Hallo,

habe folgendes Problem...
Ich bin dabei neue Programme auf mein frisch aufgesetztes System zu installieren. So nach 20 Programmen war der "VideoLAN Client" dran.
Als die Installation zu Ende sein schien, trat die "Dateiausführungsverhinderung" von Windows XP SP2 in Aktion und beendete explorer.exe.

Nun sah ich auch das ich mir den Dialer aconti.exe eingefangen habe.
Also gut, Neustart gemacht und versucht das Biest zu entfernen. Das Problem war jedoch, dass ich weder in den Windows Explorer kam, noch in die Suchfunktion oder die Systemsteuerung. Alles von Windows wurde per "Dateiausführungsverhinderung" beendet.
Z.B. konnte ich den IE verwenden und so herausfinden wie man diese Funktion per boot.ini deaktiviert. Und tatsächlich, beim nächsten Neustart konnte ich rein in den Explorer, und alles von aconti löschen (ichwar auch in der regedit drin). Schön und gut, dachte ich, und hab die "Dateiausführungsverhinderung" wieder aktiviert. Doch nach dem Neustart ist zwar Aconti weiterhin schön weg, aber in den Explorer und die anderen Windows-Sachen komme ich immernoch nicht! Wie bekomme ich das wieder hin?

Hier noch meine HT-Log, denke aber das die ganz sauber aussieht:
Logfile of HijackThis v1.97.7
Scan saved at 22:33:02, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\Labtec\MOUSE32A.EXE
D:\PROGRA~1\A4TECH~1\Ikeymain.exe
D:\Programme\ABIT uGuru\uGuru.exe
D:\Programme\Skype\Skype.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\ABIT uGuru\uGuru_Event_Receiver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\system32\nzdd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Labtec\MOUSE32A.EXE
O4 - HKLM\..\Run: [iKeyWorks] D:\PROGRA~1\A4TECH~1\Ikeymain.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ABIT uGuru] D:\Programme\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)

Gruß,
Com.Raphaezer

@ Com.Raphaezer

bei einem neu aufgesetzten System solltest Du folgende Punkte beachten, bevor Du damit ins Netz gehst:

formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Überprüfe die "D:\Programme\ABIT uGuru\uGuru.exe" mit dem online-scan von : Kaspersky. Ergebnis?

Erstelle bitte ein neues Hijack This Logfile in der aktuellen Version: http://www.trojaner-board.de/51130-a...ijackthis.html und poste es.

SD

Hallo,

also ich kann das Problem jetzt genau definieren.
Wenn ich den Windows Explorer bei aktiver Datenausführungsverhinderung (DAV)öffnen möchte, stürzt dieser ab, bedingt durch eben diese DAV.
IchIch habe nun einmal nachgeschaut wieso der Explorer denn genau geschlossen wird, und DAV hat mir zwei Links ausgespuckt:

C:\DOKUME~1\ADMINI~1\LOKALE~1\WERe0a3.dir00\explorer.exe.mdmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\WERe0a3.dir00\appcompat.txt

Was kann das sein? Sind diese Dateien "normal"? Diese .mdmp-Endung finde ich etwas auffällig.
Ich weiß das ich den Fehler gemacht habe und vergessen habe zuerst ein Benutzerkonto zu erstellen anstatt mit den Admin-Einstellungen im Web zu surfen etc. Nur jetzt möchte ich - bevor ich dies nachhole - zuerst den alten Zustand (mit aktiver DAV aber ohne Probleme beim Explorer) wiederherstellen bevor ich ein Benutzerkonto erstelle. Sonst bleibt ja das Problem im Admin-Bereich, und somit evtl. auch bei allen folgenden, untergeordneten Benutzerkonten.

Gruß,
Com.Raphaezer

EDIT:
@Shadowdance:
ABIT uGURU geht in Ordnung, ist ein Utility meines Mainboards

Hier dennoch meine HT-Log der neuen Version:

Logfile of HijackThis v1.98.2
Scan saved at 21:28:32, on 27.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\Labtec\MOUSE32A.EXE
D:\PROGRA~1\A4TECH~1\Ikeymain.exe
D:\Programme\ABIT uGuru\uGuru.exe
D:\Programme\Skype\Skype.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\ABIT uGuru\uGuru_Event_Receiver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\system32\nzdd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Labtec\MOUSE32A.EXE
O4 - HKLM\..\Run: [iKeyWorks] D:\PROGRA~1\A4TECH~1\Ikeymain.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ABIT uGuru] D:\Programme\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

@Com.Raphaezer

in google findest du diese
http://filext.com/detaillist.php?extdetail=MDMP
http://ask-leo.com/appcompatexe.html


vielleicht findest du hier eine löschung für dein problem

http://www.wintotal.de/Tipps/Eintrag.php?TID=996

chaosman