Rechtsklick auf eine *.exe datei => Explorerabsturz, bitte um Hilfe

Diskutiere Rechtsklick auf eine *.exe datei => Explorerabsturz, bitte um Hilfe im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo zusammen, Erstmal vorweg: ich musste mir aus gewissen Gruenden einen Crack vom Freund holen (ich weiss. Das ist nicht gern gesehen), naja...

  1. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Hallo zusammen,

    Erstmal vorweg: ich musste mir aus gewissen Gruenden einen Crack vom Freund holen (ich weiss. Das ist nicht gern gesehen), naja und habe auch gleich meine Lektion daraus gelernt.

    ich habe folgendes Problem:

    Seit der Crack auf meiner Festplatte ist (mittlerweile wieder geloescht), kann ich zwar .exe Datein immer noch ausfuehren, doch sobald ich einen Rechtsklick mache auf eine .exe Datein, stuerzt kurze Zeit spaeter der Explorer ab. Manchmal von allein, manchmal muss ich noch uebern taskmanager sofort beenden. Bei allen anderen Dateitypen gehts nachwievor.

    Die Zeit bzw. Anzahl der Rechtsklicke ist immer unterschiedlich. Manchmal kann man auch noch kontextmenue punkte wie kopieren, ausschneiden, etc. anwaehlen, dann ist aber schluss.

    Weiss jemand weiter bzw. hatte schonmal jemand das problem? (ein paar eintraege hab ich schon bei google gefunden. Haben mir allerdings nichts gebracht).

    Also ich waere dankbar fuer jede hilfe, da ich nur sehr ungern wieder formatieren will und zumal befuerchte ich auch, dass es diesmal nicht ausreicht nur C zu formatieren, da ja auf allen Partitionen die .exe Datein dieses Problem haben.

    Gruesse
    lali
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Millennium, 07.08.2008
    Millennium

    Millennium Neuer Benutzer

    Dabei seit:
    07.08.2008
    Beiträge:
    19
    Zustimmungen:
    0
    hy
    ich hatte auch das problem
    Tu einfach mal mit deinem Antivirprogramm (oder ein anderes Vierenprogramm) die c platte überprüfen.

    Wenn nich dann weiß ich auch nich weiter!?
     
  4. #3 Leonixx, 07.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,

    lade dir Malewarebytes (link in meiner Signatur), ausführen, updaten, Komplett Scan, alles löschen was gefunden wird, Report posten.

    Danach bitte ein Hijackthis Logfile posten.
    HJT-Anleitung

    Dann sehen wir weiter.

    Gruss Leonixx
     
  5. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    So danke fuer die Antworten erst mal,

    Hier der Malware Bericht:

    Malwarebytes' Anti-Malware 1.24
    Datenbank Version: 1031
    Windows 5.1.2600 Service Pack 3

    23:46:05 07.08.2008
    mbam-log-8-7-2008 (23-46-05).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
    Durchsuchte Objekte: 265469
    Laufzeit: 1 hour(s), 8 minute(s), 14 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 7

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    D:\System Volume Information\_restore{5E73EDC8-A637-43C7-BF0F-F4D52FB8F092}\RP15\A0002171.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    D:\System Volume Information\_restore{7416817B-A2E3-47E9-AB03-77638750B547}\RP23\A0003398.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    D:\System Volume Information\_restore{C2015EB2-34DF-437E-8A6F-4E885182179E}\RP12\A0010119.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    D:\System Volume Information\_restore{C2015EB2-34DF-437E-8A6F-4E885182179E}\RP13\A0017297.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    D:\System Volume Information\_restore{FD415B25-E6D7-485B-9037-7D21DD6E6D0A}\RP15\A0001504.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    D:\WC3Banlist\HotKeyHook.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
    E:\System Volume Information\_restore{7416817B-A2E3-47E9-AB03-77638750B547}\RP21\A0002741.exe (Trojan.Agent) -> Quarantined and deleted successfully.

    ___________________________________________________________

    Und hier die Hijackthis Log-file:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:47:59, on 07.08.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Adaware\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    C:\WINDOWS\RTHDCPL.EXE
    D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    D:\DeamonTools\DAEMON Tools\daemon.exe
    D:\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    D:\Opera\opera.exe
    D:\HiJackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [avgnt] "D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [StormCodec_Helper] "D:\Storm\Storm Codec\StormSet.exe" /S /opti
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Areader\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [DAEMON Tools] "D:\DeamonTools\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Adaware\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 7377 bytes


    Danke schon mal fuers Auswerten.

