[HaBo]

Influent · 20.10.07, 02:01

Morgen ;)

Hab mir einen Cllient für ein Spiel von einer anderen Website als der Herstellerseite runtergeladen, und der scheint etwas Ungutes mit sich gebracht zu haben.

Wollte installieren und Nod32 hat schon mal gemotzt, Adware wollte sich einnisten.
Hab auf Block Threat geklickt und den Installer gelöscht, dann war auf einmal der Explorer weg.

Im Task Manager hab ich ihn nochmal geöffnet, dann ist er wieder ausgegangen, nach ein paar Sekunden ist er wieder angegangen, nach wenigen mehr wieder ausgegangen, immer wieder, bis ich ihn über den Task Manager gekillt habe.

Habe erstmal über dem Task Manager mit Nod32 einen InDepth Scan durchgeführt und der hat 3 Dinge gefunden die er nicht löschen/verschieben/bearbeiten konnte.
Darunter auch nslookup.exe.

Habe dann ein wenig herumgegoogelt und dem Rat eines anderen Forums befolgt, habe "SUPERAntiSpyware" heruntergeladen, hat gleich 123 infizierte Dateien gefunden, darunter auch sämtliche .dlls im Ordner "C:\Windows\AppPatch", wo sich auch nslookup.exe befand.
Konnte alle loswerden, der Explorer hat aber dennoch beschlossen andauernd zu krepieren, also habe ich den Computer neugestartet.
Es gab keine Besserung und ich hab wieder Scans mit beiden Scannern durchgeführt, und es wurde bei beiden wieder dasselbe wie vor dem Neustart gefunden.

Zu den .dlls in "C:\Windows\AppPatch", ich kann alle manuell löschen außer "acgenral.dll", wenn ich diese aber lösche, tauchen wenige Sekunden später neue Kopien davon aus, und auf acgenral.dll habe ich keinen Zugriff, wird anscheinend benutzt.
Ich habe schon versucht die Datei umzubennen, dann ist aber eine neue "acgenral.dll" aufgetaucht.

Und zum Explorer, wenn er anduernd an und ausgeht, lastet er den Prozessor an manchen Zeitpunkten auf 60-70% aus.

Ich hoffe jemand hatte schon Erfahrung damit und kann mir helfen :)

Hier noch mein HJT log, ohne dem Explorer, und darunter nochmal während der Explorer "läuft", falls es einen Unterschied macht.

EDIT: Manchmal hab ich im Task Manager 2 Explorer laufen, die haben aber unterschiedliche Größen und verschieden viele Threads.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 01:46:37, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Beed9\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 209.172.59.193 www.murof2.tk
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Aats] "C:\WINDOWS\RACLE~1\explorer.exe" --ru -vt yazb
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173899531859
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.226.122.235/activex/AMC.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

Code:

Logfile of HijackThis v1.99.1
Scan saved at 01:49:53, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Beed9\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 209.172.59.193 www.murof2.tk
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Aats] "C:\WINDOWS\RACLE~1\explorer.exe" --ru -vt yazb
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173899531859
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.226.122.235/activex/AMC.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

**lightsaver** · 20.10.07, 06:21

also erstmal haben wir hier extra einen thread für sowas, beim nächsten mal bitte diesen auch benutzen

und dann zum fixen:

O1 - Hosts: 209.172.59.193 www.murof2.tk
O4 - HKCU\..\Run: [Aats] "C:\WINDOWS\RACLE~1\explorer.exe" --ru -vt yazb

interessant finde ich, dass von der nslookup nix zu finden ist. wenn die im apppath ordner ist, dann lösche die auch (die gehört nämlich eingentlich nach system32), genauso wie die erwähnte dll. das kannst du im abgesicherten modus machen.

an dieser stelle aber auch gleich wieder der bewährte hinweis:

es kann dir NIEMAND garantieren, dass dein system danach wieder sauber ist. solltest du irgendwelche wichtigen dinge (z.b. onlinebanking) mit dem rechner machen, rate ich dir, den lieber neu aufzusetzen

Anzeige

- Anzeige -

Influent · 20.10.07, 06:30

Ach bin ich doof.
Ich dachte das Icon mit dem in Flammen aufgehenden Ordner hieße er wäre für eine Löschung vorgesehen, oder gesperrt.

