernehmen' anklicken.
Jetzt im Verzeichnis C:\bases_x (wohin Du hoffentlich escan entpackt hast) nach der Datein 'mwav.log' suchen
stupormundi

Es wird gar kein Laufwerksbuchstabe angegeben. Da steht lediglich:

Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger in Laufwerk ein.

Diese Meldung kommt auch beim Start des Tools. Nach mehrfachem klicken auf "weiter" startet es aber dennoch.

Entpackt habe ich es in I:Base_X da ich kein C: habe, bzw. C: ist meinem Card-Reader zugewiesen. Dies ist seit der Letzten neu-Installation von XP so gewesen, weiss auch nicht warum... Ist das ein Problem?

Die .log hab ich gefunden, danke.

Zitat:

Entpackt habe ich es in I:Base_X da ich kein C: habe, bzw. C: ist meinem Card-Reader zugewiesen. Dies ist seit der Letzten neu-Installation von XP so gewesen, weiss auch nicht warum... Ist das ein Problem?

Naja, die Pfadangabe wäre für die 'find.bat' wesentlich - so funktioniert diese nicht.
Aber macht nichts dann halt zu Fuß - da Du das Log gefunden hast öffne es und suche darin (bearbeiten-->suchen) nacheinander nach 'tagged' und 'offending' und 'infected' und poste die Ergebnisse hier
stupormundi

Aber das geht doch gar nicht, da noch immer die Fehlermeldung mit dem Datenträger kommt. Oder soll ich ständig auf weiter klicken bis das Tool seine Arbeit beendet hat? Bleibt mir wohl nichts anderes übrig, oder?

Ok, dann habe ich dich missverstanden - ich dachte, Du konntest nach anfänglichen Schwierigkeiten dein Sys scannen und eine Logdatei erstellen.

Zitat:

Die .log hab ich gefunden, danke.

Gibt es jetzt eine mawav.log oder nicht?
Zum Scan: Versuch mal einen Scan mit den in der beigefügten Ansicht angezeigten Einstellungen (Nicht alle lokalen Laufwerke, sondern gezielt Deine Systempartition - bei Dir eben I: nicht A: wie in der Abbildung)
stupormundi

Das geht auch nicht. Wenn ich das Tool starte kommt die Meldung das erste mal. Nach mehrfachen klicken auf "weiter" komm ich zu den Einstellungen. Beim klicken auf ScanNow kommt die Meldung wieder, und zwar bei jeder einzelnen Datei die gescannt wird. Wenn ich auf cancel klicke wird der Scan beendet und das Log wird erstellt, allerdings halt nicht vollständig.

Ich mach jetzt ein Backup und mach alles platt, sonst ärger ich mich noch 10 Stunden rum.

Vielen Dank dennoch...

Hallo!

das Thema ist zwar etwas alt, hoffe aber trotzdem dass mir jemand helfen kann!
ich habe nämlich das gleiche problem mit dem Explorer.exe.
wenn ich auf irgendeinen ordner zurgreifen will kommt immer die meldung
"Explorer.exe hat ein Problem festgestellt und muss beendet werden"
hab mal eScan runtergeladen und scan durchgeführt. es wurden 2 viren gefunden:
Datei C:\WINDOWS\Facher.bmp ist durch den Virus "BkCln.Unknown" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Prariewind.bmp ist durch den Virus "BkCln.Unknown" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.

anschließend hab ich versucht die dateien zu löschen mit KillBox wie es auch in der Anleitung stand http://www.trojaner-board.de/24192-e...en-ab-7-x.html
ist aber nix passiert!! nach einem neustart und wiederholtem Scan mit eScan kamen wieder die beiden infizierten dateien wie oben!
Das ganze hab ich im normalen modus versucht zu entfernen. vielleicht soll ich im abgesichertem modus versuchen?
Bitte helft mir hab kein bock noch mal das system neu zu Installieren!hab das nämlich vor einer 4 wochen schon gemacht!!!

Danke im Vorraus!!!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:32, on 20.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ITECIR\RemoteControlService.exe
C:\Programme\Ralink\Common\RalinkRegistryWriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Jura\LOKALE~1\Temp\mexe.com
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RGSC] C:\Spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [VoipStunt] "C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232306606453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232413735078
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ITE Remote Controler service (ITECIRService) - ITE Tech. Inc. - C:\Programme\ITECIR\RemoteControlService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6563 bytes