|
Log-Analyse und Auswertung: Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes DesktopWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.12.2007, 19:01 | #1 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Ich habe das gleiche Problem wie es unter http://www.trojaner-board.de/8902-explorer-startet-nicht-2.html beschrieben ist. Ich habe sämtliche dort empfohlenen Schritte durchgeführt, leider ohne Erfolg. Folgende zwei Tips betreffend registry führten nicht zum Erfolg: 1. Neuer DWORD-Wert DesktopProcess 1. Klicken Sie nacheinander auf Start und Ausführen 2. Tippen Sie regedit ein und klicken auf OK 3. Klicken Sie jeweils doppelt auf HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Explorer 4. Klicken Sie mit der rechten Maustaste auf eine freie Stelle auf der rechten Seite des Fensters. 5. Wählen Sie im daraufhin aufklappenden Menü nacheinander per Mausklick die Einträge Neu> und DWORD-Wert. Tippen Sie danach den Namen DesktopProcess ein, und drücken Sie zweimal auf die Enter-Taste. 6. Tippen Sie nun in den öffneten Fenster unter Wert eine 1 ein. Tippen Sie auf OK 7. Schließen Sie den Registrierungs-Editor, und Starten Sie den Computer neu. 2. Der Zugriff auf den Windows Script Host ist aktiviert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\Enabled weist den Wert 1 auf. Ein Scan im abgesicherten Modus mit eScan (mwav.exe; Signaturdatum 5.12.2007) führte zu folgendem Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.9 Sprache: German Virus-Datenbank Datum: 12/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "asktbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "drivecleaner2006 Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({09bd51ae-7e02-4916-9b12-647a92c02b7f})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({72fe8681-0bfa-471b-9b2a-b37ed68dd09e})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({83453071-3f9c-4ab0-be30-eda368d7976d})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({bd04dae2-8c1b-4cc5-9e06-22de05c2eda0})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({fe063dbb-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({fe063db9-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({fe063db1-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({83453070-3f9c-4ab0-be30-eda368d7976d})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({83453072-3f9c-4ab0-be30-eda368d7976d})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({fe063dba-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen. System found infected with asktbar Toolbar ({fe063dbc-4ec0-403e-8dd8-394c54984b2c})! Action taken: Keine Aktion vorgenommen. System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. System found infected with gmsoft Dialer (hklm\software\vcom)! Action taken: Keine Aktion vorgenommen. System found infected with gmsoft Dialer (C:\PROGRA~1\vcom)! Action taken: Keine Aktion vorgenommen. System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\.lcs)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\PROGRA~1\vcom ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Programme\asktbar Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\asktbar !!! Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCR\asktbar.popswatterbarbutton !!! Offending Key found: HKCR\asktbar.popswatterbarbutton.1 !!! Offending Key found: HKCR\asktbar.popswattersettingscontrol !!! Offending Key found: HKCR\asktbar.popswattersettingscontrol.1 !!! Offending Key found: HKCR\asktbar.settingsplugin !!! Offending Key found: HKCR\asktbar.settingsplugin.1 !