Hallo!

Es geht wiedermal um ein dummes Problem.
Ich habe das Problem seid einer Woche.
Also ich hab mir nen Bild aus dem Web geladen (nen animebild)
als plötzlich der explorer geschlossen wurde und die Meldung kam:

Datenausführungsverhinderung - Microsoft Windows
Dieses Programm wurde aus Sicherheitsgründen geschlossen.
Name: Windows Explorer
Herausgeber: MS
Die Datenausführungsverhinderung trägt zum Schutz vor Viren und anderen Sicherheitsangrifen bei.

____________________________

Dann hab ich versucht Windows neu zu starten doch dann kam die Meldung wieder und ich konnte nix mehr machen. Da kam mir die Idee mit der Taskleiste mit der ich auch firefox öffnen kann etc. und die verbindung zum internet aufbauen, aber wenn ich über die Taskleiste jetzt Desktop anklicke dann kackt die Taskleiste ab und bin wieder im leeren Desktop wo auch keine Start Leiste ist nur Der Hintergrundbild. Ich kann auch keine Bilder vom internet speichern oderso da er dann versucht beim Speichern auf den Desktop zuzugreifen aber da der Desktop bzw. Explorer beschädigt ist kommen Fehlermeldungen. Ich kann so trotzdem surfen und so aber das ist nicht bequem und ohne start leiste, bilder speichern etc. macht's bestimmt keinen spass und lust MS Windows neu zu installen hab ich auch net da ich mein Pc sehr schnell und flexibel gemacht habe und nen haufen Programme da sind. Die Schnelligkeit etc. ist alles gleich geblieben wie gesagt nur der Explorer stimmt was net, Virus halt was sonst. Und hab auch mit HijackThis geloggt,und dann auch gescannt mit AV und auch mit AdAware gescant doch kamen 0 Ergebnisse und überral stand keine Viren etc.
Kann doch nicht sein?

Was ist da los?
Wie kann ich vorgehen damit die Meldung nit kommt und ich wieder meinen Desktop sehen kann (heisst Symbole und Startleiste) und alles schön wieder funktioniert?
Gibt's da vllt. ne Möglichkeit außer neu zu installen.?

Ich hof auf eure Hilfe

MfG
Topgreen

Hallo,

als erstes einmal das Hijackthis-logfile posten.
Hierzu die Anleitung beachten: http://www.trojaner-board.de/17493-anleitung-hijackthis.html

Dann sehen wir weiter.

Gruß
Oskar

da ist es

EDIT: ich wollt noch erwähnen das die meldung auch kommt wenn ich windows auf dem sicheren modus starte!






Logfile of HijackThis v1.99.1
Scan saved at 19:02:08, on 15.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\ICQ6\aolsoftware.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kevin\Lokale Einstellungen\Temp\wz3de4\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search Results
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search Results
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{C262A329-DDDB-4FF0-A7AA-324FC6EA0EFA}: NameServer = 195.34.133.21 195.34.133.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS3\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo,

lade dir zunächst folgendes tool herunter: F-Secure Blacklight > F-Secure Blacklight

das logfile dann hier posten.

Gehe nun auf Start->Ausführen->cmd
führe dort folgenden Befehl aus: ipconfig -all
dann das Ergebnis posten

Weitere Anweisungen folgen dann.

Gruß
Oskar

ich versteh net genau wie des program funzt, wenn es scannt dann wird das fenster geschlossen und es geschieht nix.

sry für doppelpost.
aber wie soll ich auf START klicken wenn ja der explorer net geht heisst keine startleiste und symbole weg ?

EDIT: Hab per taskleiste cmd gefunden ich posteh gleich das ergebniss

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>ipconfig -all

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : KEVIN
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VIA-kompatibler Fast Ethernet-Adapte
r
Physikalische Adresse . . . . . . : 00-13-D3-E6-09-B8
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.2.100
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.1
DNS-Server. . . . . . . . . . . . : 192.168.2.1
Lease erhalten. . . . . . . . . . : Donnerstag, 15. März 2007 15:54:57
Lease läuft ab. . . . . . . . . . : Sonntag, 18. März 2007 15:54:57

PPP-Adapter Breitbandverbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 85.125.220.239
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 85.125.220.239
DNS-Server. . . . . . . . . . . . : 195.34.133.21
195.34.133.22
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

C:\WINDOWS\system32>

Hallo,

was meinst du mit geschlossen? von selbst?
Hast du auch die richtige Version (blbeta.exe) heruntergeladen?, die andere ist die Kommandozeilenversion...