    @Millennium:

    Hab mittwerlweile Antivir, Spybot, Adaware, TuneUp rueberlaufen lassen und alle bis auf Spybot haben was gefunden und konnten es auch entfernen. Das Problem besteht jedoch weiterhin. Also hoffe ich ihr koennt mir mit den Log-files helfen.

    Gruss

    lali
     
  6. #5 Freezex, 08.08.2008
    Freezex

    Freezex Erfahrener Benutzer

    Dabei seit:
    20.05.2007
    Beiträge:
    1.070
    Zustimmungen:
    0
    Folgendes fixxen:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    Sonst ist er sauber.
     
  7. #6 Leonixx, 08.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ok, lade dir Combofix, ausführen nach dieser Anleitung.

    Combofix

    Durch die Infizierung könnten auch Systemdateien verändert worden sein. Was du auch noch ausprobieren kannst, Start, Ausführen, CMD, hier eingeben
    sfc /scannow. Bitte vorher die Original Windows CD einlegen. Mit diesem Befehl werden beschädigte Systemdateien repariert.
     
  8. #7 TIPower, 08.08.2008
    TIPower

    TIPower Erfahrener Benutzer

    Dabei seit:
    26.03.2008
    Beiträge:
    2.201
    Zustimmungen:
    0
    Da ist man selber schuld wenn man sich cracks holt eine frage was hasste für ein AntiVirus.
     
  9. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Ja... ich weiss, dass ich selber schuld bin! Ich benutze Avira Antivirus Personal Edition.

    Combofix habe ich gestern schon durhclaufne lassen, hier die logfile:

    ComboFix 08-08-06.04 - Flo 2008-08-07 18:23:52.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1555 [GMT 2:00]
    ausgeführt von:: D:\Downloads\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt

    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\Cfx32.lic
    C:\WINDOWS\system32\cfx32.ocx

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
    .

    2008-08-07 18:16 . 2007-11-19 18:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
    2008-08-07 18:16 . 2008-08-07 18:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
    2008-08-07 18:16 . 2008-08-07 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
    2008-08-07 13:06 . 2008-08-07 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
    2008-08-07 13:06 . 2008-08-07 13:06 361,216 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-08-07 13:06 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-08-01 22:36 . 2008-08-01 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\fretsonfire
    2008-07-28 18:55 . 2008-08-05 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Hamachi
    2008-07-28 18:54 . 2008-07-28 18:54 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
    2008-07-19 04:18 . 2008-07-19 04:18 7,680 --ahs---- C:\WINDOWS\Thumbs.db
    2008-07-16 01:09 . 2008-07-16 01:09 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
    2008-07-08 16:27 . 2004-03-29 16:23 90,112 --a------ C:\WINDOWS\unvise32.exe

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-07 12:41 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Xfire
    2008-08-07 11:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
    2008-08-07 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-08-06 21:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-08-06 21:04 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-08-06 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
    2008-08-04 21:27 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\teamspeak2
    2008-08-02 18:17 --------- d-----w C:\Programme\Java
    2008-07-22 03:51 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
    2008-07-18 23:43 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\ICQ
    2008-07-10 17:50 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Winamp
    2008-07-02 12:38 --------- d--h--w C:\Programme\InstallShield Installation Information
    2008-06-27 16:29 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\gtk-2.0
    2008-06-21 18:41 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\InstallShield Installation Information
    2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
    2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
    2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
    2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
    2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
    2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
    2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
    2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
    2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
    2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
    2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
    2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
    2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2007-11-20 15:09 16,368 ----a-w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    .

