- #1
N
neward
Neues Mitglied
Themenersteller
- Dabei seit
- 28.06.2005
- Beiträge
- 2
- Reaktionspunkte
- 0
Hallo!
mein System: Windows XP Home SP1, Antivir (aktuell), ZoneAlarm, SpywareGuard
Von einer der Internetseiten, die ich offen hatte, ist die Malware web.exe nach C:\WINDOWS\system32 runter geladen worden und verlangte sofort Zugriff aufs Internet. ZoneAlarm stoppte das. Ich konnte in Ruhe den Prozess web.exe (per Utility Ants) killen und die Datei löschen. Die gleichzeitig nach system32 herunter geladene Datei kernels.exe löschte ich mit.
Zwar war auch unter Ctrl-Alt-Del der Task-Manager-Button deaktiviert, aber das beunruhigte mich nicht weiter, da ich dahinter nur eine simple Registry-Einstellungs-Änderung vermute.
Beim nächsten Rechnerstart kam die Fehlermeldung, C:\WINDOWS\system32\kernels.exe könne nicht gefunden werden. Da ich gerade mit meinem Bruder telefonierte, habe ich nebenbei die Registry aufgerufen und nach kernels.exe suchen lassen. Den ersten Eintrag in HK??/.../Run namens System mit dem Inhalt c:\windows\system32\kernels.exe habe ich sofort gelöscht. Eine zweite Fundstelle befand sich in ??/.../RunServices (oder so ähnlich). Dort habe ich nur den Inhalt gelöscht und den Wert ohne Inhalt stehen gelassen. Bei der dritten Fundstelle habe ich - glaube ich - wieder den ganzen Wert gelöscht. Dann wurde nichts mehr gefunden. Leider war ich durch das Telefonat mit meinem Bruder so abgelenkt, dass ich mir von der zweiten und dritten Fundstelle fast nichts gemerkt habe.
Nach Schließen der Registry funktionierte der Rechner erstmal problemlos weiter.
Seitdem tritt beim Neustart allerdings Folgendes auf:
Der Rechner fährt hoch wie gewohnt, fragt mein (Administratoren-) Passwort ab, zeigt meinen Desktop-Hintergrund an und belässt es dabei. Weder die Taskleiste (von Startbutton bis Uhr) noch die Desktop-Icons oder ihre Beschriftung werden angezeigt. Nur der nackte Desktop-Hintergrund. Ctrl-Alt-Del bringt zwar nach wie vor das Windows-Sicherheits-Fenster auf den Schirm (mit immer noch deaktiviertem Task-Manager-Button), aber mehr ist nicht zu wollen.
Ich erinnere mich ganz dunkel, vor längerer Zeit mal etwas von einer Tastenkombination gehört zu haben, die eine Befehlszeile öffnet, über die man per explorer.exe einen ähnlichen Zustand wieder beheben können soll, aber leider kann ich nicht mehr genau nachvollziehen, was das damit auf sich hatte.
Hat irgend jemand einen Tipp für mich, wie ich den Rechner wieder ans Rechnen kriege, statt ihn einfach nur dösen zu lassen?
Danke erstmal
neward
AKTUALISIERUNG:
Als Erstes muss ich Folgendes ergänzen:
Ich habe vor Ewigkeiten einen zweiten Benutzer (allerdings mit eingeschränkten Rechten) auf meinem Rechner angelegt, an den ich mich jetzt wieder erinnerte. Dieser Benutzer hat zwar auch nur den nackten Desktop-Hintergrund und sonst nichts auf dem Schirm, aber DESSEN Task-Manager ist NICHT deaktiviert, so dass ich darüber Zugriff auf den WindowsExplorer und die Registry bekomme.
Dann muss ich berichten, dass ich in einem anderen Forum auf den hiesigen Thread http://www.wintotal-forum.de/index.php/topic,84123.0.html zum Thema SpySheriff aufmerksam gemacht worden bin.
Die Symptome, die die Leute hier im Forum geschildert haben, treffen nur z.T. auf meinen Fall zu, es sind jedoch so viele Parallelen vorhanden, dass ich vermute, es könnte sich um eine Abart des SpySheriffs handeln.
