Hallo,

ich habe gestern Style XP installiert und als ich heute den PC hochgefahren habe, war mein explorer komplett weg. Es gibt keinen Desktop mehr, keine Taskleiste, kein Startmenü usw.

Ich kann zwar den Task-Manager aufrufen und hab auch versucht die explorer.exe manuell zu starten oder die eine Wiederherstellung durchzuführen, leider erfolglos (da keine Wiederherstellungspunkte vorhanden sind).

Style XP konnte ich mittlerweile deinstallieren, aber es funzt immer noch nicht.

Ich habe jetzt schon mehr wie 6 Stunden herumexperimentiert und weiß nicht mehr weiter....

Vielleicht hat ja einer von euch ne Idee, was da falsch läuft!

Logfile of HijackThis v1.99.1
Scan saved at 20:00:57, on 23.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\*******\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=192.168.10.3:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\ntkcxalm.dll",setvm
O4 - HKLM\..\Run: [WinAntiVirusPro2006] C:\Programme\WinAntiVirus Pro 2006\winav.exe /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Recycler] ipjewjd.exe
O4 - HKLM\..\RunOnce: [PackFolders] C:\WINDOWS\BricoPackFoldersDelete.cmd
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat\Pack It!.exe" --unsetvs
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O8 - Extra context menu item: &Search -
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - h**p://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118100507203
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FFFA0AD-1E10-45DD-83A2-B399DC812A42}: NameServer = 192.168.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{58EC3DFF-BB55-494B-9B21-F19972FC7934}: NameServer = 192.168.1.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FFFA0AD-1E10-45DD-83A2-B399DC812A42}: NameServer = 192.168.1.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FFFA0AD-1E10-45DD-83A2-B399DC812A42}: NameServer = 192.168.1.5
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe


Ich danke im Voraus!

MfG
bigM

Hi,
du bist ordentlich kompromettiert und ich denke mal nicht das da (nur) Style XP Schuld ist.
Eigentlich dachte ich sogar StyleXP ist sauber und XP Themes wäre der "böse", aber ich kann mich natürlich irren.

Das ist bei dir aktiv:

Zitat:

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\ntkcxalm.dll",setvm
O4 - HKLM\..\Run: [WinAntiVirusPro2006] C:\Programme\WinAntiVirus Pro 2006\winav.exe /min
O4 - HKLM\..\RunServices: [Windows Recycler] ipjewjd.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus pro 2006\mailscan.dll
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe

Darunter ist mindestens ein Backdoortrojaner. Die einzige Art einen Backdoortrojaner zu entfernen ist formatieren.
Das heißt, du musst leider Neuaufsetzen

Tut mir leid
lg myrtille

Hmmm... ich dachte mir schon, dass man da nix mehr machen kann.

Hast du ein paar Tipps für mich, wie ich meinen PC nach dem Formatieren weitgehend gegen Trojaner absichern kann?

Ein paar weiterführende Links wären nett

Sorry, falls das jetzt absolut offtopic sein sollte.

Danke für alles

MfG
bigM

Joa, Tipps...

Also die Links, die ich dir geben könnte befinden sich alle auf der Neuaufsetzenseite. Da wird auch die anschließende Absicherung besprochen.

Ganz allgemein würde ich sagen, weils aus deinem Logfile nicht ersichtlich ist:

Benutze eine Firewall (die Windowsfirewall reicht da vollkommen)
und ein Antivirenprogramm(Winantivirus ist KEIN Antivirenprogramm, sondern malware, die sich als virenscanner tarnt. )

Aber das ganze steht wie gesagt auch in der Anleitung.

Bevor du jetzt nach Antivirenprogrammen fragst: Da gibt es nicht "das beste" und jedes erkennt einen Virus mal nicht.
Aber falls du dich generell dafür interessierst, kannst du dich mal im Unterforum Schutzprogramme umschauen, da gabs einige Themen zu (oder auch einfach in der Boardsuche "beste Virenprogramme/Firewall eingeben)

lg myrtille