    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DAEMON Tools"="D:\DeamonTools\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
    "SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-30 14:45 1829712]
    "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 07:52 1695232]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 11:40 270336]
    "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
    "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
    "avgnt"="D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 00:02 266497]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
    "StormCodec_Helper"="D:\Storm\Storm Codec\StormSet.exe" [2006-09-30 09:25 96984]
    "Adobe Reader Speed Launcher"="D:\Areader\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
    "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
    "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

    C:\Dokumente und Einstellungen\All Users\Startmený\Programme\Autostart\
    Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-12-25 16:31:03 528384]
    Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.XFR1"= xfcodec.dll
    "msacm.l3fhg"= mp3fhg.acm
    "msacm.divxa32"= divxa32.acm
    "VIDC.X264"= x264vfw.dll
    "VIDC.HFYU"= huffyuv.dll
    "vidc.i263"= i263_32.drv
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
    "D:\\XFire\\xfire.exe"=
    "E:\\Steam\\Steam.exe"=
    "C:\\WINDOWS\\system32\\dpvsetup.exe"=
    "E:\\Steam\\steamapps\\cheeroflo\\counter-strike source\\hl2.exe"=
    "D:\\Opera\\Opera.exe"=
    "E:\\Billigspiele\\Blobby Volley\\volley.exe"=
    "E:\\Warcraft III\\Warcraft III.exe"=
    "E:\\Steam\\steamapps\\cheeroflo\\counter-strike\\hl.exe"=
    "D:\\Xampp\\mysql\\bin\\mysqld.exe"=
    "D:\\Xampp\\apache\\bin\\apache.exe"=
    "E:\\Soldier of Fortune Payback\\sof3.exe"=
    "E:\\Soldat\\Soldat.exe"=
    "E:\\QUAKE III\\quake3.exe"=
    "E:\\UT3\\Binaries\\UT3.exe"=
    "E:\\Swat 4\\Content\\System\\Swat4.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "E:\\UT\\UnrealTournament\\System\\UnrealTournament.exe"=
    "E:\\Virtual Tennis\\Virtua Tennis\\VTENNIS\\VIRTUA_TENNIS_PC.exe"=
    "E:\\C-S 1.5\\hl.exe"=
    "E:\\C-S 2d\\cs2d\\CounterStrike2D.exe"=
    "C:\\WINDOWS\\system32\\dplaysvr.exe"=
    "D:\\QiP\\qip.exe"=
    "E:\\Call of Duty4 MW\\iw3mp.exe"=
    "E:\\Crysis\\Bin32\\Crysis.exe"=
    "E:\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
    "E:\\Hellgate London\\Launcher.exe"=
    "E:\\Warcraft III\\war3.exe"=
    "E:\\UT04\\System\\UT2004.exe"=
    "E:\\LIttle Fighters\\Lf2 Kate\\lf2.exe"=
    "E:\\LIttle Fighters\\Kate von chris mutter\\Lf2 Kate\\lf2.exe"=
    "E:\\LIttle Fighters\\Lf2 Advature\\lf2.exe"=
    "E:\\LIttle Fighters\\LF3 v2.5\\LF3ÑD¦{ªí¦-¦-+¦.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
    "D:\\ICQ6\\ICQ.exe"=
    "E:\\AgeofEmpiresII\\age2_x1\\age2_x1.exe"=
    "E:\\Vietcong\\vietcong.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6112:TCP"= 6112:TCP:Wc3
    "18768:TCP"= 18768:TCP:Opera

    R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
    S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-06-29 02:01]
    S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-07 13:06]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2649213-96be-11dc-b023-806d6172696f}]
    \Shell\AutoRun\command - F:\.\Bin\ASSETUP.exe

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Inhalt des "geplante Tasks" Ordners

    2008-08-07 C:\WINDOWS\Tasks\1-Klick-Wartung.job
    - D:\TuneUp\OneClickStarter.exe [2008-08-01 17:22]
    .
    .
    ------- Zusätzlicher Scan -------
    .
    FireFox -: Profile - C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\bfu5fcec.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
    FF -: plugin - D:\Areader\Reader\browser\nppdf32.dll
    FF -: plugin - D:\Firefox\plugins\npnul32.dll
    FF -: plugin - D:\Opera\program\plugins\npdsplay.dll
    FF -: plugin - D:\Opera\program\plugins\NPSWF32.dll
    FF -: plugin - D:\Opera\program\plugins\npwmsdrm.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\nppl3260.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\npqtplugin.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\nprpjplug.dll


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-07 18:25:18
    Windows 5.1.2600 Service Pack 3 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Einträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-08-07 18:26:16
    ComboFix-quarantined-files.txt 2008-08-07 16:26:10

    Pre-Run: 8 Verzeichnis(se), 11,591,163,904 Bytes frei
    Post-Run: 10 Verzeichnis(se), 11,685,789,696 Bytes frei

    193 --- E O F --- 2008-07-09 11:37:50

    ___________________________________________________________

    Das mit der CMD werd ich als naechstes machen, bloederweise bin ich dieses Wochenende nicht zu hause. Ich melde mich Sonntag abend sobald der fertig ist.

