Hallo an Euch alle und speziell Haui und MightyMarc, die bisher super geholfen haben.

Nachdem mein Desktop und meine Taskleiste verschwunden sind und 1000 Versuche diese wieder herzustellen nichts brachten, landete ich hier und sehe mich tatsächlich in besten, fachlichen Händen!

Nach weiteren Fehlversuchen konnte Escan nun endlich durchlaufen und das hier kam dabei raus.

Ich hoffe, Ihr könnt mir sagen, was nun zu tun ist?
Folgendes noch dazu: Da ich SP2 erst seit kürzerem nutze, ist es ziemlich warscheinlich, dass einiger Krams schon länger auf dem Rechner haust.
Ich hoffe inständig um eine Neuinstallation herumzukommen und würde erst einmal Versuchen, durch entfernen meinen Desktop, bzw. Rechner wieder flott zu kriegen.

Ich bin mir nicht ganz sicher, was ich nun alles aus dem Logfile posten soll, fange aber mal vorsichtig mit diesen Auszügen hier an:

Mon Feb 27 20:44:35 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Feb 27 20:44:35 2006 => Loading Spyware Signatures from new External Database (Size: 152733).
Mon Feb 27 20:44:35 2006 => Indexed Spyware Databases Successfully Created...

Mon Feb 27 20:44:37 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!!
Mon Feb 27 20:45:28 2006 => Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.

Mon Feb 27 20:45:29 2006 => Offending file found: C:\WINDOWS\system32\redirect.dll
Mon Feb 27 20:45:29 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken.

Mon Feb 27 20:45:29 2006 => Offending Folder found: C:\Programme\whinstall
Mon Feb 27 20:45:29 2006 => Object "webhancer Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Feb 27 20:45:30 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark04\readme.url
Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.

Mon Feb 27 20:45:30 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark04\readme.url
Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.

Mon Feb 27 20:45:30 2006 => Offending file found: C:\WINDOWS\start.exe
Mon Feb 27 20:45:30 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken.

Mon Feb 27 20:45:29 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken.
Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.
Mon Feb 27 20:45:30 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken.

Mon Feb 27 21:29:26 2006 => Total Objects Scanned: 106551
Mon Feb 27 21:29:26 2006 => Total Critical Objects: 7
Mon Feb 27 21:29:26 2006 => Total Disinfected Objects: 0
Mon Feb 27 21:29:26 2006 => Total Objects Renamed: 0
Mon Feb 27 21:29:26 2006 => Total Deleted Objects: 0
Mon Feb 27 21:29:26 2006 => Total Errors: 6
Mon Feb 27 21:29:26 2006 => Time Elapsed: 00:45:48
Mon Feb 27 21:29:26 2006 => Virus Database Date: 2/25/2006
Mon Feb 27 21:29:26 2006 => Virus Database Count: 174644

Mon Feb 27 21:29:26 2006 => Scan Completed.


Was benötigt ihr noch?
(Habt Nachsicht mit mir )

Gruß Imp

Hallo Impossible-sr,

lösche folgende Dateien:
C:\WINDOWS\start.exe
C:\WINDOWS\system32\redirect.dll
C:\Programme\whinstall <-- Ordner

darus

Hallo dartus.

Ok, mache ich.

Wenn ich das richtig sehe, muss das ohne Systemwiederherstellung passieren?
Kannst du mir sagen, wie ich die abschalte, wenn ich nur den Taskmanager habe??

Das ganze dann noch im abgesicherten Modus durchführen?

Gruß Imp

Zitat:

Zitat von Impossible-sr

Kannst du mir sagen, wie ich die abschalte, wenn ich nur den Taskmanager habe??

3 Möglichkeiten. Die erste ist dauerhaft (Du kannst den Dienst dann nach getaner Arbeit wieder aktivieren), die 2. Möglichkeit hält nur bis zum nächsten Neustart (birgt also die Gefahr, entweder jedes mal das ganze zu wiederholen oder es halt doch zu vergessen). Die dritte, wenn sie denn funktioniert ist auch dauerhafter Natur (vllt zuerst die dritte Variante versuchen. Ist mir erst während dem Tippen eingefallen...):

1. Versuche es mal über die DOS-Box. Starte hierzu den Task "cmd" (ohne ""). Sollte das gehen, Glück gehabt. Wenn nicht, musst Du versuchen über "neuer Task" eine leicht kryptisch anmutende Befehlszeile in das kleine Fensterchen einzutippen. Also sowohl für die DOS-Box als auch für "neuer Task" (falls sich die DOS-Box nicht öffnen lassen sollte) gilt:

reg add HKLM\SYSTEM\CurrentControlSet\Services\sr /v Start /t REG_DWORD /d 4 /f

Danach neustarten. Ob das ganze gefunzt hat, kannst Du wie folgt testen.

