Beim Rechnerstart 57 mal Windows Explorer

Question

Ein freundliches Hallo an alle,

ich hab hier ein mittelschweres Problem mit meinem Laptop (Windows XP Prof SP3 incl. aller Updates).

Plötzlich (von heut auf morgen) öffnet sich beim Rechnerstart 57 mal der Explorer in dem dann Eigene Dateien als angezeigt werden.

Im Abgesicherten Modus ist alle ok. Dort konnte ich auch die Gruppierung von gleichen Elementen auf der Taskleists einstellen, damit ich nicht alle Fenster einzeln schließen muss.

Ich hab schon alle mir bekannten Autostartoptionen (msconfig, Registrieeinträge) durchforstet und finde aber nirgendwo etwas davon.

Ein Virenscan mit Avast (Festplatte über USB-Adapter an anderen PC angeschlossen) brachte drei Funde zum Vorschein:
Win32:Krytik-APA [Trj]
1x in
C\:Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Microsoft\InternetExplorer\report.exe

2. Stelle
C\:Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\lange Zahl.exe

3.Stelle:
C:\pagefile.sys

Avast hat alle drei Sachen erfogreich gelöscht.
Auslagerungsdatei hab ich dann noch deaktiviert und pagefile.sys hab ich zusätzlich noch gelöscht

HiJackthis melde keine Bedrohung ubd auch ein erneuter Scan mit Avast brachte keine Funde mehr.

Wo kann ich jetzt noch suchen um diese blöden Fenster los zu werden ??

Mfg Micha

PS: bei jedem Neustart kommt noch ein Explorerfenster dazu !!!!

Answer 1

Hallo,

gehe mal auf diese Seite security.symantec.com/nbrt/npe.asp?lcid=1031 und lade dir dieses Programm runter. Speicherort dieser EXE-Datei ist am besten auf dem Desktop. Das Programm ist von Symantec und heißt "Norton Power Eraser". Dieses Programm ist kostenlos und führt aus: Beseitigt in den Tiefen Ihres Computers verborgene Crimeware, die sich nur schwer entfernen lässt und die von herkömmlichen Virenscans nicht immer erkannt wird.

Gruß spirit

Answer 2

Hallo Mischa,

der Win32/Kryptik hatte in seinen zahlreichen Varianten vor etwa 18 Monaten den Con*Z*er vom Spitzenplatz der Virus-Charts verdrängt, aber wie kann sich sowas heute noch auf einem aktuell gehaltenem Rechner einnisten?

Hatte sich diese Maleware erst einmal eingenistet wurde sie bei jedem Systemstart über einen Registryeintrag aufgerufen und hat als erste Aktion den Virenscanner deaktiviert um weitere Schadsoftware ungehindert und unbemerkt nachladen zu können.

Dein Problem mit den sich öffnenden Explorerfenstern beim Windowsstart könnte durchaus mit (d)einer nur teilweisen Säuberung zusammenhängen. Dies passiert nämlich auch dann wenn Einträge unter Run/ RunServices/ RunOnce usw. korrupt sind, z.B. in der Form dass die dort angegebene Zieldatei nicht (mehr) existiert. Einträge unter RunOnce werden nicht im Autostart angezeigt und genau deshalb dürfte sich die Maleware dort eingenistet und dafür gesorgt haben, dass bei jedem Start ein neuer Einmal-Eintrag hinzugefügt wird. Kann so ein Eintrag nicht ausgeführt werden bleibt er weiter aktiv, was dann auch das Anwachsen der Anzahl der sich öffnenden Explorerfenster erklären würde.

Im Abgesicherten Modus und ab XP auch unter einem eingeschränkten Benutzerkonto werden RunOnce-Befehle nicht ausgeführt. Deshalb weist für mich auch dieses Verhalten deines Laptops auf RunOnce hin.

Du solltest mal HijackThis ausführen und das Logfile dann HIER auswerten lassen. Die in der Auswertung erkannten Probleme kannst du dann wiederum mit HijackThis 'fixen', also die verdächtigen Registryeinträge löschen lassen.

Gruß
Kalle