explorer.exe stürzt ab/lädt neu

macbeth · 16.06.2008, 01:05

Zitat:

Zitat von BataAlexander

Ich werde erst morgen dazu kommen die Logs durchzusehen.

Wow. Ihr seid ja lieb hier! Mache Dir bitte keinen unnötigen Stress!

Tausend Dank! Eigentlich funzt (es scheint wieder alles normal - bin aber sehr skeptisch!!!) es im Moment wieder - ich poste noch mal die aktuelle HiJackThis...

macbeth · 16.06.2008, 01:09

So. Hier die neuere Version. Ich traue dem Braten noch nicht!!!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:01:04, on 16.06.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1FBF1F47-46AE-4578-BAEB-06E3D7B7F57E} - C:\WINDOWS\system32\fcccdaxw.dll (file missing)

O2 - BHO: (no name) - {39CEF1D5-A3CE-443C-A113-8CC473D46259} - C:\WINDOWS\system32\qoMeCSKe.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O2 - BHO: (no name) - {E0580FD9-2BA1-4679-A259-8154202C3038} - C:\WINDOWS\system32\cbXQiIxY.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\ColorVision\Utility\ColorVisionStartup.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168120904062

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: cbXQiIxY - C:\WINDOWS\SYSTEM32\cbXQiIxY.dll

O20 - Winlogon Notify: winrnt32 - C:\WINDOWS\SYSTEM32\winrnt32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe



--

End of file - 8665 bytes

Hier noch Bilder des Taskmanagers und des Autostarts (welche Einträge kann ich eigentlich löschen? *hmmmm?*):

BataAlexander · 16.06.2008, 07:14

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {1FBF1F47-46AE-4578-BAEB-06E3D7B7F57E} - C:\WINDOWS\system32\fcccdaxw.dll (file missing)
O2 - BHO: (no name) - {39CEF1D5-A3CE-443C-A113-8CC473D46259} - C:\WINDOWS\system32\qoMeCSKe.dll
O2 - BHO: (no name) - {E0580FD9-2BA1-4679-A259-8154202C3038} - C:\WINDOWS\system32\cbXQiIxY.dll
O20 - Winlogon Notify: cbXQiIxY - C:\WINDOWS\SYSTEM32\cbXQiIxY.dll
O20 - Winlogon Notify: winrnt32 - C:\WINDOWS\SYSTEM32\winrnt32.dll

(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\eKSCeMoq.ini2
C:\WINDOWS\system32\wxadcccf.ini2
C:\WINDOWS\system32\winrnt32.dll
C:\WINDOWS\system32\cbXQiIxY.dll
C:\WINDOWS\system32\ssprs.dll
C:\WINDOWS\system32\serauth2.dll
C:\WINDOWS\system32\serauth1.dll
C:\WINDOWS\system32\nsprs.dll
C:\WINDOWS\system32\clauth2.dll
C:\WINDOWS\system32\clauth1.dll
C:\WINDOWS\system32\sysprs7.dll
C:\WINDOWS\system32\fcccdaxw.dll
C:\WINDOWS\system32\qoMeCSKe.dll

Dann starte den Rechner im normalen Modus neu.

Markiere die Dateien dann wiefolgt

Beispiele:
C:\WINDOWS\system32\qoMeCSKe.dll ->gefunden, gelöscht
C:\WINDOWS\system32\qoMeCSKe.dll -> nicht gefunden, nicht gelöscht
C:\WINDOWS\system32\qoMeCSKe.dll -> gefunden, nicht löschbar

Dann lasse Malwarebytes laufen und poste dessen Logfile zusammen mit einem neuen HijackThis Logfile.

macbeth · 16.06.2008, 16:23

EDIT:

Habe Spybot im abgesicherten Modus laufen lassen - 4 Funde, die ich gelöscht habe. Danach ging es. Dann habe ich mich an deine Liste gemacht. Also:

Beispiel: bla bla bla ... (gefunden?, gelöscht?)

