Explorer.exe-Fehler in Anwendung

[Ruby]

Erscheinungsformen von Adware
auf dem System -> Hinweis und Entfernungshilfe

1
Diese Meldung kann auftauchen, wenn der Rechner hochgefahren wird.
Sie poppt auf in Form eines Fensterchens auf schwarzem Hintergrund:

2
Folgende Meldung kann beim hochfahren des Rechners auftauchen, sie poppt auf, als Schrift oder Fensterchen auf schwarzem Hintergrund:

"Warning, you´re in danger"

Ausschalten des Bildes durch:

Start-> Systemsteuerung-> Darstellung und Designs-> Design des Computers ändern-> Desktop-> Desktop anpassen-> Web und da das "security" löschen.

Nach kurzer Zeit kann unten in der Task-Leiste ein Ausrufezeichen stehen, welches, wenn man draufklickt, zu einer dieser Seiten "hzzp://www.topantispyware.com/spywareremovers.php?131" weiterleiten will. Auch kann, wenn man eine Weile im Netz ist, plötzlich ein blaues Fenster mit dem Internet Explorer von "Windows" kommen, welches sagt:

"warning. Windows has detected spyware installed on your computer".

Wenn man draufklickt, wird man zur gleichen Seite weitergeleitet.
-> (!Bitte nicht auf diese PopUps klicken!)

Beim nächsten Hochfahren ist das schwarze Fenster mit "Warning.." wieder da.

Quelle und Bild-Quelle

Das System kontrollieren:

Beide Meldungen werden durch Ad/Spyware auf dem System ausgelöst.

Es handelt sich dabei um eine Ad/Spyware, die im Systemstart mit aufgestartet wird. Wer kontrollieren möchte, was im Autostart mit aufgestartet wird, sollte den Starter installieren, um seinen Rechner regelmäßig zu kontrollieren.

Man kann auch ein Wächterprogramm, RegistryProt, installieren, das beim Zu- und Einschalten eines jeden Programmes um Genehmigung fragt. Auf diese Weise bekommt man mit der Zeit Übung, welche Programme auf den Rechner gehören und welche nicht.

Das System reingen:

Wer bereits Ad/Spyware auf dem System hat, die sich zum Teil im File-System verborgen hält, braucht Programme, um seinen Rechner von dieser Malware zu reinigen.

Häufig ist auf infizierten Systemen dieser Eintrag zu finden:

"O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe"

Dabei handelt es sich um Adware: Adware.Findspy.e alias Spyware.AdSpy.e.

Der Eintrag muß mit HijackThis im abgesicherten Modus gefixt werden. Zusätzlich muß der Prozess "spoolsrv32.exe" im Taskmanager beendet und der File "C:\WINDOWS\System32\spoolsrv32.exe" mit dem Windows Explorer im abgesicherten Modus vom System entfernt werden.

Bei Windows XP und ME muss vor den Arbeiten am System die Systemwiederherstellung deaktiviert werden.

Reinigungs-Tools:

Ein Programm mit einer hohen Erkennungsrate gegenüber neu auftretender hartnäckiger Ad/Spyware im File-System ist ewido, das sich in deutschen und ausländischen Foren immer grösserer Beliebtheit erfreut. Es kann in einer Trial-Version heruntergeladen und einige Zeit kostenlos verwendet werden.

Nicht zu vergessen, regelmässige Updates und Scans mit den Programmen:

Ad-Aware SE, Spybot Search & Destroy und EliteToolbar Remover V.1.3.0, für das es
-> hier eine deutsche Anleitung gibt.

Es empfiehlt sich Logfiles mit HijackThis zu erstellen und Experten um Rat zu fragen.

Kombination mit Smitfraud.c und Browser-Hijackings-Formen:

Smitfraud.c - qfind.net bzw. Smitfraud.c - quicknavigate.com

sind nur zwei der mittlerweile beobachteten zahlreichen Kombinationsmöglichkeiten, wie
Beispiele aus unserem Forum beweisen:

updatesearches.com und v73.us/10095/search.html

sowie viele andere, deren Einzellösungen, mit und ohne Smidfraud.c bereits hier im Forum u.a. unter Startseite (a-z) ausgearbeitet sind. Es gibt sie mit und ohne Würmer.

Removal-Tools:

Immer wieder auftretenden, schwer zu entfernenden Adware-Formen, bzw. dem permanent auftretenden Wurm W32/Forbot-BD, der u.a. an diesem Eintrag im HijackThis-Logfile zu erkennen ist:

"O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe"

kann mit den Removal-Tools von Marc in unserem Forum "Malwareupload" ein schnelles Ende bereitet werden.

Beispiel-Lösungen finden sich in unseren Foren. Die Programme und Lösungen können einzelfall-bezogen übernommen werden.

Bei Fragen und Anwendungsproblemen stehen wir euch in unseren Foren zur Verfügung.

[Ruby]

Examples for our English speaking Users:

1
Subject: explorer.exe error

My computer suddently hang and after restart, an error keeping poping up on my screen saying that exploere.exe has generated an error and need to restart the system. I tried to go in to safe mode but same thing happens. Any help will be appreciated.

2
Subject: Program Error message

I am getting the same Program Error message, combined with an Application Error that says "The instruction 0x77fcc73c referenced memory at 0x00640005c [and sometime 0xfffffff8]. The memory could not be read. Click OK to terminate..."

Source

3
Subject: Warning, you´re in danger

That means that you are running Adware
at your system.

Control your system:

Use the Starter to control the programs running on system's startup.

Use the RegistryProt program, it will alert whenever a key is added or changed, and then give the option of accepting the key change, reverting back to the original key setting, or deleting the key.


Clean up your system:

Do you find this entry in your HijackThis Logfile:

"O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe"

it's the Adware.Findspy.e alias Spyware.AdSpy.e.

Fix this entry with HijackThis in Safe Mode. Terminate the process "spoolsrv32.exe" from running by using Windows Task Manager. Using Windows Explorer, delete the following file in Safe Mode: "C:\WINDOWS\System32\spoolsrv32.exe".

Users of Windows XP and ME may want to turn off System Restore during fixing their systems.


Cleaning-Tools:

You may want to use a Trial Version of ewido, to get rid of Hijackers and Spyware, Worms, Dialers, Trojans and Keyloggers.

You may want to use these free programs to clean up your systems, don't forget to update them online:

Ad-Aware SE, Spybot Search & Destroy and EliteToolbar Remover V.1.3.0


Combination with Smitfraud.c and Browser-Hijacking:

Smitfraud.c - qfind.net and Smitfraud.c - quicknavigate.com

are only two examples for Browser Hijacking.
You can find more of these examples on our Board:

updatesearches.com and v73.us/10095/search.html

There are various possibilities of combinations with and without worms


Removal-Tools:

Íf you find this worm W32/Forbot-BD in your HijackThis Logfile:

"O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe"

you may want to use Marc's Removal-Tool: "msmsgs_remover.zip ". Please follow the instructions.

There may be other kinds of ad/malware at your system.

You can find a lot of Marc's Removal Tools here: Malwareupload


Help and Solutions:

If you need examples how to get rid of all kinds of malware, please take a look to the threads on our Board for example:
"popuper.exe etc" and others to learn more about the solutions.

Having troubles with your system or questions feel free to open your own thread on English-Help-Board of HijackThis.de.