Neuer Task cmd

net start Systemwiederherstellungsdienst

Kommt da eine Fehlermeldung ist alles bestens und der Dienst bis auf weiteres deaktivert.

2. Neuer Task cmd. Dann:

net stop Systemwiederherstellungdienst

Alternativ direkt als "neuer Task versuchen".

3. Neuer Task services.msc

Suche den Dienst "Systemwiederherstellungsdienst", rechter Mausklick, Eigenschaften
Als erstes den Dienst stoppen und dann den Starttyp auf deaktiviert setzen.

Und ja, die Dateien am besten im abgesicherten Modus löschen (sonst droht unter Umständen das Sysiphus-Syndrom).

Gruß

Marc

Edit: Es gibt sicherlich noch andere Möglichkeiten den Dienst zu beenden, nur leider fallen mir grad keine praktiablen ein.

So!

Habe die von dartus angegebenen Dateien gelöscht und einen neuen Escan durchgeführt.

win32.passma Virus
Dynamic Desktop Media Spyware/Adware
Midaddle

Sind noch da!

Wie krieg ich die weg?
Mein Desktop ist nach wie vor leer. Leider!

Bin für alle Tips dankbar.

Hier noch ein Auszug aus dem neuen Log:

Tue Feb 28 21:02:44 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Feb 28 21:02:44 2006 => Loading Spyware Signatures from new External Database (Size: 152733).
Tue Feb 28 21:02:44 2006 => Indexed Spyware Databases Successfully Created...

Tue Feb 28 21:02:46 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!!
Tue Feb 28 21:14:10 2006 => Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.

Tue Feb 28 21:14:12 2006 => Offending file found: C:\WINDOWS\system32\redirect.dll
Tue Feb 28 21:14:12 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken.

Tue Feb 28 21:14:17 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark04\readme.url
Tue Feb 28 21:14:17 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.

Tue Feb 28 21:14:18 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark04\readme.url
Tue Feb 28 21:14:18 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken.

Sehe gerade, dieses redirect.dll scheint noch immer vorhanden zu sein?
Hatte es im abgesicherten Modus ohne Systemwiederherstellung in der Reg gelöscht.
Dachte ich zumindest.

Need Help please.

Grüße Imp

Versuche mal von der Wiederherstellungskonsole aus, die Datei zu löschen. Dort gibst Du folgendes ein:

del C:\Windows\system32\redirect.dll

Wie Du in die Konsole kommst, wird hier beschrieben. Du wirst das Passwort für den User Administrator benötigen (und eine Windows XP CD). Falls kein Passwort vergeben wurde, bei der Abfrage einfach ENTER drücken.

http://support.microsoft.com/?scid=k...24120121120120

OK, werd ich versuchen.
Und was ist mit dem Rest?

Gruß Imp

Brauche weiterhin eure Hilfe.

Die redirect.dll scheint weg zu sein.
Mein Desktop/Taskleiste allerdings auch noch immer.

Scheint noch an diesem dynamic desktop media zu liegen?
Wie kann ich das lokalisieren und entfernen?

Und wie ist die Meldung cws.smartsearch Browser Hijacker einzustufen???

Braucht ihr evtl. doch das komplette Logfile?

Gruß und Dank Imp

Mal schauen, ob von dem dynamic desktop media noch etwas übrig ist.

1. Neuer Task: cmd
2. dort: cd %windir%\system32
3. dort: dir ddm* berichte, ob Du folgende Dateien findest: ddmp.dll, ddm_d.exe
4. dort: dir sysu* berichte, ob Du folgende Datei findest: sysu.exe
5. dort: dir redirect* berichte, ob Du dir redirect.dll noch finden kannst

1. Neuer Task: regedit
2. Manövriere Dich zu folgender Stelle: HKEY_LOCAL_MACHINE\SOFTWARE und berichte ob Du links unterhalb von SOFTWARE einen Eintrag "ddm" finden kannst.