Es sind bei mir folgende Unterschiede und Parallelen zum SpySheriff zu beobachten:
- Von den im genannten Thread aufgeführten 5 Dateien ist bei mir nur der kernels.exe vorhanden gewesen.
- Der Desktop-Hintergrund ist (im Ggsatz. zum SpySheriff) erhalten geblieben, dafür ist alles andere vom Bildschirm verschwunden.
- Zwar sind bei mir (wie z.T. beim Spysheriff) die Desktopsymbole verschwunden, aber die entsprechenden HideIcons-Einträge der Registry in HKCU und HKU stehen seltsamerweise beide auf 0, wie es sein sollte!?! (Der Inhalt des Ordners C:\Dok+Einst\...\Desktop ist NICHT gelöscht!)
- Meine Start- und Suchseiten sind nicht verändert (im Ggsatz. zum SpySheriff).
- Meine Internet-Präfixe sind in HKLM nicht verändert (im Ggsatz. zum SpySheriff).
- Der Eintrag->Spy( )Sheriff' findet sich nicht in meiner Registry (HKLM).
- Dafür war kernels.exe in 3 Schlüsseln vorhanden - u.a. wohl auch in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe .
- Und der Task-Manager war (wie beim SpySheriff) gesperrt.
- Außerdem ist bei mir auch die Taskleiste verschwunden, etwas, was in keinem der anderen Fälle geschildert wurde.
Bei meinem Löschen der drei kernels.exe-Einträge in der Registry habe ich dummerweise aus dem Schlüssel
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe
den GANZEN Wert gestrichen, inklusiv Explorer.exe. Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme hausgemacht ist.
Ich habe also versucht, den Wert Explorer.exe in den genannten Schlüssel wieder einzutragen. Dabei kriege ich jedoch folgende Fehlermeldung:
shell kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts.
Das könnte evt. an den eingeschränken Benutzerrechten liegen, die ich unter dieser Benutzerkennung nur habe??
Oder weiß jemand einen anderen Grund?
Meine Frage nun:
Wie kriege ich den Wert Explorer.exe wieder in die Registry?
Das Administratorkonto hat wegen gesperrtem Taskmanager keine Programmzugriffe und das einfache Benutzerkonto kann zwar zugreifen, darf den Wert aber anscheinend nicht ändern!
Weiß da jemand Rat???
neward
mein System: Windows XP Home SP1, Antivir (aktuell), ZoneAlarm, SpywareGuard
Von einer der Internetseiten, die ich offen hatte, ist die Malware web.exe nach C:\WINDOWS\system32 runter geladen worden und verlangte sofort Zugriff aufs Internet. ZoneAlarm stoppte das. Ich konnte in Ruhe den Prozess web.exe (per Utility Ants) killen und die Datei löschen. Die gleichzeitig nach system32 herunter geladene Datei kernels.exe löschte ich mit.
Zwar war auch unter Ctrl-Alt-Del der Task-Manager-Button deaktiviert, aber das beunruhigte mich nicht weiter, da ich dahinter nur eine simple Registry-Einstellungs-Änderung vermute.
Beim nächsten Rechnerstart kam die Fehlermeldung, C:\WINDOWS\system32\kernels.exe könne nicht gefunden werden. Da ich gerade mit meinem Bruder telefonierte, habe ich nebenbei die Registry aufgerufen und nach kernels.exe suchen lassen. Den ersten Eintrag in HK??/.../Run namens System mit dem Inhalt c:\windows\system32\kernels.exe habe ich sofort gelöscht. Eine zweite Fundstelle befand sich in ??/.../RunServices (oder so ähnlich). Dort habe ich nur den Inhalt gelöscht und den Wert ohne Inhalt stehen gelassen. Bei der dritten Fundstelle habe ich - glaube ich - wieder den ganzen Wert gelöscht. Dann wurde nichts mehr gefunden. Leider war ich durch das Telefonat mit meinem Bruder so abgelenkt, dass ich mir von der zweiten und dritten Fundstelle fast nichts gemerkt habe.
Nach Schließen der Registry funktionierte der Rechner erstmal problemlos weiter.
