ComputerBase Menü
Aktuelles

Explorer.exe austauschen!?

N

nitro28

Cadet 1st Year
Registriert
Aug. 2009
Beiträge
15
Hallo,

da seit ein paar Tagen Firefox ständig abstürzt und Opera sowie Google Chrome nicht geöffnet werden, sondern sich stattdessen der I-Net explorer öffnen und den Pfad der jeweiligen exe Datei mit ICQ Search sucht hab ich mal einen Virenscan mit Sophos gemacht.

Dieser ergab, dass die Datei explorer.exe mit dem Virus "troj/TDSSMEM-C" infiziert ist. Allerdings kann Sophos den Virus/Trojaner nicht bereinigen.

Kann ich also selbst hingehn und (z.B. über Knoppix) die infizierte Datei austauschen?
Dabei wär die Frage ob ich mir einfach eine beliebige explorer.exe Datei von einem anderen
Computer runterziehen kann? Denn auf der Windows Installations-CD finde ich diese Datei nicht (nur explorer.ex_).

Momentan nutze ich XP Home. Denkt ihr dass ich vllt. auch durch ein Upgrade auf XP Professional den Fehler beheben kann oder werd ich danach immer noch Probleme haben (sprich: wird dadurch die infizierte Datei ausgetauscht oder bleibt alles beim Alten).

Ich hoffe mir kann jemand helfen,

vielen Dank schonmal!

Gruss
Philipp
 
Die explorer.ex_ ist die Datei, einfach in explorer.exe umbenennen und ersetzen.

Viele Grüße
 
Habe hier was in einen andren Forum gefunden: (http://www.winfuture-forum.de/lofiversion/index.php?t5673.html)

""""
Also, da gibt es eine ganz simple vorgehensweise. Beim Booten gehst du mittels F8 in die BootOptionen und wählst den abgesicherten Modus mit Eingabeaufforderung.
Jetzt nehemn wir mal an, die neue modifizierte explorer.exe befindet sich direkt in C:, also 'C:\explorer.exe'.

Gib alles wie folgt ein:
ren C:\Windows\explorer.exe C:\Windows\explorer.exe.bak (mache eine Sicherungskopie der originalen Explorer.exe)
cd C:\ (wechsle direkt ins Verzeichnis C:)
copy explorer.exe C:\Windows (kopiere die neue explorer.exe nach C:\Windows)
exit (verlasse die Konsole)

Nun öffnest Du mittels strg+alt+entf den Taskmanager und startest neu. Diesmal ganz normal ohne BootOptionen. Und voilà, schon hast Du die neue Explorer.exe.
Ich hoffe, das ist alles was beachtet werden muss. Es ist gut möglich, das die selbe Prozedur auch für die Ordner C:\Windows\system32\dllcache und C:\Windows\ServicePackFiles\i386 durchgeführt werden muss. Sieh am besten nach ob in diesen Ordnern eine Kopie der originalen Explorer.exe hinterlegt ist.
"""""
 
naja ganz kurz und knapp:

selbst wenn es via knoppix oder die reperaturfunktion von windows funktionieren würde, würde ich es an deiner stelle sein lassen.
da du mit icq search und wahrscheinlich weiteren toolbars und anderer adware eh noch mehr spyware als nur den trojaner auf deinem system hast, ist eine neuinstallation eindeutig das schlauste/effektivste um den trojaner loszuwerden.

lg
 
austauschen kannst du die explorer.exe wie oben schon beschrieben, nur würde ich dir auch eine Neuinstallation empfehlen, da du nie weißt, ob noch was auf deinem System drauf ist.
 
Die alte explorer.exe wohlmöglich einer SP2 CD oder älter darfst Du auf einem gepatchten System nicht nehmen.

Ansonsten würde ich auch annhmen , dass Du weitere Backdoor Malware und Rootkits hast.
 
Die .ex_ Dateien sind gepackt. Entpacken kannst du sie mittels expand. Dazu eine Dos Box öffnen, dann den Explorer abschießen und in der Dos Box austauschen.