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3079E1CF\wsusscn2[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 134994 Gefundene Viren: 26 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 66 Dauer des Scans bisher: 01:41:43 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:45:45.59 Batchende: 21:46:58.48 Hier das Ergebnis von Panda TotalScan (durchgeführt unter Firefox 2.0.0.11): ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2007-12-09 21:38:24 PROTECTIONS: 2 MALWARE: 7 SUSPECTS: 0 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== Bitdefender Antivirus 8.0 Yes Yes ZoneAlarm Security Suite Antivirus 7.0.334.000 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@yadro[1].txt 00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt 00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@toplist[1].txt 00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@as1.falkag[1].txt 00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@metriweb[1].txt 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@go[2].txt 01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@adserver.easyad[1].txt ;===================================================================================================================================================== ============================== SUSPECTS Location ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== Von Panda NanoScan wurde zudem eine verdächtige Datei (suspicious file) gefunden: C:\Windows\lpt7.lzo, die ich aber auf der Festplatte nicht finden konnte (vermutlich versteckt). Weil Windows Explorer nicht gestartet wird, kann ich die Ansichtsoptionen leider nicht ändern. Weiter habe ich FixIt-Utilities 7.0 installiert, die Registrationsdatenbank bereinigt und bei insgesamt 4 Durchgängen netto 940 Einträge gelöscht. Erneut leider ohne Erfolg. Nachfolgend die Resultate der einzelnen Bereinigungsvorgänge: 1. Durchgang netto 650 Einträge (brutto 655). Falls notwendig, kann ich die detaillierten Resultate posten. 2. Durchgang netto 267 Einträge (brutto 275). Falls notwendig, kann ich die detaillierten Resultate posten. 3. Durchgang netto 023 Einträge (brutto 025). Bei diesem Durchgang habe ich es versäumt, das Resultat in einer Datei zu speichern. 4. Durchgang netto 000 Einträge (brutto 002). Zwei Einträge konnten nicht gelöscht werden. Von diesem Durchgang fehlt das Log ebenfalls. Danach liess ich CCleaner zuerst unnötige Dateien löschen und danach drei Mal die registry säubern. Es wurden total 283 Einträge gelöscht. Es folgten drei weitere registry-Bereinigungen mit FixIt-Utilities 7, bei denen fünf Einträge gelöscht wurden. Der TIF-Löscher funktionierte nicht und generierte die folgenden zwei Fehlermeldungen: 1. Internet Explorer Skript-Fehler Zeile: 23 Zeichen: 1 Fehler: Zugriff verweigert Code: 0 URL: file:///C:/Windows/DelTIF.hta "Möchten Sie, dass Scripts auf dieser Seite weiterhin ausgeführt werden?" JA/NEIN (JA angeklickt, worauf die zweite Fehlermeldung folgte) 2. Internet Explorer Skript-Fehler Zeile: 71 Zeichen: 1 Fehler: 'fso' ist Null oder kein Objekt Code: 0 URL: file:///C:/Windows/DelTIF.hta "Möchten Sie, dass Scripts auf dieser Seite weiterhin ausgeführt werden?" JA/NEIN (JA angeklickt, worauf immer wieder diese Fehlermeldung folgte) Ich habe danach mit Hilfe von ClearProg 1.5.0 Final insgesamt 861 Einträge und 189.2 MB gelöscht. Leider ohne Erfolg hinsichtlich des noch immer nicht startbaren Windows Explorers. Firefox ist so konfiguriert, dass sämtliche Cookies, der Verlauf, gespeicherte Formulardaten usw. bei dem Verlassen des Programms gelöscht werden. Eine Systemwiederherstellung (%SystemRoot%\System32\restore\rstrui.exe) habe ich noch nicht durchgeführt. Der PC gehört einem Bekannten. Gemäss Spybot S&D ist er mit PremiumSearch verseucht. Leider konnte dieser Schädling von Spybot S&D nicht entfernt werden (auch nicht mit Hilfe eines scans vor dem eigentlichen Windows-Start). Weiter habe ich einen Ordner mit IncrediMail gefunden. CHKDSK /F wurde ohne Beanstandung durchgeführt. Das System ist auf dem neusten Stand (gepatched mit MS Baseline Analyzer, sämtliche Sicherheitsupdates sind installiert) und auch Firefox 2.0.0.11 ist installiert (neben MS IE 7.0). Einzig Suns JRE ist nicht aktuell (Update 2 statt Update 3). Abgesicherter Modus, Registry-Bearbeitung, MSCONFIG usw. sind mir vertraut. Es handelt sich um einen Fujitsu-Siemens-Rechner mit originalem, vorinstalliertem MS Windows XP, Home Edition. Die bislang ausgeführten Arbeiten habe ich alle mit dem Task-Manager erledigt (über "Datei - Neuer Task - Durchsuchen" Programme gestartet/installiert resp. Dateien