    @Freezex: Wie fixe ich das ? kenn mich da nicdhtso aus, ist dsa ein registry Eintrag oder so ?


    Danke bis jetzt und
    Gruss
    lali
     
  10. #9 Leonixx, 08.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,
    ich hoffe das Logfile von Combofix war nach der Desinfektion mit Spybot etc.?

    Bitte diese Datei bei Virustotal hochladen und Report posten.
    Virustotal

    C:\WINDOWS\system32\xfcodec.dll

    Eventuell musst du die versteckten Ordner sichtbar machen.
    Versteckte Ordner


    Hier hat du Spyware.Spytech.B auf dem System. Eine Anleitung zum entfernen erhälst du hier. Ist zwar auf English aber doch verständlich. Unter Punkt Note die Schritte abarbeiten.
    Anleitung Removal

    C:\WINDOWS\unvise32.exe

    Gruss Leonixx
     
  11. #10 Freezex, 08.08.2008
    Freezex

    Freezex Erfahrener Benutzer

    Dabei seit:
    20.05.2007
    Beiträge:
    1.070
    Zustimmungen:
    0
    @lali
    Du machst noch mal ein Scan mit Hijackthis, dann machst du auf der linken Seite ein Päckchen bei:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    und klickst unten auf "fix checked".
    Dann ist der Eintrag gefixxed.
     
  12. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Ok danke, habes gefixt!

    Die Datei ist hochgeladen bei Virustotal. Ich bin mir nicht sicher, willst du jetyt den link haben?

    http://www.virustotal.com/de/reanalisis.html?c8b1e6b0b728e26b143d23ea494a0bfb

    Ich blick da grad nicht so durch, was die mir sagen wollen auf der Seite.


    Aehm seh ich dsa richtig dass du meinst, dass sich in C:\WINDOWS\unvise32.exe dieses Spyware.Spytech.B befindet?
    Das Problem ist, dass ich kein Norton Antivirsu habe. Ich habe bereits im abgesicherten Modus Avira Antivir (und auch Spybot, Adaware) durchlaufen lassen, jedoch hat Antivir nichts gefunden. Also auch nicht dieses Spyware.Spytech.B. Was tu ich da jetzt?

    Und ich bin mir auch nicht ganz sicher, ob der ComboFix Log vor oder nachdem ich die Checks gemacht habe entstanden ist. Soll ich dann jetyt noch mal Spybot durchlaufen lassen und danach ein neues Log erstellen?

    gruss lali
     
  13. #12 Leonixx, 10.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Langsam, Schritt für Schritt

    hast du diese Datei hochgeladen? Laufwerk C, dann Ordner Windows, Ordner System 32 und diese Datei gesucht und hochgeladen? Danach dauert es ein wenig und du müsstest eine Auswertung bekommen. Diese hier reinstellen.
    C:\WINDOWS\system32\xfcodec.dll

    Removal Spytech bitte erst nach Schritt Nummer 4 ausführen

    4. To delete the value from the registry
     
  14. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    OH scheinbar hab ich den link falsch kopiert. Also die sagen folgendes dazu:

    Die Datei wurde bereits analysiert:
    MD5: f7fba49a3dcea15d556c6c15f8294732
    First received: -
    Datum 2008.08.10 21:27:44 (CET) [<1D]
    Ergebnisse 0/35
    Permalink: analisis/c8b1e6b0b728e26b143d23ea494a0bfb

    weitere Informationen
    File size: 42320 bytes
    MD5...: f7fba49a3dcea15d556c6c15f8294732
    SHA1..: 357b991639f30e56f184a3b5fec0c1a9a5c123b0
    SHA256: 9b52ab18cb2b18d9b44123b91647163f81c33a08983e9eb165bcf63f2dcf50ca
    SHA512: b4cfd4111ea1209479baebb312bbf6cda8fd10ae532c687032ce0d18096dff58
    6a312ce658676b1c02f1bd39cd69535606af66c0b51dedafe2e8ec22a978fa45
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100075d0
    timedatestamp.....: 0x487d2c18 (Tue Jul 15 23:00:40 2008)
    machinetype.......: 0x14c (I386)