Möglicherweise greift dir die Windows Dateischutz für Systemdateien dazwischen. Die Kopien im dllcache und Servicepack Ordner sind möglicherweise ebenfalls infiziert, so daß ich vom Wiederherstellen, sowohl von CD als auch den Sicherungskopien abrate.

Beste Lösung: Alles plattmachen und von original CD neuinstallieren.
 
Bei einem Schädlingsbefall ist alles andere als eine komplette Neuinstallation schlichtweg dumm und fahrlässig. Wie du schon selbst erfahren musstest, hast du die Kontrolle über deinen PC teilweise verloren. Für dich wie auch für praktisch jede Virensoftware ist es nicht möglich, eventuelle Veränderungen am System nachzuvollziehen, da durch den Virenbefall vermutlich ein Vollzugriff auf das komplette System durch den Virenautor ermöglicht wurde. Du kannst natürlich die Explorer.exe austauschen, aber ob in den 4321 anderen EXE Dateien auf deinem System auch etwas verändert wurde kannst du im Zweifelsfall nicht mehr nachvollziehen geschweige denn über Virensoftware erkennen.
Ein Backup sollte natürlich vorhanden sein, falls nicht dann noch die wichtigen Daten (Bilder, Videos, etc.) sichern. Aber selbst das ist im Zweifelsfall ein Risiko, da Dokumente naürlich auch Schadsoftware transportieren können.
 
Ich glaube die Automatische Reperatur von der Windows CD löscht und ersetzt sämtliche Systemdateien, womit auch die explorer.exe neu kopiert wird.

Aber ich glaube diese Reperatur-Funktion ist erst bei XP Professional mit inbegriffen. Da bin ich mir nicht ganz sicher.
 
Wird aber alles nichts bringen, da wie viele der Vorredner schon sagten, die Wahrscheinlichkeit ca. bei 99% liegt das der Trojaner sich nach erstem Neustart wieder in die Explorer.exe setzt.

format c:\ und neuinstallieren ist die einzigst vernünftige Lösung. Alle Daten die du brauchst solltest du auf eine extra Platte schieben und anschließend auf nem anderen Rechner mit neuestem Antivirenprogramm durchscannen um sicherzugehen das du dir den Trojaner nicht gleich mit gesichert hast....

anschließend format und neuinstall alles andere ist sinnlos in deinem Fall!
 
@Xaero

und die Malware ersetzt dann alles einfach wieder. Ist kein guter Tip.

@TE:

Ein kontaminiertes System, vor allem so schwer wie bei Dir, mußt Du neu aufsetzen. Alles wirst Du nicht runterbekommen. Und als wichtige Lektion: KEINE Toolbars oder Änliches installieren.
 
Ja, Ihr habt ja recht. Die wahrscheinlichkeit ist hoch, dass diese wieder infiziert wird.

War nur eine spontane Idee. :)
 
Ich hab zwar gehofft um ne Neuinstallation herumzukommen, aber was ihr da schreibt hört sich durchaus plausibel an.

Also werd ich mal anfangen die wichtigsten Daten zu sichern und dann die Festplatte platt machen....

Vielen Dank für euere Hilfe!
 
Dann versuch ich's einfach mal mit combofix. Kann ja nix schaden, und wenns danach immer ncoh nicht funktioniert muss ich halt doch alles neuinstallieren.

Gruß
Ergänzung ()

So, ich hatte jetzt erstmal die explorer.exe datei mit einer sauberen ausgetausch. Aber danach hatte ich noch das gleich problem.

Dann habe ich combofix drüberlaufen lassen und jetzt funktioniert wieder alles! Ob der Virus immer noch wo versteckt sitzt und bald wieder zum Vorschein kommt wird sich dann die Tage rausstellen, aber für den Moment bin ich zufrieden!

Vielen Dank an Alle, besonders klomann83 für den Tipp mit combofix.
 
