Keine ahnung was ich noch machen soll
 

Zusammenfassung: explorer.exe prozess stürzt bei jedem Systemstart (immer wieder) ab. Einige Viren gefunden und entfernt, fehler bleibt trotzdem.


Bitte hilfe


Hallo, ich bin total verzeifelt.
Habe den Laptop eines Verwanten bei mir (CD Romlaufwerk defekt, Vertreter mit wichtigen Daten am Laptop, Backup was ist das...)

Als erst hatte ich folgendes Problem. Der Explorer.exe - Prozess erzeugte einen Fehler und stürzte ab (sowohl Normal als auch abgesicherter Modus). Dann Bin ich über den Abgesicherten Modus mit Eingabeaufforderung gegangen und hab den Sophos Commandozeilenscanner (sav32cli mit neuen IDES) drüber laufen lassen, er hat auch 2 Viren gefunden.

Hat aber noch nichts geholfen. Dann hab ich die Platte mal ausgebaut und in nen alten Rechner mit nem aktuellen Sophos Antivirus gesteckt, hier auch nochmal 2 Trojaner.

Anschließend hab ich die aktuelle Version von F-Prot drauf gezogen, die Platte wieder eingebaut und den F-Prot nochmal durchlaufen lassen. Auch dieser hat noch was gefunden. Jetzt kann ich auch unter dem abgesicherten Modus starten, ohne das der explorer abstürzt, wenn ich normal starten will hab ich aber immer noch den alten fehler.

Ich hab dann noch den neusten Antivir installiert (der hat noch nen Dialer gefunden) und verdächtige Dateien und Registrieeinträge gelöscht, aber der fehler tritt immer noch auf.

Ich weiß jetzt nicht mehr weiter und hoffe ihr könnt mir helfen. Will das Gerät nicht formatieren, zwecks den daten die drauf sind, weiß aber nicht mehr weiter.

Mir ist noch aufgefallen, dass er beim neustarten irgend welche cookies von Pornoseiten erstellt (ich hab vorher alle cookies gelöscht, sind also definitiv neu!)

was kann ich noch machen?

Ach ja: System ist Win2000 vor Servicepack 1 mit Hotfix(Pre-Sp1 - Q252465)
Internet Explorer 6 mit SP1
Kein Outlook, Office in verschiedenen Versionen (97,XP,2000)
Es ist ne Java 2 Runtime installiert
Die Viren hab ich dummer weise nicht notiert


Nenn hijackRhis - logfile hab ich auch mal gemacht (vom abgesicherten Modus), hab aber keine Ahnung ob und was man damit anfangen kann:

Logfile of HijackThis v1.99.1
Scan saved at 00:33:09, on 05.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.Exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/notebooks
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp40BC.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - Global Startup: Configuration & Monitor Utility.lnk = C:\Programme\Wireless LAN Card\____WlanMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab
O20 - Winlogon Notify: style2 - C:\WINNT\q344325_disk.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - Unknown owner - C:\Programme\ewido\security suite\ewidoctrl.exe (file missing)
O23 - Service: ewido security suite guard - Unknown owner - C:\Programme\ewido\security suite\ewidoguard.exe (file missing)
O23 - Service: HP Configuration Service (HPConfig) - Unknown owner - C:\WINNT\System32\HPConfig.exe (file missing)
O23 - Service: InterBaseGuardian - Unknown owner - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (file missing)
O23 - Service: InterBaseServer - Unknown owner - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (file missing)
O23 - Service: Remote-Registrierungsdienst (RemoteRegistry) - Unknown owner - C:\WINNT\system32\regsvc.exe (file missing)
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINNT\system32\spoolsv.exe (file missing)

Vielleicht ist ein Neuaufsetzen des Systems doch der einfachere Weg?

Hallo darkside

die Eiträge im Logfile deueten auf Smitfraud hin arbeite das hier durch und melde dich mit einem neuen HJT
Wahrscheinlich hat ja Big_Surver recht der schnellere Weg ist es auf jeden Fall

http://www.trojaner-board.de/showthread.php?t=17863

Hallo, der Hinweis sieht gut aus, ich hab jetzt aber den Laptop formatiert. Glaub net das damit dann wirklich alles sauber gewesen wäre und bevor dann in 2 Wochen der nächste schwere Virenbefall ansteht....

Danke nochmal für den Tip, ich find das Forum hier wirklich super. Wie man was aus dem logfile bekommt kann ich mir aber immer noch nicht vorstellen!

dann lese mal die
HijackThis-Anleitung

@ Gigamail: Danke für den Tip/Link hab mir das ganze mal durchgelesen, damit ich nicht dum sterb! Schön das es dieses Forum gibt.