In dem Programm drückst du auf "scan". Irgendwann ist der scan fertig und zeigt das Ergebins an. ein logfile wird im gleichen Verzeichnis angelegt.

Gruß
Oskar

Hab die Kommandozeile Version gedownloadet, hab jetz die richtige version es scant gerade. kann dauern ich poste dann sofort das ergebniss indem ich den post hier editieren werde.



MfG

EDIT: Es wurde keine LOG Datei aufgemacht, da stand jediglich das keine Ergebnisse gefunden wurden.

Hallo,

das ist etwas merkwürdig, hast du früher schon einmal einen Rootkit-Befall gehabt!?

Versuchen wir es einmal anders:
Lass HijackThis folgende Einträge fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{C262A329-DDDB-4FF0-A7AA-324FC6EA0EFA}: NameServer = 195.34.133.21 195.34.133.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82
O17 - HKLM\System\CS3\Services\Tcpip\..\{0443A811-6E33-40AD-9A76-4F094D805CEC}: NameServer = 85.255.113.124,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.124 85.255.112.82

Starte über den Taskmanager regedit
Dort suchst du (Strg+F) nach 85.255.113.124 und 85.255.112.82
Wenn etwas gefunden wird den Wert (nicht den Schlüssel) löschen.
Es können mehrfache Einträge vorhanden sein!

Mach unter regedit folgenden Baum auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

gibt es dort einen Eintrag System und was steht als Wert drin?

Mache nun einen Neustart.
Führe nochmal gennanten Schritte zur Kontrolle durch und poste
das Ergebnis.

Gruß
Oskar

Hallo.
Hab jetz alle deine schritte durchgeführt, hab die werte von den zwei ip's gelöscht doch beim neustart kamen sie wieder vor.
Und ja es gibt nen system eintrag und der wert lautet 'kdaxn.exe'

MfG
topgreen

Hallo,

also irgendwas ist komisch, den du bist anscheinend noch infiziert, aber du sagst blacklight findet nichts!?

Lass bitte nochmal Blacklight laufen, und poste die logdatei (sie ist im selben Ordner).

Alternativ kann du dieses Tool benutzen:
http://download.nai.com/products/mca...tDetective.zip

Gruß
Oskar

Hab deine alternative versucht. Alles ging wunderbar doch bis dann im Desktop gesucht wurde kam ein "Nicht Senden" Fenster halt wo steht Problem mit MCafee
Tool da. Ist halt weil Desktop voll beschädigt ist oder so.
Bei Blacklight hat er 0 gefunden und ja im selben Ordner ist der Log, also im desktop denk ich,aber da kann ich ja problematisch net zugreifen

es muss irgendwie möglich sein auf den desktop zuzugreifen denn deshalb erkennt kein progg den virus weil man auf den desk. net zugreifen kann. :/
jetz ist mir auch klar warum immer 0 viren gefunden wurden da ja beim Scannen net auf den desktop zugegrifen werden kann wegen fehler oder so, und genau im desktop ist der virus bzw. fehler.
Fragt sich die frage was jetzt noch zu tun wäre..damit der desk funzt

MfG

Hallo,

mache folgendes, führe über den Taskmanager cmd aus.

Führe dort folgende Befehle aus (Achtung, wenn eine Zeile bestätigt wird kann sie nicht mehr einfach korrigiert werden):

cd\
copy con del.bat
@echo off
cd\ >Nul
cd windows\system32 >Nul
attrib -h -r -s -a kdaxn.exe >Nul
if not exist c:\windows\system32\kdaxn.exe goto LOG
echo "Datei exstiert" >>c:\log.txt
del kdaxn.exe
echo "Datei geloescht" >>c:\log.txt
GOTO END
:LOG
echo "Datei existiert nicht" >>c:\log.txt
:END

und jetzt mit "Strg+Z" abschließen

Ok, nun regedit ausführen, und bei dem Eintrag System unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

den Wert von kdaxn.exe auf c:\del.bat ändern

führe jetzt einen Neustart aus und poste die logdatei c:\log.txt

Dann sehen wir weiter...

Gruß
Oskar

hi.

hab deine schritte durchgeführt.

Im Log steht nichts anderes als:

"Datei existiert nicht"


Eigenartig

mfg