Explorer will nicht mehr

Beed9 · 21.10.2007, 21:16

Nabend allerseits.

Als Vorwort: Ich habe schon Stunden mit Google verbracht und ein anderes Supportboard konnte mir auch nicht wirklich weiterhelfen.

Es ist mir egal ob Daten jetzt ausgelesen oder protokolliert werden, diesen PC benutze ich nur zum Spielen und für Musik, ich will nur einen stabilen Explorer

Ein Freund hat mir ein Spiel empfohlen und das wollte ich gleich mal austesten, leider war die Website des Herstellers nicht zu erreichen, also habe ich mir einen Mirror ergoogelt.
Installer runtergeladen, wollte ausführen, NOD32 motzt schon mal.
Habe auf Block Threat geklickt, den Installer gelöscht, und gleich den Papierkorb geleert, dann hat es begonnen.

Der Explorer war weg, und nach wenigen Sekunden hat er sich wieder blicken lassen, immer und immer wieder bis ich ihn als er da war via Taskmanager gekillt habe.

Inzwischen habe ich schon Komplettscans mit SUPER.AntiSpyware, NOD32, SpyBot - Search&Destroy und ein paar Nonames hinter mir.
Des Weiterem habe ich rausgefunden dass sämtliche Daten im Ordner "C:\Windows\AppPatch" damit zusammenhängen, von denen ich leider nur die .dlls im abgesicherten Modus entfernen konnte.
Der Rest wird durch ein Rootkit für mich unsichtbar und unerreichbar gemacht.

Das andere Supportboard an das ich mich wand, welches mir auch ein paar der Scanner empfohlen hatte, verschrieb mir auch den "Rootkit Hook Analyzer".
Leider war nichts merkwürdiges damit festzustellen.

Darauf habe ich wieder ein wenig herumgegoogelt und folgte dem Rat SUPER.AntiSpyware (ich hasse diesen Namen) im abgesicherten Modus rennen zu lassen.
Gesagt, getan, und es wurde wirklich ein neuer Schädling gefunden.
Im normalen Modus bekomme ich aber immer 2mal die Fehlermeldung "Invalid floating point operation", und zwar jedes Mal wenn der Explorer auftaucht, einmal mit dem roten Kreis und dem weißen X in der Mitte, und einmal dasselbe ohne dem Kreis. (Wer sich darunter nichts vorstellen kann, ich kann ein Screenshot davon hochladen)

Nach einigen Experimenten wollte ich dann schauen ob der "Rootkit Hook Analzyer" etwas Neues findet, also habe ich ihn gestartet, und jetzt spuckt der mir diese 2 Fehlermeldungen ins Gesicht, dafür aber kann der Explorer ohne diese beiden starten, um wenige Sekunden danach wieder zu verrecken.

So viel zu meinen bisherigen Versuchen und Observationen.

Mir wurde auch geraten die Repairdisk mal laufen zu lassen, wo das nächste Problem ist, die hat nämlich einen Kratzer auf dem Label und kann nicht gelesen werden, wo sich eine Frage bei mir auftut.

Angenommen ein Freund würde eine .iso von seiner Kopie der Windows XP CD hochladen, und ich würde diese in ein emuliertes Laufwerk (via Daemon Tools, ISO Buster etc.) "legen", würde /scannow dann noch immer funktionieren und ich könnte beschädigte/korrupierte Systemdaten reparieren/austauschen?

Ich hoffe hier kann mir jemand helfen

Hier dann noch mein HJT Log.
EDIT: Das zensierte = SUPER.AntiSpyware, warum auch immer jemand beschlossen hat dieses aus dem Forum zu verbannen.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:40:59, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\****************\****************.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Beed9\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 209.172.59.193 www.murof2.tk
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173899531859
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.226.122.235/activex/AMC.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

Explorer will nicht mehr

Log-Analyse und Auswertung: Explorer will nicht mehr

Explorer will nicht mehr

Ähnliche Themen: Explorer will nicht mehr