Hallo!
mein System: Windows XP Home SP1, Antivir (aktuell), ZoneAlarm, SpywareGuard
Von einer der Internetseiten, die ich offen hatte, ist die Malware "web.exe" nach C:\WINDOWS\system32 runter geladen worden und verlangte sofort Zugriff aufs Internet. ZoneAlarm stoppte das. Ich konnte in Ruhe den Prozess "web.exe" (per Utility "Ants") killen und die Datei löschen. Die gleichzeitig nach system32 herunter geladene Datei "kernels.exe" löschte ich mit.
Zwar war auch unter "Ctrl-Alt-Del" der Task-Manager-Button deaktiviert, aber das beunruhigte mich nicht weiter, da ich dahinter nur eine simple Registry-Einstellungs-Änderung vermute.
Beim nächsten Rechnerstart kam die Fehlermeldung, C:\WINDOWS\system32\kernels.exe könne nicht gefunden werden. Da ich gerade mit meinem Bruder telefonierte, habe ich nebenbei die Registry aufgerufen und nach "kernels.exe" suchen lassen. Den ersten Eintrag in HK??/.../Run namens "System" mit dem Inhalt "c:\windows\system32\kernels.exe" habe ich sofort gelöscht. Eine zweite Fundstelle befand sich in ??/.../RunServices (oder so ähnlich). Dort habe ich nur den Inhalt gelöscht und den Wert ohne Inhalt stehen gelassen. Bei der dritten Fundstelle habe ich - glaube ich - wieder den ganzen Wert gelöscht. Dann wurde nichts mehr gefunden. Leider war ich durch das Telefonat mit meinem Bruder so abgelenkt, dass ich mir von der zweiten und dritten Fundstelle fast nichts gemerkt habe.
Nach Schließen der Registry funktionierte der Rechner erstmal problemlos weiter.
Seitdem tritt beim Neustart allerdings Folgendes auf:
Der Rechner fährt hoch wie gewohnt, fragt mein (Administratoren-) Passwort ab, zeigt meinen Desktop-Hintergrund an und belässt es dabei. Weder die Taskleiste (von Startbutton bis Uhr) noch die Desktop-Icons oder ihre Beschriftung werden angezeigt. Nur der nackte Desktop-Hintergrund. Ctrl-Alt-Del bringt zwar nach wie vor das "Windows-Sicherheit"s-Fenster auf den Schirm (mit immer noch deaktiviertem Task-Manager-Button), aber mehr ist nicht zu wollen.
Ich erinnere mich ganz dunkel, vor längerer Zeit mal etwas von einer Tastenkombination gehört zu haben, die eine Befehlszeile öffnet, über die man per "explorer.exe" einen ähnlichen Zustand wieder beheben können soll, aber leider kann ich nicht mehr genau nachvollziehen, was das damit auf sich hatte.
Hat irgend jemand einen Tipp für mich, wie ich den Rechner wieder ans Rechnen kriege, statt ihn einfach nur dösen zu lassen?
Danke erstmal
neward
AKTUALISIERUNG:Als Erstes muss ich Folgendes ergänzen:
Ich habe vor Ewigkeiten einen zweiten Benutzer (allerdings mit eingeschränkten Rechten) auf meinem Rechner angelegt, an den ich mich jetzt wieder erinnerte. Dieser Benutzer hat zwar auch nur den nackten Desktop-Hintergrund und sonst nichts auf dem Schirm, aber DESSEN Task-Manager ist NICHT deaktiviert, so dass ich darüber Zugriff auf den WindowsExplorer und die Registry bekomme.
Dann muss ich berichten, dass ich in einem anderen Forum auf den hiesigen Thread http://www.wintotal-forum.de/index.php/topic,84123.0.html (
http://www.wintotal-forum.de/index.php/topic,84123.0.html )zum Thema SpySheriff aufmerksam gemacht worden bin.
Die Symptome, die die Leute hier im Forum geschildert haben, treffen nur z.T. auf meinen Fall zu, es sind jedoch so viele Parallelen vorhanden, dass ich vermute, es könnte sich um eine Abart des SpySheriffs handeln.
Es sind bei mir folgende
Unterschiede und Parallelen zum SpySheriff zu beobachten:
- Von den im genannten Thread aufgeführten 5 Dateien ist bei mir nur der kernels.exe vorhanden gewesen.
- Der Desktop-Hintergrund ist (im Ggsatz. zum SpySheriff) erhalten geblieben, dafür ist alles andere vom Bildschirm verschwunden.
- Zwar sind bei mir (wie z.T. beim Spysheriff) die Desktopsymbole verschwunden, aber die entsprechenden HideIcons-Einträge der Registry in HKCU und HKU stehen seltsamerweise beide auf 0, wie es sein sollte!?! (Der Inhalt des Ordners C:\Dok+Einst\...\Desktop ist NICHT gelöscht!)
- Meine Start- und Suchseiten sind nicht verändert (im Ggsatz. zum SpySheriff).
- Meine Internet-Präfixe sind in HKLM nicht verändert (im Ggsatz. zum SpySheriff).
- Der Eintrag 'Spy( )Sheriff' findet sich nicht in meiner Registry (HKLM).
- Dafür war "kernels.exe" in 3 Schlüsseln vorhanden - u.a. wohl auch in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe .
- Und der Task-Manager war (wie beim SpySheriff) gesperrt.
- Außerdem ist bei mir auch die Taskleiste verschwunden, etwas, was in keinem der anderen Fälle geschildert wurde.
Bei meinem
Löschen der drei kernels.exe-Einträge in der Registry habe ich dummerweise aus dem Schlüssel
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe
den GANZEN Wert gestrichen, inklusiv "Explorer.exe". Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme "hausgemacht" ist.
Ich habe also versucht, den Wert "Explorer.exe" in den genannten Schlüssel wieder einzutragen. Dabei kriege ich jedoch folgende Fehlermeldung:
"shell kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."
Das könnte evt. an den eingeschränken Benutzerrechten liegen, die ich unter dieser Benutzerkennung nur habe??
Oder weiß jemand einen anderen Grund?
Meine Frage nun:
Wie kriege ich den Wert "Explorer.exe" wieder in die Registry?
Das Administratorkonto hat wegen gesperrtem Taskmanager keine Programmzugriffe und das einfache Benutzerkonto kann zwar zugreifen, darf den Wert aber anscheinend nicht ändern!
Weiß da jemand Rat???
neward