C:\WINDOWS\system32\eKSCeMoq.ini2 (nein, nein)
C:\WINDOWS\system32\wxadcccf.ini2 (nein, nein)
C:\WINDOWS\system32\winrnt32.dll (ja, konnte nicht)
C:\WINDOWS\system32\cbXQiIxY.dll (ja, konnte nicht)
C:\WINDOWS\system32\ssprs.dll (ja, ja) > was ist mit ssprs.tgz?
C:\WINDOWS\system32\serauth2.dll (ja, ja)
C:\WINDOWS\system32\serauth1.dll (ja, ja)
C:\WINDOWS\system32\nsprs.dll (ja, ja) > was ist mit nsprs.tgz?
C:\WINDOWS\system32\clauth2.dll (ja, ja)
C:\WINDOWS\system32\clauth1.dll (ja, ja)
C:\WINDOWS\system32\sysprs7.dll (ja, ja) > was ist mit sysprs7.tgz?
C:\WINDOWS\system32\fcccdaxw.dll (nein, nein)
C:\WINDOWS\system32\qoMeCSKe.dll (ja, ja) > aber mit _old hinter .dll ??

Mache weiter...

"Alter" Post:

Hallo.

Wenn ich im abgesicherten Modus starte, dann lädt er auch wieder die explorer.exe, nur um sie 2 Sekunden später wieder zu schließen. Komisch - gestern ging es kurz.

Habe es geschafft, die von Dir angegebenen Einträge mit HijackThis zu löschen. Er gab aber eine Fehlermeldung, dass diese Programme in Benutzung sind und somit nicht gelöscht werden können. Trotzdem scheinen sie nun verschwunden zu sein.

Ist halt schwierig, im Explorer irgendwo hinzukommen, wenn der explorer immer abschmiert. Da muss man sehr schnell sein...

Ich versuche es weiter! Habt vielen Dank für die tolle Hilfe!

BataAlexander · 16.06.2008, 18:29

Bitte lasse Malwarebytes einmal wie beschrieben durchlaufen und poste das Logfile.

macbeth · 16.06.2008, 18:58

Zitat:

Zitat von BataAlexander

Bitte lasse Malwarebytes einmal wie beschrieben durchlaufen und poste das Logfile.

Ja. Ist in Arbeit.

PC

ICH
Der scannt schon seit 2 Stunden - bis jetzt noch nix. Ich werde etwas posten, sobald er fertig ist.

PS:
Also, Spybot hat "Virtumonde" gefunden. Einmal in HKEY_LOCAL_MCHINE\Software\... und eine .dll in Windows\system32\rqRLbyxv.dll_old. Beide sollte er eigentlich gelöscht haben, mal sehen.

Ich weiß gar nicht, wie ich Dir danken soll - mal abwarten. SUPER!

macbeth · 16.06.2008, 19:17

Na jetzt geht es abba los!!

Also, Malwarebytes ist komplett durchgelaufen. Hat um die 7 Probleme gefunden, manche konnte er nicht reparieren - erst Neustart erforderlich. Also, Neustart. Jetzt meldet sich AntiVir XP sofort nach dem Start (explorer.exe noch nicht einmal geladen) und sagt:

C:\WINDOWS\system32\cbXQIxY.dll
Is the Trojan horse TR/Trash.Gen

An dem Punkt bin ich nun. Was soll ich AntiVir sagen? Löschen? Deny access? Move to quarantine? ...?

Vielen Dank!

16.06.2008, 18:29	#5
BataAlexander > MalwareDB	explorer.exe stürzt ab/lädt neu Bitte lasse Malwarebytes einmal wie beschrieben durchlaufen und poste das Logfile. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

explorer.exe stürzt ab/lädt neu

Log-Analyse und Auswertung: explorer.exe stürzt ab/lädt neu