MiLLHouSe 15 Geschrieben 28. Februar 2012 Melden Teilen Geschrieben 28. Februar 2012 Hallo, ich habe ein seltsames Phänomen mit einem XP-Client. Sobald ich mich am System anmelde, sehe ich nur das Hintergrundbild des jeweils angemeldeten Benutzers, keine Taskleiste, keine Symbole auf dem Desktop. Nun muss ich den Task-Manager über STRG+ALT+ENTF aufrufen und die explorer.exe manuell starten. Danach verhält sich der Rechner ganz normal, bis man ihn neu startet oder einen anderen Benutzer anmeldet. Zuerst dachte ich, dass evtl. das Profil des Users defekt sei, da ich aber mit einem Benutzerkonto, das noch nie vorher dort angemeldet war, auch diese Probleme habe, muss es wohl an etwas anderem liegen. Der Rechner ging gestern noch, der User hat nichts installiert, nichts dran verändert, lediglich heute morgen versucht, sich wie immer anzumelden. Was könnte ich probieren, damit's wieder läuft oder muss ich evtl. eine Neuinstallation in Betracht ziehen? Danke schonmal! Grüße Alex Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. Februar 2012 Melden Teilen Geschrieben 28. Februar 2012 Versuch eine Systemwiederherstellung. Zitieren Link zu diesem Kommentar
Grzesiek 10 Geschrieben 2. März 2012 Melden Teilen Geschrieben 2. März 2012 schau mal was da bei Dir steht: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe und prüfe dieses: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options da darf explorer.exe nicht stehen sonst wird es nicht ausgeführt Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 2. März 2012 Autor Melden Teilen Geschrieben 2. März 2012 Hallo Grzesiek, danke für die Tipps. Den ersten kannte ich schon und habe ihn überprüft, war alles in Ordnung. Auch beim zweiten Tipp passt alles. Ich wollte schon eine Systemwiederherstellung machen, jedoch braucht die Kollegin den Rechner dringend, da nächste Woche der Echtstart vom ERP-System ansteht und sie nicht davon weg kann. Vom Prinzip her tut's jetzt auch nicht weh, da man explorer.exe halt manuell starten muss. Nächste Woche dann probiere ich mal die Wiederherstellung und werde auch kurz berichten. Alex Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 2. März 2012 Melden Teilen Geschrieben 2. März 2012 Wie verhält es sich denn im abgesicherten Modus? Falls es in diesem klappt, kontrolliere mal z.B. mit "autoruns" von Sysinternals, ob sich da eine Explorer-Erweiterung reingeschrieben hat. Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 2. März 2012 Autor Melden Teilen Geschrieben 2. März 2012 So, jetzt ist's dann wohl doch passiert :( . Die Kollegin hat gerade ihren Rechner neu gestartet und hat jetzt das Problem, dass sie sich zwar anmelden kann, sie aber sofort wieder abgemeldet wird. Lasse gerade von Avira die Rescue-CD drüber laufen, gefunden wurde aber noch nix. Kann ich noch irgendwas ausprobieren? Möchte nicht unbedingt den ganzen Rechner platt machen müssen (auch wenn das bei dem System eigentlich das Sinnvollste wäre). Zitieren Link zu diesem Kommentar
Grzesiek 10 Geschrieben 2. März 2012 Melden Teilen Geschrieben 2. März 2012 ich würde auf einen Trojaner tippen, das hatte ich letztens auch, genau das selbe Verhalten. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ist userinit soweit korrekt ? Ich konnte es mit der BartePE CD beheben. Habe die Registry darüber bearbeitet und dann ging es auch. Bei mir war explorer.exe blockiert Wie ist es wenn Du abgesichert startest ? Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 2. März 2012 Autor Melden Teilen Geschrieben 2. März 2012 Abgesichert komme ich auf's System, keine Probleme, nur die sonst üblichen Einschränkungen. Zitieren Link zu diesem Kommentar