    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x6a41 0x6c00 6.44 39a2a8fbeaf3ef89bfe03d1735366915
    .rdata 0x8000 0xaa1 0xc00 4.45 3105d1f72143fca70514e687e229e304
    .data 0x9000 0x63f4 0x200 1.15 4c081c22a223dd877a968ed8dcda112e
    .CRT 0x10000 0x14 0x200 0.06 f64e18baeca66ce0035af721123b32b5
    .rsrc 0x11000 0x380 0x400 3.99 6c483c3bef5fec8237c0ef00c39bb489
    .reloc 0x12000 0xb24 0xc00 6.51 7001129c9fcb7c9b59e03914f6b50af5

    ( 3 imports )
    > WINMM.dll: DefDriverProc
    > KERNEL32.dll: WaitForSingleObject, LoadLibraryA, QueryPerformanceFrequency, GetTickCount, QueryPerformanceCounter, OutputDebugStringA, CloseHandle, CreateEventW, CreateThread, CreateMutexW, RaiseException, ReleaseMutex, SetEvent, GetProcAddress, FreeLibrary
    > USER32.dll: wvsprintfA, MessageBoxW

    ( 2 exports )
    DriverProc, XfireCodecCompress


    so und jetyt noch mal der link
    http://www.virustotal.com/de/analisis/3597a38f2f7695bf09f4159c6c042dbe


    So und bei diesem Spyware.Spyrech.B is halt das Problem, dass ich kein Norton Antivirus habe und Avira Antivir findet das nciht im abgesicherten MOdus oder verstehe ich die Anleitung irgendwie falsch? Also ich komme gar nicht zu schritt 4. To delete....


    Gruss lali
     
  15. #14 Leonixx, 11.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hast du das Programm Babylon auf deinem Rechner? Wenn ja, dann erklärt dies, warum du diese C:\WINDOWS\unvise32.exe auf deinem System hast. Ist es nur eine Testversion, dann kannst du dies auch deinstallieren. Dann sollte diese .exe auch entfernt sein. Bei der Spywaremeldung könnte es sich um einen Fehlalarm handeln.

    Bitte nochmal neues Logfile von Combofix. Spybot kannst du auch nochmal durchlaufen lassen.

    Gruss Leonixx
     
  16. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Ok, ich habe Spybot noch mal durchlaufen lassen und einen neuen Combofix Log erstellt... allerdingst ist dieser ca. 16000 Zeichen zu lang um ihn hier gepostet zu koennen. Wie kommt das, dass der im Vergleich zum Vorgaenger so uebetrieben lang ist und wie krieg ich den hier rein?

    Und Babylon ist definitiv nicht installiert. Heisst das es handelt sich bei C:\WINDOWS\unvise32.exe doch um Spyware?

    Desweiteren kommn nach dem Combofix durchlauf immer sone Spybot Meldungen, wenn irgendwelche Aenderungen erlaubt werden oder nicht. Ich weiss nicht ob das Weiter hilft. Einmal ging es um scrnsave.exe in C:Windows\System32\sspipes.scr, und einmal war das irgendwas mit fileextension. (Hab nen screen gemacht nur klevererweise nciht gespeichert bevor ich den Combofix text kopiert habe)


    Gruss lali
     
  17. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Naja jetyt habe ich noch mal einen Combofix Durchlauf gestartet und dieses mal kamen keine Spybot Meldungen und die Logfile Groesse ist wieder wie vorher

    ComboFix 08-08-10.02 - Flo 2008-08-11 12:43:49.3 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1571 [GMT 2:00]
    ausgeführt von:: D:\Downloads\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt

    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .

    ((((((((((((((((((((((( Dateien erstellt von 2008-07-11 bis 2008-08-11 ))))))))))))))))))))))))))))))
    .