Naja, danke für den Hinweis.

Was du mir geraten hast werd ich auch gleich mal tun, aber zu nslookup, ich habe die Datei selbst nicht sehen können, Nod32 meinte die wäre da drinnen, versteckt wahrscheinlich.
SUPERAntiSpyware hat nslookup löschen können, der Log wurde aber nach den Scans gemacht.
Scheint wohl auch nicht weggehen zu wollen.

Ich werde schauen ob die Löschung im abgesicherten Modus einen Unterschied macht, danke erstmal für die Antwort

EDIT: Im abgesicherten Modus bin ich die .dlls losgeworden und habe den Ordner AppPatch löschen können.
Habe den Computer dann erneut im abgesicherten Modus gestartet und der Ordner war wieder da, allerdings ohne Inhalt.
Konnte wieder ohne Motzen löschen, aber im normalen Modus hieße es "Das Programm AppPatch" würde von einer Person benutzt werden(/oder wäre Schreibgeschützt), obwohl es sich um einen Ordner handelt.
Die Scanner haben keine "nslookup.exe" ausmachen können, und der Explorer verreckt mir immer noch.

Soll der Thread jetzt geschlossen werden und ich kann den neuen HJT-Log im dafür vorgesehenen Thread posten, oder hat noch jemand eine Idee was man wegen dem Explorer tun könnte?

Ich glaube man hat früher mit dem Security Task Manager sehen können, welche .dlls mit welchen Prozessen zusammenhängen bzw. diese korrupieren, aber jetzt soll das so weit ich gehört habe kostenpflichtig sein, was aber wichtiger ist, die Trialversion soll extrem eingeschränkt ein.
Kennt jemand eine gute Alternative zu diesem Security Task Manager der mir auch diese .dll-Beaufsichtigung ermöglicht?

20.10.07, 09:48

Zitat:

Konnte wieder ohne Motzen löschen, aber im normalen Modus hieße es "Das Programm AppPatch" würde von einer Person benutzt werden(/oder wäre Schreibgeschützt), obwohl es sich um einen Ordner handelt.

Sofern du die "versteckten Dateien" auf anzeigen gestellt hast, hört es sich hier sehr nach einem Rootkit an. Du must diese Dinge mindestens im Abgesicherten Modus fixen. Löschen geht ansonsten auch mit einer LiveCD wie Knoppix sehr gut. Damit siehst du dann auch den Inhalt dieses "lehren" Ordners. (Da das Rootkit hier nicht zieht

)

Das hier ist evtl. auch noch zu fixen:

Zitat:

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab

solidstateion.cab ist ein cab Archiev mit 2exen und ein paar dlls und gehört angeblich zum "solidbrowserplugin". Wenn dir das unbekannt ist, solltest du das fixen.

ebenfalls dies hier:

Zitat:

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab

In diesem Archiev befindet sich die "MessengerStatsPAClient.dll". Gehört wahrscheinlich aber zum "RealOneMessageCenter". Wenn dir das unbekannt ist, solltest du das fixen.

lg
IsNull

Influent · 20.10.07, 10:02

Danke auf jeden Fall für die Antwort.

Solidbrowser hat mir nichts gesagt, und ja, versteckte Daten werden angezeigt.
Ob es Änderungen gibt werd ich gleich hinzufügen.