Grzesiek 10 Geschrieben 2. März 2012 Melden Teilen Geschrieben 2. März 2012 lade dir die BartPE wen Du sie noch nicht hast und lade dir SoftwareTeil der Registry. Prüfe dan erneut die Einträge. Du kannst auch alle autoruns über msconfig abstellen und schauen wie es sich verhält Ich konnte den Trojanermit Kaspersky VirusRemoval entfernen Zitieren Link zu diesem Kommentar
bouser 10 Geschrieben 15. März 2012 Melden Teilen Geschrieben 15. März 2012 Hallo! Ich glaube ich habe mir hier das gleiche Miststück von Trojaner an gleich zwei Rechnern eingefangen. Angefangen hat es damit dass die Explorer.exe beim Systemstart nicht geladen wurde und somit keine Icons usw. angezeigt wurden. Jetzt meldet der Rechner sich sofort nach der Anmeldung wieder ab. Ein Systemwiederherstellungspunkt lässt sich nicht erfolgreich wiederherstellen und das beschriebene Kaspersky Removal Tool meldet, dass keine Bedrohungen gefunden wurden. Im abgesicherten Modus lässt sich der Rechner starten und arbeitet auch normal. Die Registrierungseinträge sehen für mich richtig aus. Hat noch jemand einen Tipp für mich? Vielen Dank, bouser Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 15. März 2012 Melden Teilen Geschrieben 15. März 2012 Einzige sinnvolle Möglichkeit: Von einer Rettungs-CD/DVD mit aktuellem Virenscanner booten und das System durch scannen. OK: Oder das System neu installieren, da man einem schon einmal infiziertem System nicht mehr trauen kann ;) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 15. März 2012 Melden Teilen Geschrieben 15. März 2012 Im abgesicherten Modus lässt sich der Rechner starten und arbeitet auch normal. Die Registrierungseinträge sehen für mich richtig aus. Hast Du schon mit Autoruns von Sysinternals gearbeitet? Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 15. März 2012 Autor Melden Teilen Geschrieben 15. März 2012 Also ich habe den Rechner nicht mehr hinbekommen. Selbst mit der Avira-Rescue-CD nicht. Das Ding hat angeblich nix gefunden. Da der Rechner aber sowieso schon sehr alt war, wurde er jetzt kurzerhand ersetzt... Was aber natürlich nicht die eigentliche Ursache gelöst hat. Zitieren Link zu diesem Kommentar
bouser 10 Geschrieben 15. März 2012 Melden Teilen Geschrieben 15. März 2012 ich bin jetzt mit mehreren AV Boot CDs (Avira, Bitdefender, Trendmicro) an die Sache herangegangen, jedoch bisher ohne Erfolg. Schuld am sofortigen Herunterfahren ist wohl der Registrierungseintrag: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options Hier ist die userinit.exe eingetragen. Wenn ich den Schlüssel lösche, erscheint er sofort wieder nach dem Reboot. Ich will den Rechner aber noch nicht aufgeben, da einige schwer zu konfigurierende Programme darauf laufen :-( Mal schauen ob ich Autoruns auf die Kiste bekomme und ob es neue Erkenntnisse bringt. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 15. März 2012 Melden Teilen Geschrieben 15. März 2012 Mal schauen ob ich Autoruns auf die Kiste bekomme und ob es neue Erkenntnisse bringt.Das wird Dir höchstwahrscheinlich auch nicht viel bringen, da es sich nach einem Rootkit anhört und dieses sich vor dem Dateisystem versteckt. Also auch vor Autoruns. Versuche mal eine Antiviren-Boot-CD mit Rootkit-Erkennung wie z.B. Kaspersky, Eset. Avast hat ein Beta-Produkt, dass auf Gmer aufbaut. Das könntest Du auch mal versuchen. Meistens wird von den Viechern der MBR verseucht. Deshalb mache ich immer auch ein Fixmbr in der Konsole. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.