Hallo,

ich bin neu hier, habe aber schon oft nach Ratschlägen im Forum geschaut und auch oft Lösungen gefunden. Dafür leider noch nicht.

Seit etwa 2 Tagen startet meine explorer.exe nach Hochfahren immer wieder neu. So ist also ein normales Arbeiten nicht mehr möglich. Sogar im abgesicherten Modus passiert das. Eine Systemwiederherstellung vor diesem Zeitpunkt ist nicht möglich.

Meiner Meinung nach liegt das an einer Datei Namens "appdrvrem01.exe". Diese habe ich zwar aus dem System32-Ordner gelöscht, aber in der Reg ist sie scheinbar noch und ich weiß nicht, wie ich sie dort weg bekomme.

Aber hier trotzdem mein Logfile: vielleicht findet ihr ja was anderes.

Danke schonmal im Voraus!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:31, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\devolo\wlansetup\wlanwatchdog.exe
C:\Programme\devolo\wlansetup\wpaspl\wpasvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - h**p://www.king.com/ctl/kingcomie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224352007593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220289432263
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - h**p://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - h**p://driveragent.com/files/driveragent.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} - h**p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: devolo WLAN Watchdog (WLANWATCHDOG) - devolo AG - C:\Programme\devolo\wlansetup\wlanwatchdog.exe
O23 - Service: wpa_supplicant service (WPASVC) - Unknown owner - C:\Programme\devolo\wlansetup\wpaspl\wpasvc.exe

--
End of file - 6694 bytes

Hallo,

kannst du bitte ein Logfile vom aktuellen HijackThis erstellen und es auch bitte in einen eigenen Ordner (C:\Programme\Hijackthis) speichern und von dort starten (evtl. davor noch umbenennen, zB in askdnmcvöla.exe)?

Danke

Habe das neue Logfile oben einkopiert. Kann die .exe leider nicht in Programme speichern, weil mein explorer abschmiert und das Fenster dadurch zugeht.

Das Logfile sieht in Ordnung aus.

Arbeite bitte noch zu Analysenzwecken diese beiden Tools durch:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

1. 
2. 

• Kopiere den Text, der im Kommandozeilenfenster steht.
• Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

IceSword:

Code: Alles auswählenAufklappen

ATTFilter

IceSword FileReg plugin [version 1.20]

Find out 1 disk.
>mount c 0
Find some error, maybe it is inconsistent between memory and volume. Go on(y/n)?

n
Cannot mount the partition.
Please flush the disk and try again.
>search
Must mount one partition first.
>end
Unrecognized command.
>mount c 0
Mount OK.
Volume serial number: CCFA0B6E
Volume path name: C:
>search
Please wait...
Hidden file: \Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\
Firefox\Profiles\q3fg0gda.default\cookies.sqlite-journal
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\01\11-{4CF96C95-6BC9-
A7B7-E40E-40B2E728FEF8}-v1-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v11-Downloaded
.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\18\18-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v18-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v18-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\19\30-{98C38B7D-B4FB-
4D39-B5B4-6980C4E9E9BB}-v19-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v30-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\19\31-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v19-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v31-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\20\32-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v20-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v32-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\21\33-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v21-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v33-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\22\34-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v22-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v34-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\23\35-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v23-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v35-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\24\36-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v24-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v36-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\25\37-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v25-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v37-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\26\38-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v26-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v38-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\27\39-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v27-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v39-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\28\40-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v28-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v40-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\29\41-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v29-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v41-Downloade
d.frx
Hidden file: \System Volume Information\MountPointManagerRemoteDatabase
Hidden file: \System Volume Information\tracking.log
Done.
>
         

Das Log sieht schonmal Ok aus.

Geh mal bitte Start => Ausführen => regedit (eingeben und Enter drücken)

Nebenbei versuch bitte, den Taskmanager zu öffnen.

Das geht beides. Das mit dem Taskmanager habe ich selbst bemerkt und getestet. Das läuft. Und mit regedit geht klar. Ich hatte die Datei nicht mehr und hab sie vorher von der Win CD kopiert. Aber statt in den windows-ordner hab ich sie in den system32-ordner kopiert. bzw in beide. und die im system32 hat das programm scheinbar gelöscht. aber die richtige ist drin.