Hi

trojaner & Co haben div. Schutzmechanismen die man im laufenden Betrieb mit div. Tools kaum mehr rausfinden kann. Wenn da noch Daten auf dem System sind die ich brauchen könnte, mach ich das meist so:

Platte ausbauen und per USB an einen anderen PC dran (Betriebssystem ja eigentlich egal). Die Schutzmechanismen sind nun nicht aktiv so das nen virenscanner auf dem anderen PC diese jetzt killen kann (Schutzmechanismen, Nachlade-Tools usw.) ... bei meinem ersten Virenbefahl überhaupt - vor 1-2 Jahren hab ich so über 100 sachen gekillt. Virenscanner drüber, Malware-Scanner usw. usf. alles was man so findet was DATEIEN prüfen kann. Speicherprüfung bringt ja nichts - wurde ja nichts geladen. Wenn Systemdateien "bereinigt" werden, diese ersetzen. Ggf. sollte man den Virenscannern zugang zum Ordner "System Volume ..." verschaffen - da nissten die kleinen Viecher sich auch gerne ein. Mit der nächsten Systemwiederherstellung hat man gleich den Virus wieder dabei ;) ... Abschließend noch in die Autostart-Ordner schauen ob da was drin ist, was nicht reingehört -> löschen [könnten Internetaufrufe sein die Nachladen]. Danach die Platte wieder in den eigentlichen PC pappen und starten. Am besten erstmal OHNE Internet.

Was jetzt noch sein kann: Klevere Trojaner schützen sich vor Virenscannern und ähnliches z.b. in dem diese Scanner in der Registry auf ne Blacklist kommen. Natürlich ist die regedit.exe bzw. regedt32.exe auch auf der Blacklist. Regedit.exe irgendwo hin kopieren und in irgendwas.exe umbennen. Jetzt kommt man in die Registry und kann diesen Ausführ-Schutz entfernen. Dabei dann auch gleich die Autostart-Einträge in der Registry checken.

Danach mit Internet neu starten. Der PC ist jetzt wieder Arbeitsfähig und wenn man nicht gerade Schrott-Virenscanner am anderen PC eingesetzt hat, ist der jetzt auch erstmal wieder clean. ABER: teilweise setzen die Viren dem OS so zu das es nicht mehr wirklich Stabil läuft. Also seine sachen sichern (z.b. Firefox-Einstellungen mit mozbackup, Email-Dateien, Spielstände, Registrypfade von div. Programmen - falls nötig usw.) und NEU INSTALLIEREN.

Wer ein OS auf CD/DVD hat, kann sich das Ausbauen und USB natürlich sparen. Es bringt aber definitiv NICHTS mit dem BEFALLENEN OS die Viren versuchen zu Killen ... Die Platte muss auf jedenfall von einem anderen OS aus geprüft werden.

Gruß
 
Stimme Wulfman_SG voll und ganz zu.

Genau so sollte man bei "chronischem" Viren-Befall vorgehen. :)

Hab mir extra für sowas ein IDE/SATA -> USB Adapter-Set gekauft.
Da braucht man die Platte nicht mal auszubauen. Einfach den Adapter dran und vom Notebook aus die Platte durchscannen. ;)
 
Für mich gibts nur 1 Lösung nach der ich wieder ruhig schlafen kann und das ist einzig und allein eine Neuinstallation. Datensicherung findet regelmäßig auf extern statt und Spielstände kann man dann vorher noch schnell sichern. GGerade mit aktuelln OS ist eine Neuinstall schnell durch - dann noch die 20-30 Proggis rauf die man braucht und gut ist. Die Zeit sollte einem das Wert sein imo.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
GoogleCrashHandler austauschen
2
Antworten
27
Aufrufe
1.811
origin
origin
K
explorer.exe hat ein problem festgestellt und muss beendet werden
Antworten
17
Aufrufe
8.212
KaraKan74
K
Yorkfield
explorer.exe austauschen
Antworten
5
Aufrufe
14.575
Yorkfield
Yorkfield
Isgaroth2
Austauschen von Systemdateien
Antworten
6
Aufrufe
1.688
milch
M
McGillis
Vista, Menü "Start" den Ruhestand Button gegen Herunterfahrbutton austauschen?
Antworten
14
Aufrufe
4.673
dMopp
dMopp

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz