Explorer spinnt

[genocide7]

HI
Also anscheinet hab ich mir eine Art Virus eingeschleppt und zwar auf der Seite (www.Xguitar.com) BITTENICHT DRAUFGEHEN Aus eigener Sicherheit!

Erst war ein scriptfehler auf der page und (ich bereuhe es jetzt sehr) hab auf Ja geklickt, damits weiter lädt. Naja. Plötzlich kahm dann dieses Fenter ob ich in den Standby Modus gehen möchte oder Herrunterfahren oder Neustarten will (so wie wenn man zB. seinen style bei Windows ändert). Dann war es weg. Aber meine Taskbar unten und mein Desktop (bis auf das Hintergrundbild) verschwanden...

ZoneAlarm hat mich noch gefragt ob so ein komisches Programm (Virus) ins Internet darf hab ich natürlich abgelehnt. Im Taskmanager waren auch 2 mir nicht bekannte Prozesse die ich dann beendete. wurd nicht besser.

So, neugestartet. AntiVir Programme konnte ich ja nicht ausführen weil mir mein Desktop fehlte.

Nach viel zu langem laden kahm ich dann wieder auf einen leeren desktop der sich allen anscheins nach 80mal in der Sekunde refreshte und meinen ganzen Rechner lahm legte. So im Taskmanager Explorer ausgemacht. Wieder erwarten kahm er garnicht wieder... Dafür war die CPU auch wieder frei. Durch "Neuen Task" im Taskmanager hab ich den Explorer wieder geöffnet, der wieder meine CPU lahm legte und sich nichtmehr schließen lies...

Neugestartet. Explorer ausgemacht. Hmm. Versucht durch befehle an ein Anti vir Programm zu kommen ohen erfolg.

Es geht garnix mehr. Mein Explorer scheint kaputt. Einzige Rettung sehe ich durch die Registry, die ich öffnen kann.

Was kann ich machen? Hatt sowas voher noch nie

//Kann ich sowas vielleicht irgendwie im Abgesicherten Modus beheben? Wie kann ich dne starten?

 

[Gonzo71]

Bist Du mit dem Rechner grade online?
Dann probiere mal hier: http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

 

[hal9000]

kommst du mit dem process explorer von www.sysinternals.com weiter, um den unbekannten task zu idendifizieren? wäre schon interessant, welcher unhold da bei dir rumgeistert. war gerade auf der seite (mit opera) , da war aber nix. ansonsten noch stinger verwenden (googeln). hast du sonst noch antispy-programme am laufen?

 

[genocide7]

Nein leider nicht.

Ich habs mal in den IE geschafft aber mit meinem kaputten Explorer geht auch keien Internet Verbindung.

Kann ich das Problem vielleicht dadurch beheben, dass ich mir von einem anderen Wiondows die nicht infizierte Explorer datei in mein System32 Folder reinkopiere (falls ich da überhaupt irgendwie reinkomme)?

//Die Unbekannten Tasks kommen garnichtmehr. Ich hab auch vergessen wie die hießen

ausserdem bezweifle ich, dass ich auf meinem rechner ein Programm ausführen kann geschweige denn es istallieren kann

 

[Gonzo71]

Also ich war auch grade auf der Seite, da kam nix.
Entweder ist dein Rechner sehr ungeschützt oder der Virus/Trojaner/was auch immer war schon vorher im System.

Vielleicht kann dir das helfen, eine Bootfähige CD mit Antivirenprogrammen: http://www.zid.tuwien.ac.at/security/viren.php

In den Abgesicherten Modus komst Du durch drücken der F8 (oder wars F4?) Taste.

 

[genocide7]

Also ich war genaugenommen auf dieser Seite:
"www.xguitar.com/guitar-tabs/ red_hot_chili_peppers/californication/"

Kann sein, dass ich ihn auch schon vorher hatte, der ist abe rirgendwie doch übel.
Ich Probier das mal mit der CD mal aus, das scheint eventuel eine gute Lösung zu senin. Da ich Die Antivir programme wie hjackthis nicht manuell ausführen kann.

