Schwarzer Desktop (explorer.exe rundll32.exe helh.oso vtfeb). Log anbei.
 

Hallo Ihr Lieben,

mein Explorer (Mozilla) hat sich letztens aufgehängt. Habe danach neugestartet und hatte zwar die maus, aber ansonsten alles schwarz auf dem Desktop. habe dann über umwege Malewarebyte Antivir laufen lassen und einen Highjacker gekillt. (Siehe log). Trotzdem habe ich noch ein mulmiges Gefühl. Wie liest man den Scanbericht? habe versucht es zu googeln, hatte aber "0" Treffer mit "helh.oso vtfeb". :heulen:

Anbei mein Log:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2735
Windows 6.0.6000

02.11.2009 21:49:30
mbam-log-2009-11-02 (21-49-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84816
Laufzeit: 7 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe rundll32.exe helh.oso vtfeb) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden).

Hallo und Herzlich Willkommen! :)

jetzt läuft es wieder?

Hast du in der letzten Zeit:

• Irgendwas an deinem System geändert?
• Programme/Addons & Toolbars/Treiber/Spiele installiert,Update gezogen..etc - und waren die Quellen sicher?
• Nutzt du Externe Speichermedien wie USB-Stick, Festplatte ect? Hast Du mal diese Sachen an einem fremden Rechner angeschlossen? Oder von jemand anderem an deinen PC angesteckt?
• Etwas an der Registry verändert/gelöscht bzw RegCleaner/Optimizer-Tools benutzt usw

- In der Vergangenheit oder vor kurzem: war dein System infiziert bzw v. Viren befallen? - Wenn ja, welche Methoden angewendet zur Beseitigung? Eventuell schon vorhandene Protokoll bitte posten
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Wow, Ihr macht Euch echt viel Mühe,d anke schonmal im Voraus. Werde heute Abend die Änderungen vornehmen.

Gnaz kurz zu Deinen Fragen: Ja, ich war befallen, den Scanbericht von malware habe ich im ersten Post angehängt. Befallen war die Rundll32.exe. habe dann die Datei mit malware "gesäubert", seit dem gehts wieder.

Eingefangen habe ich es mir zu 99% meim surfen. habe in einem Filesharing Board einige tabs offen gehabt. Aus irgndeinem Grund sollte dann eine java Appliocation gestartet werden, dann hat sich Firefox aufgehängt und nach dem neustart hatte ich dann den schwarzen desktop. :heulen:

Hallo Zusammen! Hier mein update: Eigentlich hatte ich mich an Euch wegen des Absturzes gewendet (siehe Anfang des Threads). Malware hatte folgenden Funde:

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe rundll32.exe helh.oso vtfeb) Good: (Explorer.exe) -> No action taken

Jetzt hat eben gerade Antivire 2 mal angeschlagen wegen was neuem! ich werd noch wahnsinnig. Direkt davor hat Highjack aber nichts gefunden? Wie kann das denn sein? Ich poste Euch jetzt das Highjack Log, den CCcleaner Bericht und den Antivir Fund. Guckt Euch das bitte an!

CCCleaner:

Und jetz den Antivir Fund:

Habe ich jetzt 3 Dinger gehabt oder was? Wär super, wenn Ihr mir helfen könnt! danke

hi

1.
ich denke, deine eigentliche Probleme sind die hier:
Dein Sytem überflutet v. Sicherheitssoftware...
- da Norton `extra Pflege` braucht:
Norton Antivirus ZU deinstallieren gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten.
Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Hast du jetzt noch irgendwelche Probleme?

Hi Coverflow: Werde ich machen, danke. Ich habe ein Vista Laptop, wusste gar nicht, dass da jemals Norton drauf gewesen wäre.

Was ist denn das mit dem missing File in Programme/AntiSpy das Du markiert hast. Gehört das nicht zu dem normalen Avira? Deinstalliert CC das dann auch?

Und kannt Du mir vielleicht noch was zu den Treffern von Avira und Malwarebytes sagen?

Ich weis, viele Fragen aber verstehe nicht, was die Deinstallation mit den Viren zu tun hat. :heulen:

- die Virusmeldung nicht eindeutig, kann auch mehrere gleichzeitig installierte Antivirus-Programme als Auslöser in Frage kommen
Lass zuerst mal nur Avira auf dem Rechner
nachdem Du AVG und Norton vollständig entfernt hast, kommt vermutlich keine Virusmeldung mehr

- "File missing" bedeutet nicht unbedingt, so dass das Programm bzw Dienst nicht vorhanden, in den meisten Fallen das ist ein Bug (noch immer) im HJT-Logfile, oder aber weil das Programm fehlerhaft entfernt worden und der Dienst noch existiert
- Malwarebytes' Anti-Malware - der Fund sagt zuerst mal nicht viel aus...werden wir noch ja prüfen

1.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...

- um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader

2.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Hallo Coverfflow. Habe Java und Adobe upgedatet. Den Norton rest habe ich auch weg bekommen. Nur AVG wehr sich mit alle Macht. Habe neu installiert und dabei auf "Alte Version deinstallieren gecklickt". Anschließend die neue Version runter. Aber Eintrag is noch drin bei Hijack. Dann mit dem remove-tool aber Eintrag ist noch immer drin.... Hier ist mein ganz aktueller Hijack Bericht:

Und nu? :kaffee:

meinst AVG deinstalliert und erneut heruntergeladet:confused:

@ Coverflow: Genau andersherum: Neu heruntergeladen, installiert und anschließend versucht sauber zu deinstallieren. (So stand in diversen Foren, auch im AVG Forum.) hatte den Eintrag noch immer drin und hab dann den romver von der AVG Seite benutzt, aber Eintrag ist noch drin. (siehe log). :headbang:

hi

Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
"Start→ Alle Programme→ Zubehör→ Ausführen" ...dann folgende Befehl bitte eingeben: cmd --> ok
es öffnet sich ein Kommando-Fenster
danach folgende Befehl eingeben und nach jedem Befehl die Eingabetaste [Enter] drücken:

Exit

- oder mit HJT:
Starte HijackThis-> "Open the Misc Tools section"-> "Delete an NT service..."->da - AVG Anti-Spyware Guard - eintragen/aussuchen

Falls noch existirt mit HJT fixen:
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten):