Thema: explorer.exe UND andere sehr rätselhafte *exe Problem [HijackThis Logfile inside]

Ich hab eben den explorer.exe über den Taskmanager beendet bare nicht neu gestartet sondern einfach den PC neu gestartet über den Resetknopf.
Problem ist:
wenn ich mich jetz einlogge startet die Explorer.exe nicht im Autostart sondern ich muss die manuell über den Taskmanager starten und bevor das passiert kommt , dass ein Programm eine Problem festgestellt hat und beendet werden musste.
Diese Programm hat gerne mal andere Namen (zuerst wars rtyepocuh.exe dann qhdgrsn.exe und jetz irgendwas mit zblablabla.exe).

Ich hab schon mit Antivir alles gescannt aber da kamen nur 2 Ergebnisse, die gleich in Quarantäne gewandert sind.

evtl. kann mir hier ja jemand helfen, wie ich zuerstmal die explorere. exe wieder in den Autostart bringe.


HijackThis Logfile (nach dem Virenscan):

Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:52:32, on 06.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\XPProgramme\DOWNLOADS\CDBurnerXP\NMSAccessU.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\WINDOWS\explorer.exe
E:\Programme\Java\jre6\bin\jusched.exe
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Mediafour\MacDrive 7\MacDrive.exe
C:\XPProgramme\iTunes\iTunesHelper.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\palimpalim\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\tbsoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\tbsoft.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\XPProgramme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "E:\Programme\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "E:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\XPProgramme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] E:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\XPProgramme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\XPPROG~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\XPProgramme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\XPProgramme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232561375172
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c9a593cc5b8b80) (gupdate1c9a593cc5b8b80) - Unknown owner - E:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MacDriveService - Mediafour Corporation - E:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\EMF1435\ppuiop\3 DS Max\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: NMSAccess - Unknown owner - C:\XPProgramme\DOWNLOADS\CDBurnerXP\NMSAccessU.exe

--
End of file - 7006 bytes

pls help

1. Bitte aktualisiere Deinen InternetExplorer.

2. Statt das speicherverschwendende Itunes zu nehmen kannst Du auch lieber eine Alternative wie diese hier nehmen:

SharePod

iTunes ist net von mir ist von meinem Bruder....
Inet Explorer wird ohnehin nicht verwendet sondern nur Firefox.....

danke trotzdem für den Hinweis :P

4 - HKLM\..\Run: [MDGetStarted.exe] "E:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto

Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.

Ansonsten ist das Logfile sauber...

iTunes solltest Du direkt von der Apple Seite laden...

diesen Autoscanner hab ich auch schon drüberlaufen lassen...der hat mir genau dasselbe gesagt wie dir und die Datei hab ich geprüft....ist kein Virus o.ä.

hat evtl. jemand ne Idee wie ich den Explorer wieder in den Autostart bekomme? evtl. liegt die Fehlermeldung ja nur daran (würde eig ja auch Sinn machen, da soweit ich weiss ohne den explorer kein Programm gestartet werden kann?!)

hab das Problem dank google gelöst :P
in der registry unter
[HKEY_LOCAL_MACHINE\....\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]" steht unter dem Schlüssel der Eintrag : ("Debugger"="wgsqmjyoz.exe")

Wenn so etwas oder etwas ähnliches (andere zufällige Buchstaben) dasteht sofort den Eintrag löschen oder es passiert der selbe Sch**ss wie bei mir (evtl. kann man auch den ganzen Schlüssel löschen, dafür müsste jemand mit intakter Registry mal nachschauen ob dieser Schlüssel da überhaupt existiert).

wäre evtl. nützlich wenn da mal jemand nachschauen könnte, ob es diesen Schlüssel normalerweise überhaupt gibt


mfg&danke