Und nebenbei;
Wenn nichts im Ordner festgestelllt werden kann, und er eine Größe von 0kb zeigt, handelt es sich dann immer um ein Rootkit, oder kann es auch eine Datei sein die mithilfe eines Rootkits verborgen wird?
Bin da noch ein Welpe

Und gibt es eine Möglichkeit in der Registry alles nach ähnliche wie "Rechtsklick -> Symbole ordnen nach -> Änderungsdatum" auflisten zu lassen?
Gibt es vielleicht eine GUI die sowas zulässt?

20.10.07, 10:07

Zitat:

Wenn nichts im Ordner festgestelllt werden kann, und er eine Größe von 0kb zeigt, handelt es sich dann immer um ein Rootkit, oder kann es auch eine Datei sein die mithilfe eines Rootkits verborgen wird?

Ja, ich meinte damit natürlich das bei dir ein Rootkit installiert ist und dann eben diese spezifischen Dateien in diesem Ordner versteckt werden. Das Rootkit selbst kann (wenn du Glück hast) irgendwo im Autostart sein. Viel wahrscheinlicher ist jedoch, dass irgend eine (System) Executable gepatch wurde. Somit ist es sehr schwierig, den schädling zu finden.

Hier ist eine Neuinstallation anzuraten.

Influent · 20.10.07, 10:21

Ah, danke für die Info :]

Neuinstallation ist für mich leider keine Möglichkeit, die WinXP CD hat am Label einen Kratzer.
Autostart hab ich auch schon geschaut, nix drinne.

Aber wieso geht der Explorer immer an und aus?
Das bringt eigentlich niemandem einen Vorteil.
Aber wie du erwähnt hast, könnte eine Datei gepatcht sein, und jetzt tut sich mir die Frage auf, ob es theoretisch reichen würde die .exe XY von einem anderen Computer zu nehmen und meine unterwanderte zu überschreiben?

Ansonsten, irgendwer Ideen zur Identifikation des Rootkits, falls möglich?

Thanius · 20.10.07, 11:41

Uiuiuiui,
versuch mal mit "RootKit Hook Analyzer 3.01" (Freeware) zu scannen, ob er dir das Rootkit anzeigt -> http://www.softpedia.com/get/Securit...Analyzer.shtml

Alternativ kann ich dir auch "F-Secure BlackLight Rootkit Detection 2.2.1064 Beta"
empehlen ->
http://www.softpedia.com/get/Antivir...etection.shtml

Influent · 20.10.07, 11:41

Danke, werd ich gleich mal austesten

EDIT: Das erste Prog hat leider nichts zu Tage gefördert, find ich aber trotzdem nett

Letzteres kann ich nicht installieren, der Installer "ist keine gültige Win32 Anwendung".
Diese Fehlermeldung hat mich schon länger beschäftigt, gibt es keine Möglichkeit die Ausführung doch irgendwie zu erzwingen?

20.10.07, 13:22

Zitat:

Letzteres kann ich nicht installieren, der Installer "ist keine gültige Win32 Anwendung".

Also ich habe keine Probleme damit. Aber wenn dieses Tool die Malware entdecken könnte, haben die Entwickler der Malware/Rootkit evtl. die ausführung dieses Scanners verhindert. Wenn du dein System nicht neu aufsetzt, ist das sehr fahrlässig. Es gibt für dich keine Gaarantie jemals wieder ein sauberes System zu haben. btw: Du must davon ausgehen, dass _alles_ was du an deinem PC eingibst mitgeloggt wird.

+ Neuaufsetzten
+ Alle Passwörter ändern

Es wird dir hier (hoffentlich) jeder raten, dein System neu aufzusetzen. Was die zerkratzte CD angeht: Sofern es keine spezielle Win ver ist, kannst du einfach eine andere Install CD nehmen und dann _deine_ Serial eingeben.