kopiert und gelöscht). Es ist neben dem Standard-Windows-Administrator (erscheint nur nach einem Systemstart im abgesicherten Modus mit Hilfe von F8) ein weiterer Administrator mit der Bezeichnung "jRfaRuBnwGI" installiert, der bei der Anmeldung jedoch weder im abgesicherten noch im normalen Modus erscheint und dessen Dateien sich nicht löschen lassen (unter C:\Dokumente und Einstellungen). Er erscheint auch nicht in der Benutzerverwaltung (wenn ich mit Administrator-Rechten eingeloggt bin). Wenn ich ab einer DOS-Diskette boote (originäre Floppy-Schnittstelle, nicht über ein USB-Laufwerk), wird die Festplatte C:\ nicht erkannt obwohl von ihr das Explorer-lose Windows XP gebootet wird. FDISK mit der Option /MBR (h**p://support.microsoft.com/default.aspx?scid=h**p://support.microsoft.com:80/support/kb/articles/Q69/0/13.ASP&NoWebContent=1) habe ich bislang nicht ausprobiert. Zwei Beobachtungen zum Schluss, die mir eigenartig erscheinen: 1. Im registry-Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe habe ich unter dem Eintrag Debugger (REG_SZ) den Verweis auf folgende Datei gefunden: c:\windows\system32\wwsbovef.bak. Eine Google-Suche zu diesem Dateinamen samt Erweiterung (in "") ergab kein Resultat, noch ist die Datei auf der Festplatte in diesem Verzeichnis auffindbar. 2. Bei Systemstart erscheint unten links auf dem Anmeldebildschirm der Text "hp psc 1100 ausschalten". Dies ist nicht der Name des PCs, sondern die Typenbezeichnung des installierte Druckers! Kann mir jemand *BITTE* helfen? Danke und Gruss, Urs Hier das HijackThis-Logfile, erstellt im abgesicherten Modus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:50:32, on 10.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\abc123.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O2 - BHO: Class - {DCDFAB53-F975-BC0D-DEEE-45F164341BDB} - (no file) O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file) O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file) O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [Checkpoint Notify] C:\Programme\VCOM\Fix-It\CheckpointNotify.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI4D84~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sunrise.ch/de/hom/default.asp O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - h**p://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://bitdefender.bwm-mediasoft.com/scan8/oscan8.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab57213.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {FFFF0000-0001-101A-A3C9-08002B2F49FB} - h**p://83.211.1.229/dial/61AE625.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Fix-It Task Manager - Avanquest Publishing USA, Inc. - C:\PROGRA~1\VCOM\Fix-It\mxtask.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WebCyc - Unknown owner - \\?\C:\Programme\Windows NT\com9.exe (file missing) Den letztaufgeführten Eintrag (Service: WebCyc - Unknown owner - \\?\C:\Programme\Windows NT\com9.exe (file missing) konnte ich erfolgreich löschen. Ohne dass sich das Problem löste. -- End of file - 7466 bytes CTFMON kann man meines Wissens in MSCONFIG eigentlich ausschalten, wenn man die Behindertenhilfe nicht benötigt - oder irre ich mich? |
19.12.2007, 17:34 | #2 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo
__________________Kann mir den niemand helfen? Bitte! Mein posting wurde in sechs Tagen 72 Mal gelesen, ohne dass jemand einen Hinweis gegeben hat, wie ich vorzugehen habe. Vielen Dank schon Mal. Gruss, Urs |
19.12.2007, 18:25 | #3 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Wäre nett, wenn du mal ein HijackThis Log posten würdest.
__________________
__________________ |
19.12.2007, 19:29 | #4 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop @11Boy11 Das HijackThis-Logfile findet sich ganz am Ende meines (OK: wirklich langen) postings. Danke und Gruss Urs |
19.12.2007, 19:50 | #5 | ||
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes DesktopZitat:
______________________________________ öffne das HijackThis klicke den Button "scan", und mache vor diese Einträge ein häckchen: Zitat:
