nur noch Desktop-Hintergrund sichtbar

#1 Hallo!

mein System: Windows XP Home - SP1, Antivir (aktuell), ZoneAlarm, SpywareGuard

Von einer der Internetseiten, die ich offen hatte, ist die Malware "web.exe" nach C:\WINDOWS\system32 runter geladen worden und verlangte sofort Zugriff aufs Internet. ZoneAlarm stoppte das. Ich konnte in Ruhe den Prozess "web.exe" (per Utility "Ants") killen und die Datei löschen. Die gleichzeitig nach system32 herunter geladene Datei "kernels.exe" löschte ich mit.
Zwar war auch unter "Ctrl-Alt-Del" der Task-Manager-Button deaktiviert, aber das beunruhigte mich nicht weiter, da ich dahinter nur eine simple Registry-Einstellungs-Änderung vermute.

Beim nächsten Rechnerstart kam die Fehlermeldung, C:\WINDOWS\system32\kernels.exe könne nicht gefunden werden. Da ich gerade mit meinem Bruder telefonierte, habe ich nebenbei die Registry aufgerufen und nach "kernels.exe" suchen lassen. Den ersten Eintrag in HK??/.../Run namens "System" mit dem Inhalt "c:\windows\system32\kernels.exe" habe ich sofort gelöscht. Eine zweite Fundstelle befand sich in ??/.../RunServices (oder so ähnlich). Dort habe ich nur den Inhalt gelöscht und den Wert ohne Inhalt stehen gelassen. Bei der dritten Fundstelle habe ich - glaube ich - wieder den ganzen Wert gelöscht. Dann wurde nichts mehr gefunden. Leider war ich durch das Telefonat mit meinem Bruder so abgelenkt, dass ich mir von der zweiten und dritten Fundstelle fast nichts gemerkt habe.
Nach Schließen der Registry funktionierte der Rechner erstmal problemlos weiter.

Seitdem tritt beim Neustart allerdings Folgendes auf:
Der Rechner fährt hoch wie gewohnt, fragt mein (Administratoren-) Passwort ab, zeigt meinen Desktop-Hintergrund an und belässt es dabei. Weder die Taskleiste (von Start-Button bis Uhr) noch die Desktop-Icons oder ihre Beschriftung werden angezeigt. Nur der nackte Desktop-Hintergrund. Ctrl-Alt-Del bringt zwar nach wie vor das "Windows-Sicherheit"s-Fenster auf den Schirm (mit immer noch deaktiviertem Task-Manager-Button), aber mehr ist nicht zu wollen.

Ich habe mal alle Buchstaben zusammen mit der Ctrl-, der Alt- und dann der Windows-Taste ausprobiert. Mit der Ctrl- und der Alt-Taste tut sich gar nichts. Bei der Windows-Taste zeigt sich NUR eine Reaktion bei:

Windows u --> Das Fenster "Hilfsprogramm-Manager" für die Bildschirmtastatur und die Bildschirmlupe geht auf und ist benutzbar.

Windows l --> Es erscheint das Fenster "Sperrung des Computers aufheben" mit dem Kommentar:
"Der Computer wird gerade verwendet und ist gesperrt. Nur NEUERXP\Besitzer oder ein Administrator kann die Sperrung aufheben."
Wenn ich dort meinen Benutzername "Besitzer" und das Kennwort eingebe, lande ich wieder nur auf dem nackten Desktop und ein erneutes Windows l öffnet unverändert dasselbe Fenster.
Wenn ich ein falsches Kennwort eingebe, beschwert er sich, dass es falsch ist.

Windows r, habe ich mir inzwischen sagen lassen, soll eine Befehlszeile öffnen, über die man per "explorer.exe" einen ähnlichen Zustand wieder beheben können soll.
Windows r und Windows R bewirken bei meinem Rechner aber leider nichts.

Fällt jemandem vielleicht zu einer solchen "Dauersperrung" etwas ein? Mir leider nicht!

neward

#2 Hab in nem anderen Forum was drüber gefunden: http://www.wintotal-forum.de/index.php/topic,84123.0.html

#3 Hallo vfgt,

VIELEN DANK für den genialen Link! Der hat mich inhaltlich ein ganzes Stück weiter gebracht.


AKTUALISIERUNG:


Als Erstes muss ich Folgendes ergänzen:

Ich habe vor Ewigkeiten einen zweiten Benutzer (allerdings mit eingeschränkten Rechten) auf meinem Rechner angelegt, an den ich mich jetzt wieder erinnerte. Dieser Benutzer hat zwar auch nur den nackten Desktop-Hintergrund und sonst nichts auf dem Schirm, aber DESSEN Task-Manager ist NICHT deaktiviert, so dass ich darüber Zugriff auf den WindowsExplorer und die Registry bekomme.


