Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hilfe schon 2 Pcs defekt explorer.exe (https://www.trojaner-board.de/37609-hilfe-schon-2-pcs-defekt-explorer-exe.html)

pari86 02.04.2007 17:28
hilfe schon 2 Pcs defekt explorer.exe
 
hab vor 5 tagen ne heruntergeladene self extraction datei geöffnet und es passierte nicht mein laptop funktioniert seit dem nicht mehr, dh er startet windows nicht mehr! hab jetzt bei einem stabileren PC das gleiche versucht zu installieren. nun jetzt mein problem ich hab zwei pcs die nicht mehr richtig funktionieren! der eine pc bringt mir bei jeden neustart eine fehlermeldung! das die explorer.exe nicht richtig funktioniert. und irgendwie startet er in einem cmd.exe fenster die agsystem2.exe datei! was mach ich jetzt
bitte helft mir!


Logfile of HijackThis v1.99.1
Scan saved at 18:25:53, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\RFA Platinum\rfagent.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\PCWELT\0612\BartPe\pebuilder.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [rfagent] "C:\Programme\RFA Platinum\rfagent.exe"
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [winpol] C:\WINDOWS\system32\winpol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Microsoft Security Center - Unknown owner - C:\WINDOWS\system32\winpol.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Franz1968 02.04.2007 18:04
Hallo.
Zitat:
Zitat von pari86 (Beitrag 260937)
und es passierte nicht
Offenbar ja doch.
Zitat:
hab jetzt bei einem stabileren PC das gleiche versucht zu installieren.
Oh. Das finde ich ... erstaunlich.
Geh zu Virustotal. Gib in das Eingabefeld rechts oben auf der Seite den folgenden Pfad ein:
"C:\WINDOWS\system32\winpol.exe" (ohne die Anführungszeichen).
Poste danach bitte hier das komplette Ergebnis, auch wenn nichts gefunden wurde.

pari86 02.04.2007 18:05
hey ihr lasst mich bitte nicht im stich!!
bin auch bloß das opfer eines hinterhältigen zerstörungsangriffes von nem hacker!!

pari86 02.04.2007 18:22
was heßt das jetzt?


STATUS: FINISHEDComplete scanning result of "winpol.exe", received in VirusTotal at 04.02.2007, 19:08:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.3.0 04.02.2007 no virus found
AntiVir 7.3.1.47 04.02.2007 TR/Crypt.XPACK.Gen
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 04.02.2007 no virus found
AVG 7.5.0.447 04.01.2007 no virus found
BitDefender 7.2 04.02.2007 no virus found
CAT-QuickHeal 9.00 04.02.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.02.2007 no virus found
DrWeb 4.33 04.02.2007 no virus found
eSafe 7.0.15.0 04.02.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3535 04.02.2007 no virus found
Ewido 4.0 04.02.2007 no virus found
FileAdvisor 1 04.02.2007 no virus found
Fortinet 2.85.0.0 04.02.2007 suspicious
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.02.2007 no virus found
Ikarus T3.1.1.3 04.02.2007 no virus found
Kaspersky 4.0.2.24 04.02.2007 no virus found
McAfee 4998 04.02.2007 no virus found
Microsoft 1.2306 04.02.2007 no virus found
NOD32v2 2163 04.02.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 04.02.2007 no virus found
Panda 9.0.0.4 04.02.2007 Suspicious file
Prevx1 V2 04.02.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious
Symantec 10 04.02.2007 no virus found
TheHacker 6.1.6.084 04.02.2007 no virus found
UNA 1.83 03.16.2007 Win32.virus
VBA32 3.11.3 04.01.2007 no virus found
VirusBuster 4.3.7:9 04.02.2007 no virus found
Webwasher-Gateway 6.0.1 04.02.2007 Trojan.Crypt.XPACK.Gen


Aditional Information
File size: 64243 bytes
MD5: cbc87e520e364420ab1be230c9423d18
SHA1: 7946e64813a93595bed617391798e70c7bc669f5
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Franz1968 02.04.2007 18:29
Das heißt, dass es sich evtl. um eine neue, bisher unbekannte Schadsoftware handelt. Außerdem habe ich was überlesen:
Zitat:
und irgendwie startet er in einem cmd.exe fenster die agsystem2.exe datei!
Kannst du diese Datei auf deinem PC finden? Evtl. nachdem du mit Hilfe von Rene-gads Anleitung versteckte Dateien sichtbar gemacht hast?
Wenn ja, prüfe auch sie bei Virustotal.
Zitat:
der eine pc bringt mir bei jeden neustart eine fehlermeldung! das die explorer.exe nicht richtig funktioniert.
Wie lautet die Fehlermeldung genau?

pari86 02.04.2007 18:36
schick sie gleich mal zu virustotal
das mit der fehlermeldung is ganz komisch! weil man für normal nen fehlercode erhält aber bei diesem läuft das so ab....
also sobal der desktop zu sehen ist steht da explorer.exe verweißt auf fehler und wird geschlossen! neben bei kommt der cmd bildschirm in dem agsystem2.exe gestartet wird und wenn alles geschlossen ist kommt zum krönenden abschluss memory acleration error!
also ich weiß nicht mehr was ich machen soll!

pari86 02.04.2007 18:39
also find die datei nur mit regsearch in einer registry

pari86 02.04.2007 18:44
diese datei gibt es noch!!

C:\WINDOWS\Prefetch\Neuer Ordner\AGSYSTEM2.EXE-24868735.pf

Franz1968 02.04.2007 18:51
Zitat:
schick sie gleich mal zu virustotal
Zitat:
also find die datei nur mit regsearch in einer registry
Hast du sie jetzt gefunden oder nicht?:confused:
Übrigens kannst du deine Beiträge editieren, wenn du sie ergänzen willst.

pari86 02.04.2007 18:58
hab nichts gefunden agsystem2 gibt es nicht auf meinen pc und die andrer datei ist 0 bytes groß!! :( wie könnt ich den virus beseitigen?

Franz1968 02.04.2007 19:00
Zitat:
Zitat von pari86 (Beitrag 260950)
also find die datei nur mit regsearch in einer registry
Und was genau hast du in der Registry gefunden?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131