 

[werkam]

Der abgesicherte Modus geht? Adminpasswort hast Du auch? Dann starte im abgesicherten Modus. Starte "msconfig -6" stell alles aus was dort steht und Dir unbekannt ist. Geh auf Dienste und stell ein das alle M$ Dienste nicht angezeigt werden, alle anderen deaktivierst Du. Dann machst Du das Fenster klein und startest "regedit" unter Start ausführen, gehe zu den foldenden Schlüsseln:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
sieh nach was dort alles steht, wenn ein Objekt Dir unbekannt vorkommt, klicke doppelt drauf und lies was gestartet wird. Such in dem angegebenen Pfad dieses Teil und lösche oder benenne es um. Den Wert löscht Du anschliessend aus dem Schlüssel der Registry. Wenn Du das alles gemacht hast gehst Du auf Deine Platten und löscht alle Systemwiederherstellungspunkte, erstellst einen neuen Punkt und löscht noch einmal alle, der letzte bleibt bestehen, den Du neu angelegt hast. Nun suchst Du noch die Datei "hosts" in C:\WINDOWS\system32\drivers\etc, und lies was da drin steht,

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Wenn bei Dir was anderes steht, abändern. Nun kannst Du msconfig beenden und den Rechner neu starten. Nun sollte es eigentlich wieder laufen.

 

[Gonzo71]

Also ich war genaugenommen auf dieser Seite:
"www.xguitar.com/guitar-tabs/ red_hot_chili_peppers/californication/"

War da grade und es komt auch nix mit Scriptfehler o.ä.

Probier das mal von werkam aus, scheint auch noch eine möglichkeit zu sein.

 

[Iboman]

Also ich war auch mal eben mit Firefox auf der Seite. Da kam bei mir ein Downloadfenster in dem eine Install.exe von qoolaid.com runtergeladen werden sollte.

Nach Neuladen der Seite kam das Downloadfenster aber nicht mehr und jetzt ist die Seite bei mir nicht mehr erreichbar: "Service Temporarily Unavailable".

Evtl. lag es an einer der Werbungen, die auf der Webseite erscheinen.

Auf der qoolaid-Seite steht folgendes:

" IMPACT OF SERVICE ON YOUR BROWSER AND COMPUTER

By installing the Service you understand and agree that the following changes may be made to your Internet Explorer browser and that the following functions may be performed by the Service: install a Free Ware Software Applications in your browser which may (i) deliver pop-up ads and pages; (ii) display links to related websites and keywords based on the information you view and the websites you visit; (iii) store non-personally identifiable statistics of the websites you have visited; (iv) redirect certain URL's including your browser default address bar search, DNS error page and Search Button page to or through the Service and; (v) automatically update the Service and install added features or functionality conveniently without your input or interaction unless you have chose to be notified of such update in advance.

REMOVAL INSTRUCTIONS

If at anytime you wish to remove the Service, you can remove it through the Add/Remove Programs menu in your Microsoft Windows control panel.

If at anytime you wish to complete the uninstall manually please click this URL: www.qoolaid.com/uninstall.html "

 

[genocide7]

Also
Muss ich irgendwie sagen, dass microsoft von der CD Starten soll? Weil es öffnet sich irgendwie nichts. Im Taskmanager komm ich auch nicht auf die CD.
Hab jetzt Antivir gefunden und gestartet(musste irgendwie "file:///D:/Programme/AVpersonal/AVGNT.EXE" oder so im taskmanager öffnen).

Ich glaube aber der wird nichts finden

werkam deine Methode probier ich gleich aus nachdem Antivir fertig ist und es sich immernoch nicht gebessert hat.

 

[Gonzo71]

Also wenn Du die CD nach Anleitung gebrannt hast sollte es gehen, ausser Du hast im Bios die Boot Reihenfolge HDD/CD stehen, dann ändere die auf CD/HDD um.

 

[genocide7]

Ah jo, das hatte ich.

So dann Scant der aber das Scanen dauert irgendwie nur 0 Sekunde... das macht mich etwas stutzig. Hat dann auch wie AntiVir nichts gefunden.

@werkam

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
enthält bei mir nichts

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
existieren bei mir irgendwie garnicht O.o

Hab in MSconfig alle Nicht Microsoft dienste ausgeschaltet und auch bei "Msconfig -6" mal alles ausgestellt bringt aber immernoch nichts

Wie kann ich denn alle System wiederherrstellungpunkte löschen? Ich kann momentan nicht anders in meinem Windows agieren als mit dem Taskmanager, das schränkt einiges ein

PS: Nur mein Benutzer scheint von dem Virus infiziert zu sein, der Administrator hat keinen fehlerhaften explorer.


//hat die Datei hosts irgendeien Endung, oder hast du vl den genauen Pfad? De rwäre sehr wichtig.


///Ich kann sogar Photoshop starten oder Musik angucken, die einzige bedingung ist nicht den explorer anzumachen... Aber ohne Explorer hab ich auch kein Internet...

////so ich navigiere mich grade mit winamp durch meinen Computer^^ Hijackthis scheint kaputt zu sein... werd jetzt wohl windows neuinstalieren müssen, nachdem ich wichtiges auf cd speichere. Gibt wohl keinen Weg drum herrum... irgendwie komisch...