Dann muss ich berichten: Die Symptome, die die Leute in diesem anderen Forum geschildert haben, treffen nur z.T. auf meinen Fall zu, es sind jedoch so viele Parallelen vorhanden, dass ich vermute, es könnte sich vielleicht um eine Abart der Malware "SpySheriff" handeln.


Es sind bei mir folgende Unterschiede und Parallelen zum SpySheriff zu beobachten:

- Von den im genannten Thread aufgeführten 5 Dateien ist bei mir nur der kernels.exe vorhanden gewesen.
- Der Desktop-Hintergrund ist (im Ggsatz. zum SpySheriff) erhalten geblieben, dafür ist alles andere vom Bildschirm verschwunden.
- Zwar sind bei mir (wie z.T. beim Spysheriff) die Desktopsymbole verschwunden, aber die entsprechenden HideIcons-Einträge der Registry in HKCU und HKU stehen seltsamerweise beide auf 0, wie es sein sollte!?! (Der Inhalt des Ordners C:\Dok+Einst\...\Desktop ist NICHT gelöscht!)
- Meine Start- und Suchseiten sind nicht verändert (im Ggsatz. zum SpySheriff).
- Meine Internet-Präfixe sind in HKLM nicht verändert (im Ggsatz. zum SpySheriff).
- Der Eintrag 'Spy( )Sheriff' findet sich nicht in meiner Registry (HKLM).
- Dafür war "kernels.exe" in 3 Schlüsseln vorhanden - u.a. wohl auch in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe .
- Und der Task-Manager war (wie beim SpySheriff) gesperrt.
- Außerdem ist bei mir auch die Taskleiste verschwunden, etwas, was in keinem der anderen Fälle geschildert wurde.


Bei meinem Löschen der drei kernels.exe-Einträge in der Registry habe ich dummerweise aus dem Schlüssel
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: Explorer.exe C:\Windows\system32\kernels.exe
den GANZEN Wert gestrichen, inklusiv "Explorer.exe". Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme "hausgemacht" ist.

Ich habe also versucht, den Wert "Explorer.exe" in den genannten Schlüssel wieder einzutragen. Dabei kriege ich jedoch folgende Fehlermeldung:
"shell kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Das könnte evt. an den eingeschränken Benutzerrechten liegen, die ich unter dieser Benutzerkennung nur habe??
Oder weiß jemand einen anderen Grund?

Meine Frage nun:
Wie kriege ich den Wert "Explorer.exe" wieder in die Registry?
Das Administratorkonto hat wegen gesperrtem Taskmanager keine Programmzugriffe und das einfache Benutzerkonto kann zwar zugreifen, darf den Wert aber anscheinend nicht ändern!

Weiß da jemand Rat???

neward

#4

Zitat

Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme "hausgemacht" ist.

Das kann nicht nur sein das ist so. Du hast planlos in der Registry rumgelöscht und damit dein System kaputt repariert.

Den alten Zustand kannst du wiederherstellen indem du den Registry-Editor mit deinem normalen Benutzer über "ausführen als..." startest und dann dein Admin-Passwort eingibst: http://www.zdnet.de/enterprise/os/0,39023494,20000267-43,00.htm

Oder die Systemwiederherstellung, das ist noch einfacher.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5

Zitat

asdrubael postete

Zitat

Es könnte daher sein, dass ein großer Teil meiner geschilderten Probleme "hausgemacht" ist.

... Du hast planlos in der Registry rumgelöscht und damit dein System kaputt repariert.

Jaa, bohre nur in meinen Wunden - du hast ja Recht! ;-)


UND:
HERZLICHEN DANK!
ALLES IST WIEDER NORMAL ZUGÄNGLICH.

Auch die Deaktivierug des Taskmanagers war über den Schlüssel
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 0
schnell behoben.


Ok, was lernen wir (will heißen: ich) daraus?

1) Bevor ich - wie schon häufig - die Registry editiere: Telefonhörer aus der Hand legen, am besten Telefonat ganz beenden, tief durchatmen und dann GENAU hingucken.

2) Ein zweites, normalerweise nicht zu benutzendes Administratorenkonten anlegen und so zur Sicherheit in petto haben.

3) Demnächst möglichst nur noch von einem Benutzerkonto mit eingeschränkten Rechten aus surfen.

4) Mir dieses Forum SEHR gut merken, das dank eurer beider Hilfe mein Problem mit zwei sehr kurzen und faszinierend zielgenauen Tipps hat beseitigen können!!

Danke Euch beiden! :-)))

neward