Oder du lädst dir eine XP Installer CD runter,und registrierst sie mit deinem legal erworbenen Key. Das runterladen mag nich 100% legal sein, aber wayne^^

lg
IsNull

Influent · 20.10.07, 13:28

Kann ja versuchen eine andere Install CD von jemanden auszuleihen, runterladen ist auch nicht, hab keinen Brenner in Reichweite ]:

Soweit danke, aber mich würd es trotzdem interessieren ob es eine Möglichkeit gäbe diese "ungültigen Win32" Anwendungen zur Ausführung zu zwingen , und ob es reichen würde eine unterwanderte Systemdatei mit einer malwarefreien zu überschreiben um diese zu "reparieren".

Freue mich auf Antworten.

Thanius · 20.10.07, 13:36

Nun es reicht nicht wirklich sys-dateien einfach zu überschreiben, du hättest zwar die ausführungen des Virus/Trojaners unterbunden, aber ich will nicht wissen was diese Mist-Trojaner schon an daten von dir gesaugt haben.

Wie schon IsNull sehr weise sagt:

Festplatte formatieren ->
Windows neuinstallieren ->
Sicherheits-Progz installieren ->
Internet einrichten und "ALLE" Passwörter ändern.

Ansonsten kannst du dir nie sicher sein, dass der Trojaner-Terror vorbei ist.

Influent · 20.10.07, 13:41

Auf diesem Computer ist eig. nix wichtiges, nur Musik und Spiele drauf, das wichtige Zeugs hab ich im Nebenzimmer, wär mir gleich was der alles saugt solang nichts auf einmal verschwindet

Aber was mir wichtig ist, der Explorer würde aufhören andauernd zu krepieren wenn ich jetzt ein paar Sachen vom anderen Comp (Auch Windows XP SP2) auf den hier rüberkopieren würd, vorrausgesetzt das Problem liegt auch dort?
Das könnte ich ja als nächstes ausprobieren.

Thanius · 20.10.07, 13:46

Erstell einfach ein neues Benutzerkonto wenn es dir Wurscht ist das jemand möglicherweise das Passwort zu deinem E-Mail Account hat (z.B),
dann sollte das Explorer Problem auch behoben sein.

edit/

Es ist sehr wahrscheinlich das auf dem anderem PC auch irgendwas komisches rumschwirrt.

Influent · 20.10.07, 14:02

Den anderen Comp hab ich seit Längerem nicht mehr benutzt, grade hochgefahren und der hat keine Probleme mit dem Explorer.
Hab auch versucht mit einem neuen Account mich auf diesem heir einzuloggen, was das Problem leider nicht "gelöst" hat.
Auch auf dem neuen geht der Explorer nicht, der einzige Unterschied besteht darin, dass der Explorer nur für 1-2 Sekunden verschwindet bevor er wieder auftaucht.
Und dass ich wieder rausfinden müsste wie man die WindowsXP Tour zum schweigen bringt.

Die Idee war aber gut, hätte ich selbst draufkommen müssen

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Explorer aktualisiert nicht (mehr) automatisch	d0ne	Windows	2	16.09.09 15:14
windows98-explorer lädt nicht mehr	haegar	Hardware Probleme	3	04.01.05 13:55
Internet Explorer funzt nicht mehr	Annainfinty	Die Problemzone	11	18.04.04 11:58
Kann meine Startseite im Internet Explorer nicht mehr ändern	Simon1982	Windows	3	21.10.03 00:05
Mein internet Explorer geht nicht mehr!	Mano	Windows	8	11.09.03 12:20

20.10.07, 06:21	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	also erstmal haben wir hier extra einen thread für sowas, beim nächsten mal bitte diesen auch benutzen und dann zum fixen: O1 - Hosts: 209.172.59.193 www.murof2.tk O4 - HKCU\..\Run: [Aats] "C:\WINDOWS\RACLE~1\explorer.exe" --ru -vt yazb interessant finde ich, dass von der nslookup nix zu finden ist. wenn die im apppath ordner ist, dann lösche die auch (die gehört nämlich eingentlich nach system32), genauso wie die erwähnte dll. das kannst du im abgesicherten modus machen. an dieser stelle aber auch gleich wieder der bewährte hinweis: es kann dir NIEMAND garantieren, dass dein system danach wieder sauber ist. solltest du irgendwelche wichtigen dinge (z.b. onlinebanking) mit dem rechner machen, rate ich dir, den lieber neu aufzusetzen

20.10.07, 06:30	#3 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Ach bin ich doof. Ich dachte das Icon mit dem in Flammen aufgehenden Ordner hieße er wäre für eine Löschung vorgesehen, oder gesperrt. Naja, danke für den Hinweis. Was du mir geraten hast werd ich auch gleich mal tun, aber zu nslookup, ich habe die Datei selbst nicht sehen können, Nod32 meinte die wäre da drinnen, versteckt wahrscheinlich. SUPERAntiSpyware hat nslookup löschen können, der Log wurde aber nach den Scans gemacht. Scheint wohl auch nicht weggehen zu wollen. Ich werde schauen ob die Löschung im abgesicherten Modus einen Unterschied macht, danke erstmal für die Antwort EDIT: Im abgesicherten Modus bin ich die .dlls losgeworden und habe den Ordner AppPatch löschen können. Habe den Computer dann erneut im abgesicherten Modus gestartet und der Ordner war wieder da, allerdings ohne Inhalt. Konnte wieder ohne Motzen löschen, aber im normalen Modus hieße es "Das Programm AppPatch" würde von einer Person benutzt werden(/oder wäre Schreibgeschützt), obwohl es sich um einen Ordner handelt. Die Scanner haben keine "nslookup.exe" ausmachen können, und der Explorer verreckt mir immer noch. Soll der Thread jetzt geschlossen werden und ich kann den neuen HJT-Log im dafür vorgesehenen Thread posten, oder hat noch jemand eine Idee was man wegen dem Explorer tun könnte? Ich glaube man hat früher mit dem Security Task Manager sehen können, welche .dlls mit welchen Prozessen zusammenhängen bzw. diese korrupieren, aber jetzt soll das so weit ich gehört habe kostenpflichtig sein, was aber wichtiger ist, die Trialversion soll extrem eingeschränkt ein. Kennt jemand eine gute Alternative zu diesem Security Task Manager der mir auch diese .dll-Beaufsichtigung ermöglicht?

20.10.07, 10:02	#5 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Danke auf jeden Fall für die Antwort. Solidbrowser hat mir nichts gesagt, und ja, versteckte Daten werden angezeigt. Ob es Änderungen gibt werd ich gleich hinzufügen. Und nebenbei; Wenn nichts im Ordner festgestelllt werden kann, und er eine Größe von 0kb zeigt, handelt es sich dann immer um ein Rootkit, oder kann es auch eine Datei sein die mithilfe eines Rootkits verborgen wird? Bin da noch ein Welpe Und gibt es eine Möglichkeit in der Registry alles nach ähnliche wie "Rechtsklick -> Symbole ordnen nach -> Änderungsdatum" auflisten zu lassen? Gibt es vielleicht eine GUI die sowas zulässt?

20.10.07, 10:21	#7 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Ah, danke für die Info :] Neuinstallation ist für mich leider keine Möglichkeit, die WinXP CD hat am Label einen Kratzer. Autostart hab ich auch schon geschaut, nix drinne. Aber wieso geht der Explorer immer an und aus? Das bringt eigentlich niemandem einen Vorteil. Aber wie du erwähnt hast, könnte eine Datei gepatcht sein, und jetzt tut sich mir die Frage auf, ob es theoretisch reichen würde die .exe XY von einem anderen Computer zu nehmen und meine unterwanderte zu überschreiben? Ansonsten, irgendwer Ideen zur Identifikation des Rootkits, falls möglich?