So, alle bestätigten Funde der angesprochenen Dateien, in der Wiederherstellungskonsole löschen. Beispiel:

del C:\Windows\system32\ddmp.dll

Normal booten und nachschauen, ob diese Dateien tatsächlich weg sind (Methode siehe oben).

Und wieder bin ich etwas weiter.
Habe die Tips von MightyMarc durchgeführt und alles entfernt.

Habe nun auch diesen Time Zones Virus entfernt.
der Rest ist auch gelöscht und ein erneuter Escan hat nun nichts mehr ergeben.

Trotzdem ist mein Desktop leer! Noch immer!

Was kann ich denn nun noch tun?
Wieder dll's kopieren von der CD ins Windows System?

Die Lösung scheint ja nun hoffentlich in greifbare Nähe zu kommen.
Langsam bin ich doch soweit aufzugeben, obwohl ich das nicht wollte.

Also mal wieder die Bitte an die Spezialisten:
Was kann ich nun noch tun, um meinen Desktop wieder zu bekommen?

(Neuer Task: Explorer.exe läuft für etwa 2 sek.)

Gruß Imp

Niemand mehr eine Idee?

Gruß Imp

Zitat:

Zitat von Impossible-sr

Niemand mehr eine Idee?

Kommt ganz darauf an....
Du hast dein Problem leider über zig Threads verteilt und die will ich ungern alle durcharbeiten

Der schnellste Weg wäre sicherlich dieser.

Seit wann tritt das Problem genau auf?
Tritt das Problem auch im abgesicherten Modus auf?
Hilft evtl. die Option "letzte als funktionierend bekannte Konfiguration"?
Was ist mit einer Reparaturinstallation?
Was sagt die Ereignisanzeige (eventvwr.exe)?

Hallo Haui.

Also gepostete Threads gibt es nur 2. Und den anderen hab ich ja auf dein Anraten geschlossen!

Das Problem besteht im abgesicherten Modus genauso.
Systemwiederherstellung ist nicht möglich und letzte als funktionierend bekannte Konfig tut auch nicht. Das Problem bleibt.

An eine Reparatur Installation dachte ich auch, aber da tritt das Phänomen auf, dass die Fehlermeldung kommt:
Die Installierte Windowsversion ist neuer, als die im CD Laufwerk.
Und dann geht nur noch abbrechen, sonst nix weiter!
Dabei ist es genau die Version, die installiert ist.
Zumindest bis auf durchgeführte Updates.
Vor kurzem erst installierte ich SP2. Aber auch das liefen wochenlang wunderbar.
Irgendwann trat der Fehler auf und mein Desktop war leer, die Taskleiste weg!

Kann diese Fehlermeldung bei der Rep-Installation mit dem SP2 zusammen hängen?
Wollte SP2 eigentlich als nächstes mal deinstallen.

Aber vielleicht hast du noch andere Ideen?

Gruß Imp

Zitat:

Zitat von Impossible-sr

Aber vielleicht hast du noch andere Ideen?

Eine hattest Du wohl übersehen:

Neuer Task: eventvwr.msc (oder eventvwr.exe)

Links dann System anwählen und mal berichten, ob und wenn ja, welche Fehlermeldungen (rotes Kreuz) für die explorer.exe gemeldet werden. Versuche den Inhalt möglichst genau wieder zu geben. Achte dabei bitte darauf, dass Du Fehlermeldung ins Auge fasst, die zeitlich mit dem Bootvorgang korrelieren.

So, hat leider etwas gedauert, aber hier die Daten aus dem Ereignisprotokoll:

Dienst "Aha154x" wurde nicht gestartet.
Angegebene datei nicht findbar.

dasselbe mit: "aic78u2"; "aic78xx"; "ini910u".

Weiterhin die Fehlermeldung: Der Computerbrowser ist vom Dienst Server abhängig. Dieser wurde nicht gestartet. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Diese Fehler treten immer wieder "on Block" auf.

Vielleicht liegt da das Problem?

Ich habe diese Dateien auf der Windows CD, weiß aber nicht, wo ich sie hinkopieren muss.

Könnt ihr helfen?
Danke

Gruß Imp