    2008-08-08 10:48 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
    2008-08-08 10:47 . 2001-08-18 04:54 525,568 --a--c--- C:\WINDOWS\system32\dllcache\tridxp.dll
    2008-08-08 10:46 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
    2008-08-08 10:45 . 2001-08-18 04:54 238,592 --a--c--- C:\WINDOWS\system32\dllcache\sisgrv.dll
    2008-08-08 10:44 . 2001-08-18 04:54 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll
    2008-08-08 10:43 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
    2008-08-08 10:42 . 2008-04-14 07:52 363,520 --a--c--- C:\WINDOWS\system32\dllcache\psisdecd.dll
    2008-08-08 10:41 . 2008-04-14 07:30 2,068,224 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
    2008-08-08 10:40 . 2001-08-18 04:22 320,384 --a--c--- C:\WINDOWS\system32\dllcache\mgaum.sys
    2008-08-08 10:39 . 2001-08-17 13:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys
    2008-08-08 10:38 . 2008-04-14 07:52 702,845 --a--c--- C:\WINDOWS\system32\dllcache\i81xdnt5.dll
    2008-08-08 10:37 . 2001-08-17 13:28 542,879 --a--c--- C:\WINDOWS\system32\dllcache\hsf_msft.sys
    2008-08-08 10:36 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
    2008-08-08 10:35 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
    2008-08-08 10:34 . 2001-08-18 04:22 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
    2008-08-08 10:33 . 2008-04-14 07:30 2,191,360 --a--c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
    2008-08-07 22:30 . 2008-08-07 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Malwarebytes
    2008-08-07 22:30 . 2008-08-07 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-08-07 22:30 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-07 22:30 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-07 19:50 . 2008-08-07 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
    2008-08-07 18:16 . 2007-11-19 18:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
    2008-08-07 18:16 . 2008-08-11 12:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
    2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
    2008-08-07 18:16 . 2008-08-07 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
    2008-08-07 13:06 . 2008-08-07 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
    2008-08-07 13:06 . 2008-08-07 13:06 361,216 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-08-07 13:06 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-08-01 22:36 . 2008-08-01 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\fretsonfire
    2008-07-28 18:55 . 2008-08-05 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Hamachi
    2008-07-28 18:54 . 2008-07-28 18:54 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
    2008-07-19 04:18 . 2008-07-19 04:18 7,680 --ahs---- C:\WINDOWS\Thumbs.db
    2008-07-16 01:09 . 2008-07-16 01:09 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-11 10:27 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Xfire
    2008-08-07 11:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
    2008-08-07 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-08-06 21:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-08-06 21:04 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-08-06 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
    2008-08-04 21:27 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\teamspeak2
    2008-08-02 18:17 --------- d-----w C:\Programme\Java
    2008-07-22 03:51 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
    2008-07-18 23:43 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\ICQ
    2008-07-10 17:50 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Winamp
    2008-07-02 12:38 --------- d--h--w C:\Programme\InstallShield Installation Information
    2008-06-27 16:29 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\gtk-2.0
    2008-06-21 18:41 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\InstallShield Installation Information
    2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
    2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
    2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
    2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
    2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
    2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
    2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2007-11-20 15:09 16,368 ----a-w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    .

    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DAEMON Tools"="D:\DeamonTools\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
    "SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-30 14:45 1829712]
    "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 07:52 1695232]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 11:40 270336]
    "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
    "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
    "avgnt"="D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 00:02 266497]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
    "StormCodec_Helper"="D:\Storm\Storm Codec\StormSet.exe" [2006-09-30 09:25 96984]
    "Adobe Reader Speed Launcher"="D:\Areader\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
    "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
    "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