20.10.07, 11:41	#8 (permalink)
Thanius Registriert seit: 02.05.06 Likes: 0	Uiuiuiui, versuch mal mit "RootKit Hook Analyzer 3.01" (Freeware) zu scannen, ob er dir das Rootkit anzeigt -> http://www.softpedia.com/get/Securit...Analyzer.shtml Alternativ kann ich dir auch "F-Secure BlackLight Rootkit Detection 2.2.1064 Beta" empehlen -> http://www.softpedia.com/get/Antivir...etection.shtml

20.10.07, 11:41	#9 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Danke, werd ich gleich mal austesten EDIT: Das erste Prog hat leider nichts zu Tage gefördert, find ich aber trotzdem nett Letzteres kann ich nicht installieren, der Installer "ist keine gültige Win32 Anwendung". Diese Fehlermeldung hat mich schon länger beschäftigt, gibt es keine Möglichkeit die Ausführung doch irgendwie zu erzwingen?

20.10.07, 13:28	#11 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Kann ja versuchen eine andere Install CD von jemanden auszuleihen, runterladen ist auch nicht, hab keinen Brenner in Reichweite ]: Soweit danke, aber mich würd es trotzdem interessieren ob es eine Möglichkeit gäbe diese "ungültigen Win32" Anwendungen zur Ausführung zu zwingen , und ob es reichen würde eine unterwanderte Systemdatei mit einer malwarefreien zu überschreiben um diese zu "reparieren". Freue mich auf Antworten.

20.10.07, 13:36	#12 (permalink)
Thanius Registriert seit: 02.05.06 Likes: 0	Nun es reicht nicht wirklich sys-dateien einfach zu überschreiben, du hättest zwar die ausführungen des Virus/Trojaners unterbunden, aber ich will nicht wissen was diese Mist-Trojaner schon an daten von dir gesaugt haben. Wie schon IsNull sehr weise sagt: Festplatte formatieren -> Windows neuinstallieren -> Sicherheits-Progz installieren -> Internet einrichten und "ALLE" Passwörter ändern. Ansonsten kannst du dir nie sicher sein, dass der Trojaner-Terror vorbei ist.

20.10.07, 13:41	#13 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Auf diesem Computer ist eig. nix wichtiges, nur Musik und Spiele drauf, das wichtige Zeugs hab ich im Nebenzimmer, wär mir gleich was der alles saugt solang nichts auf einmal verschwindet Aber was mir wichtig ist, der Explorer würde aufhören andauernd zu krepieren wenn ich jetzt ein paar Sachen vom anderen Comp (Auch Windows XP SP2) auf den hier rüberkopieren würd, vorrausgesetzt das Problem liegt auch dort? Das könnte ich ja als nächstes ausprobieren.

20.10.07, 13:46	#14 (permalink)
Thanius Registriert seit: 02.05.06 Likes: 0	Erstell einfach ein neues Benutzerkonto wenn es dir Wurscht ist das jemand möglicherweise das Passwort zu deinem E-Mail Account hat (z.B), dann sollte das Explorer Problem auch behoben sein. edit/ Es ist sehr wahrscheinlich das auf dem anderem PC auch irgendwas komisches rumschwirrt.

20.10.07, 14:02	#15 (permalink)
Influent Themenstarter Registriert seit: 20.10.07 Likes: 0	Den anderen Comp hab ich seit Längerem nicht mehr benutzt, grade hochgefahren und der hat keine Probleme mit dem Explorer. Hab auch versucht mit einem neuen Account mich auf diesem heir einzuloggen, was das Problem leider nicht "gelöst" hat. Auch auf dem neuen geht der Explorer nicht, der einzige Unterschied besteht darin, dass der Explorer nur für 1-2 Sekunden verschwindet bevor er wieder auftaucht. Und dass ich wieder rausfinden müsste wie man die WindowsXP Tour zum schweigen bringt. Die Idee war aber gut, hätte ich selbst draufkommen müssen

[HaBo]

Trojaner - Explorer will nicht mehr