_________________ Eine Frage zu guter letzt: Bist du bei Sunrise Kunde?
__________________ Gruß 11Boy |
19.12.2007, 20:06 | #6 | |
Administrator > Competence Manager | Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes DesktopSofern noch vorhanden, dieses bitte auch noch ausführen: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Anleitungen ausführen und poste die Logfiles: * Blacklight
__________________ --> Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop |
19.12.2007, 20:29 | #7 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo 11Boy Ich habe die ersten fünf Einträge im abgesicherten Modus gelöscht. Der letzte Eintrag (O23 - Service: WebCyc ...) erschien nicht mehr, weil ich ihn – wie in meinem ersten posting erwähnt – bereits erfolgreich löschen konnte. Eine Nachkontrolle (im abgesicherten Modus) ergab, dass sämtliche von Dir erwähnten Einträge nun gelöscht sind. Leider startet Explorer noch immer nicht – weder im normalen, noch im abgesicherten Modus. Sunrise-Kunde: Dieses System gehört einem Bekannten und ich weiss nicht, ob er Sunrise-Kunde ist. Ich kann dies aber sofort abklären, sollte dies von Relevanz sein. Danke für Deine Hilfe und Gruss, Urs |
19.12.2007, 20:34 | #8 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo Sunny Danke für Deinen Hinweis. Leider kann ich versteckte Dateien nicht anzeigen, weil ich den Explorer nicht starten kann, um diese Änderung vornehmen zu können. Ich kenne allerdings nur diese Methode (unter Extras-Ordneroptionen-Ansicht). Falls Du eine andere Vorgehensweise kennst, bin ich dankbar für einen Hinweis. Ich werde gleich mal alles bei Virustotal abarbeiten. Danke und Gruss, Urs |
19.12.2007, 21:12 | #9 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo Sunny Virustotal konnte die Datei nicht untersuchen, obwohl sie auf der Festplatte gespeichert ist. Im web browser erschien eine Fehlermeldung, wonach sie 0 Byte gross sei, obwohl sie im Auswahlfenster mit einer Grösse von 69 KB angezeigt wird. Ich habe einige screenshots angefertigt, die eventuell zur Lösung des Problems beitragen können (RTF-Datei). Wie kann ich diese in meine Anwort einfügen? Copy - Paste funktioniert nicht. Danke und Gruss, Urs |
19.12.2007, 21:20 | #10 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Kleine Ergänzung zu meiner letzten Antwort: Eine Prüfung auf VirusTotal - Free Online Virus and Malware Scan ist auch nicht im abgesicherten Modus mit Netzwerktreibern möglich. Es erscheint dieselbe Fehlermeldung im IE. Gruss, Urs |
20.12.2007, 20:56 | #11 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo Sunny Ich habe mittlerweile das Programm Pocket Killbox heruntergeladen und versucht, damit die Datei C:\Programme\Windows NT\com9.exe zu löschen. Leider ohne Erfolg, weder im normalen noch im abgesicherten Modus. Ich habe jeweils alle drei Varianten ausprobiert. Bei der Variante "Replace on Reboot", die offenbar Änderungen in der registry vornimmt, erschien folgende Fehlermeldung: "PendingFileRenameOperations - Pending File Rename Operations Registry Data has been Removed by External Process!". Also wieder nichts – und Windows Explorer lässt sich natürlich nach wie vor nicht starten... Danke für jedwelche Hilfe! Urs |
20.12.2007, 23:12 | #12 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo Zwei weitere Feststellungen: 1. Die MMC lässt sich im Taskmanager nicht starten. 2. Bis auf den Leerlaufprozess (SYSTEM) tragen sämtliche Prozesse keinen Benutzernamen, egal wie ich mich anmelde (Administrator oder nicht, normaler oder abgesicherter Modus). Danke für die Hilfe und Gruss, Urs |
20.12.2007, 23:53 | #13 | |
> MalwareDB | Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Ich wär hier ganz vorsichtig. Ein Eintrag in der Zitat:
Edit: Ist je eine .bak Datei, daher bitte bei Virustotal auswerten und das Resultat hier posten. |
21.12.2007, 02:03 | #14 |
| Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Hallo BataAlexander Danke für Deinen Hinweis. Der PC steht im Büro und ich werde mich gleich heute Morgen (resp. eher gegen Mittag) darum kümmern. Obwohl ich in meinem ersten posting geschrieben habe, dass die BAK-Datei unauffindbar sei, kann es sein, dass ich beim Dateityp einen Fehler beging und nicht "Alle Dateien" ausgewählt habe (Task Manager - Datei - Neuer Task - Durchsuchen - Auswahlfenster - Dateityp). Danke und bis später, Urs |
21.12.2007, 03:20 | #15 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop Da muss ich mal zu früher Stunde was nachfragen! Zitat:
Sunny hat dich u.a. auch auf Blacklight verwiesen, hast du den Check damit schon durchgeführt?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop |
abgesicherten modus, antivirus, ask toolbar, bho, checkpoint, computer, content.ie5, ctfmon.exe, dateisystem, desktop, drivers, eigenartig, fehler, festplatte, festplatte c, festplatte c:, firefox, fix-it, handel, helfen, hijack, hkus\s-1-5-18, home, hosts-datei, immer wieder, internet, internet explorer, maus, mausklick, maßnahme, netgear, object, problem, registry, rstrui.exe, s-1-5-18, scan, schädling, security, security suite, software, starten, suspicious file, tippen, trend micro, urlsearchhook, viren, windows, windows defender, windows script host, windows xp, windows\system32\drivers |