    C:\Dokumente und Einstellungen\All Users\Startmen￾\Programme\Autostart\
    Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-12-25 16:31:03 528384]
    Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.XFR1"= xfcodec.dll
    "msacm.l3fhg"= mp3fhg.acm
    "msacm.divxa32"= divxa32.acm
    "VIDC.X264"= x264vfw.dll
    "VIDC.HFYU"= huffyuv.dll
    "vidc.i263"= i263_32.drv
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
    "D:\\XFire\\xfire.exe"=
    "E:\\Steam\\Steam.exe"=
    "C:\\WINDOWS\\system32\\dpvsetup.exe"=
    "E:\\Steam\\steamapps\\cheeroflo\\counter-strike source\\hl2.exe"=
    "D:\\Opera\\Opera.exe"=
    "E:\\Billigspiele\\Blobby Volley\\volley.exe"=
    "E:\\Warcraft III\\Warcraft III.exe"=
    "E:\\Steam\\steamapps\\cheeroflo\\counter-strike\\hl.exe"=
    "D:\\Xampp\\mysql\\bin\\mysqld.exe"=
    "D:\\Xampp\\apache\\bin\\apache.exe"=
    "E:\\Soldier of Fortune Payback\\sof3.exe"=
    "E:\\Soldat\\Soldat.exe"=
    "E:\\QUAKE III\\quake3.exe"=
    "E:\\UT3\\Binaries\\UT3.exe"=
    "E:\\Swat 4\\Content\\System\\Swat4.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "E:\\UT\\UnrealTournament\\System\\UnrealTournament.exe"=
    "E:\\Virtual Tennis\\Virtua Tennis\\VTENNIS\\VIRTUA_TENNIS_PC.exe"=
    "E:\\C-S 1.5\\hl.exe"=
    "E:\\C-S 2d\\cs2d\\CounterStrike2D.exe"=
    "C:\\WINDOWS\\system32\\dplaysvr.exe"=
    "D:\\QiP\\qip.exe"=
    "E:\\Call of Duty4 MW\\iw3mp.exe"=
    "E:\\Crysis\\Bin32\\Crysis.exe"=
    "E:\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
    "E:\\Hellgate London\\Launcher.exe"=
    "E:\\Warcraft III\\war3.exe"=
    "E:\\UT04\\System\\UT2004.exe"=
    "E:\\LIttle Fighters\\Lf2 Kate\\lf2.exe"=
    "E:\\LIttle Fighters\\Kate von chris mutter\\Lf2 Kate\\lf2.exe"=
    "E:\\LIttle Fighters\\Lf2 Advature\\lf2.exe"=
    "E:\\LIttle Fighters\\LF3 v2.5\\LF3ÑD¦{ªí¦-¦-+¦.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
    "D:\\ICQ6\\ICQ.exe"=
    "E:\\AgeofEmpiresII\\age2_x1\\age2_x1.exe"=
    "E:\\Vietcong\\vietcong.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6112:TCP"= 6112:TCP:Wc3
    "18768:TCP"= 18768:TCP:Opera

    R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
    S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-06-29 02:01]
    S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-07 13:06]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2649213-96be-11dc-b023-806d6172696f}]
    \Shell\AutoRun\command - F:\.\Bin\ASSETUP.exe
    .
    Inhalt des "geplante Tasks" Ordners

    2008-08-11 C:\WINDOWS\Tasks\1-Klick-Wartung.job
    - D:\TuneUp\OneClickStarter.exe [2008-08-01 17:22]
    .
    .
    ------- Zusätzlicher Scan -------
    .
    FireFox -: Profile - C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\bfu5fcec.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
    FF -: plugin - D:\Areader\Reader\browser\nppdf32.dll
    FF -: plugin - D:\Firefox\plugins\npnul32.dll
    FF -: plugin - D:\Opera\program\plugins\npdsplay.dll
    FF -: plugin - D:\Opera\program\plugins\NPSWF32.dll
    FF -: plugin - D:\Opera\program\plugins\npwmsdrm.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\nppl3260.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\npqtplugin.dll
    FF -: plugin - D:\Storm\Storm Codec\Plugins\nprpjplug.dll


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-11 12:44:34
    Windows 5.1.2600 Service Pack 3 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Einträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-08-11 12:45:12
    ComboFix-quarantined-files.txt 2008-08-11 10:45:10
    ComboFix2.txt 2008-08-07 16:26:17

    Pre-Run: 8 Verzeichnis(se), 11,199,197,184 Bytes frei
    Post-Run: 9 Verzeichnis(se), 11,184,771,072 Bytes frei

    200 --- E O F --- 2008-07-09 11:37:50


    ____________________________________________________________

    Wobei wahrscheinlich in dem anderen, zu grossen Log file die interessanten Sachen drin stehen koennten vielleicht.

    Gruss lali
     
  18. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Hey ho.. hab das Problem geloest!