Seitdem tritt beim Neustart allerdings Folgendes auf:
Der Rechner fährt hoch wie gewohnt, fragt mein (Administratoren-) Passwort ab, zeigt meinen Desktop-Hintergrund an und belässt es dabei. Weder die Taskleiste (von Startbutton bis Uhr) noch die Desktop-Icons oder ihre Beschriftung werden angezeigt. Nur der nackte Desktop-Hintergrund. Ctrl-Alt-Del bringt zwar nach wie vor das Windows-Sicherheits-Fenster auf den Schirm (mit immer noch deaktiviertem Task-Manager-Button), aber mehr ist nicht zu wollen.
Ich erinnere mich ganz dunkel, vor längerer Zeit mal etwas von einer Tastenkombination gehört zu haben, die eine Befehlszeile öffnet, über die man per explorer.exe einen ähnlichen Zustand wieder beheben können soll, aber leider kann ich nicht mehr genau nachvollziehen, was das damit auf sich hatte.
Hat irgend jemand einen Tipp für mich, wie ich den Rechner wieder ans Rechnen kriege, statt ihn einfach nur dösen zu lassen?
Danke erstmal
neward
AKTUALISIERUNG:
Als Erstes muss ich Folgendes ergänzen:
Ich habe vor Ewigkeiten einen zweiten Benutzer (allerdings mit eingeschränkten Rechten) auf meinem Rechner angelegt, an den ich mich jetzt wieder erinnerte. Dieser Benutzer hat zwar auch nur den nackten Desktop-Hintergrund und sonst nichts auf dem Schirm, aber DESSEN Task-Manager ist NICHT deaktiviert, so dass ich darüber Zugriff auf den WindowsExplorer und die Registry bekomme.
Dann muss ich berichten, dass ich in einem anderen Forum auf den hiesigen Thread http://www.wintotal-forum.de/index.php/topic,84123.0.html zum Thema SpySheriff aufmerksam gemacht worden bin.
Die Symptome, die die Leute hier im Forum geschildert haben, treffen nur z.T. auf meinen Fall zu, es sind jedoch so viele Parallelen vorhanden, dass ich vermute, es könnte sich um eine Abart des SpySheriffs handeln.
Es sind bei mir folgende Unterschiede und Parallelen zum SpySheriff zu beobachten:
- Von den im genannten Thread aufgeführten 5 Dateien ist bei mir nur der kernels.exe vorhanden gewesen.
- Der Desktop-Hintergrund ist (im Ggsatz. zum SpySheriff) erhalten geblieben, dafür ist alles andere vom Bildschirm verschwunden.
- Zwar sind bei mir (wie z.T. beim Spysheriff) die Desktopsymbole verschwunden, aber die entsprechenden HideIcons-Einträge der Registry in HKCU und HKU stehen seltsamerweise beide auf 0, wie es sein sollte!?! (Der Inhalt des Ordners C:\Dok+Einst\...\Desktop ist NICHT gelöscht!)
- Meine Start- und Suchseiten sind nicht verändert (im Ggsatz. zum SpySheriff).
- Meine Internet-Präfixe sind in HKLM nicht verändert (im Ggsatz. zum SpySheriff).
- Der Eintrag->Spy( )Sheriff' findet sich nicht in meiner Registry (HKLM).
- Dafür war kernels.exe in 3 Schlüsseln vorhanden - u.a. wohl auch in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe .
- Und der Task-Manager war (wie beim SpySheriff) gesperrt.
- Außerdem ist bei mir auch die Taskleiste verschwunden, etwas, was in keinem der anderen Fälle geschildert wurde.
Bei meinem Löschen der drei kernels.exe-Einträge in der Registry habe ich dummerweise aus dem Schlüssel
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe
den GANZEN Wert gestrichen, inklusiv Explorer.exe. Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme hausgemacht ist.
Ich habe also versucht, den Wert Explorer.exe in den genannten Schlüssel wieder einzutragen. Dabei kriege ich jedoch folgende Fehlermeldung:
shell kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts.
Das könnte evt. an den eingeschränken Benutzerrechten liegen, die ich unter dieser Benutzerkennung nur habe??
Oder weiß jemand einen anderen Grund?
Meine Frage nun:
Wie kriege ich den Wert Explorer.exe wieder in die Registry?
Das Administratorkonto hat wegen gesperrtem Taskmanager keine Programmzugriffe und das einfache Benutzerkonto kann zwar zugreifen, darf den Wert aber anscheinend nicht ändern!
Weiß da jemand Rat???
neward