    Hab noch mal intensiv gegoogelt und die Loesung dann gefunden.
    Fuer alle die dsa Problem ebenfalls haben:

    Ich musste die registry aufrufen (start -> ausfuehren -> "regedit.exe"),
    Dann bei HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers
    den gesamten Punkt ContextMenuHandlers loeschen, nach dem man aber bessor zuvor rechtsklick auf shellex gemacht und das exportiert hat (falls es nach dem loeschen nicht laufen sollte einfach doppelklick auf das exportiert machen). Naja dann neustart und denn liefs!

    danke an alle, die mir hier geholfen haben ;)

    Trotzdem wuerd mich interessieren, wie sowas verursacht werden kann? Ist das vielleicht doch noch irgendwelche boesartige software auf meinem Rechner? Ich waer euch dankbar, wenn ihr noch nen Blick in den Combofix log werfen koenntet, acuh wenn das hauptproblem geloest ist.

    gruss
    lali
     
  19. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  20. #18 Leonixx, 12.08.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,

    lasse bitte diese Datei bei Virustotal auswerten. Bin mir nicht ganz sicher, ob diese clean ist.

    C:\WINDOWS\system32\xactengine3_1.dll

    Ansonsten sehe ich nichts auffälliges mehr.

    Backdoor-Trojaner verändern Systemdateien und nisten sich in die Registry ein. Die Symptome die dein System hatte, sind auf den Befall rückzuführen.

    Gruss Leonixx
     
  21. lali

    lali Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    70
    Zustimmungen:
    0
    Ok danke leonixx dann weiss ich bescheid.

    Hier die Auswertung: http://www.virustotal.com/de/analisis/469907a7a8c13cb28f8988e8093b2fe4

    Der Rechner laueft auch wieder recht gut habe ich das Gefuehl (Ausser so Kleinikeiten, dass z.B. der AUtostart vom Laufwerk nicht mehr geht oder in der Taskleiste nichts mehr aufpopt wenn neue Hardware gefunden wurde, aber damit kann ich leben)

    Gruss lali
     
Thema: Rechtsklick auf eine *.exe datei => Explorerabsturz, bitte um Hilfe
Besucher kamen mit folgenden Suchen
  1. sisgrv treiber stürzt ab internet explorer 8

    ,
  2. netgroup paket filter driver

    ,
  3. setpoint 6.51 absturz

    ,
  4. a0002171.exe
Die Seite wird geladen...

Rechtsklick auf eine *.exe datei => Explorerabsturz, bitte um Hilfe - Ähnliche Themen

  1. Hilfe für das Elektronikgeschäft

    Hilfe für das Elektronikgeschäft: Hallo Zusammen, ich würde mich gerne ein wenig über SEO informieren.. das was mir die suchmaschine bis jetzt ausgespucht hat war mir viel zu...
  2. Desktop Dateien unter Parallels verschwunden

    Desktop Dateien unter Parallels verschwunden: Hallo zusammen, auf meinem Mac läuft Windows mit Parallels (aktuell Version 12). Vor ein paar Wochen habe ich mein Laptop mit HDMI mit meinem...
  3. WINDOWS 8.1 und Plitzi werden keine Freunde :/ HILFE

    WINDOWS 8.1 und Plitzi werden keine Freunde :/ HILFE: Hallo liebe Leute, Ich habe seit ein paar Tagen ein Acer Aspire E 17 und habe Windows 8.1 installiert. Seitdem kann ich meinen Laptop nicht mehr...
  4. Gamer PC Zusammenstellung. Hilfe und Rat !??!?!

    Gamer PC Zusammenstellung. Hilfe und Rat !??!?!: Guten Tag Leute, ich bräuchte mal eure Hilfe und zwar habe ich mir einen Rechner Zusammengestellt und wollte mal eure meinung höhren. Habe mal...
  5. Windows 7 verschiebt keine Dateien mit chinesischen Schriftzeichen zwischen Laufwerken

    Windows 7 verschiebt keine Dateien mit chinesischen Schriftzeichen zwischen Laufwerken: Hallo, ich habe ein paar Dateien, die im Titel chinesische Schriftzeichen haben, und ich wollte sie auf einen NAS-Ordner schieben. Ich bekomme...