Nackter XP-Desktop - Explorer will nicht mehr

#0
15.02.2006, 03:18
...neu hier

Beiträge: 5
#1 Hallo Leute,

ich habe zwar einen netten Desktop-Hintergrund, aber es ist etwas lästig, dass ich nach dem Booten nichts anderes mehr sehe!

Mein System: XP Home SP1

Symptome

- Wenn ich den Rechner hochfahre, wird das Benutzerkennwort abgefragt und - egal unter welcher Benutzerkennung ich mich anmelde - erscheint anschließend NUR der jeweilige Desktop-Hintergrund, sonst nichts.

- Die Taskleiste wird zwar für Sekundenbruchteile angezeigt, verschwindet aber sofort wieder.

- Der Task-Manager zeigt zwar viele Prozesse unter den Benutzerkennungen SYSTEM, LOKALER DIENST und NETZWERKDIENST, jedoch läuft kein einziger Prozess unter meinem angemeldeten Benutzernamen.

- Auch die in der Registry nach wie vor vorhandenen Einträge unter HKLM/Software/Microsoft/Windows/Current Version/Run werden nicht gestartet.

- Im Task-Manager kann ich unter Anwendungen mit dem Button "Neuer Task…" Programme starten, die auch überwiegend problemlos laufen.

- Nicht jedoch laufen:
1) C:\WINDOWS\explorer.exe - Wie beim Hochfahren erscheint nur für Sekundenbruchteile die Taskleiste und verschwindet sofort wieder. Sonst passiert nichts. Auch in der Prozessliste taucht nichts auf.
2) Dasselbe passiert beim Doppelklicken von C:\WINDOWS\explorer.scf.
3) C:\Programme\Internet Explorer\iexplore.exe - Hier passiert überhaupt nichts. Auch in der Prozessliste taucht nichts auf.
4) C:\Programme\Outlook Express\msimn.exe - lässt sich starten. Die DFÜ-Verbindung (DSL) lässt sich herstellen. Der Mail-Server wird jedoch nicht gefunden.
5) Auch AntiVir PersonalEdition Classic scannt die Laufwerke zwar problemlos, kriegt aber trotz bestehender DSL-Verbindung keinen Kontakt zum Server fürs Updaten.


Gecheckte Fehlerquellen

- In C:\WINDOWS\ und in C:\WINDOWS\system32 gab's, als der Mist begann, nur einen Neueintrag: das Verzeichnis C:\WINDOWS\system32\sp2logs mit 2 Files:
>> f14.exe, der von AntiVir als "TR/Drop.Small.abs.1" identifiziert und in Quarantäne genommen wurde, und
>> sp2.log, der nur den Text "f14.exe" und ein Sonderzeichen enthält.
Google liefert für "Drop.Small.abs.1" nur einen Treffer, der aber inhaltlich nichts bringt, da es sich nur um einen Listeneintrag handelt.

- Die Datei explorer.exe auf dem XP SP2-Rechner meines Bruders hat 999.424 Bytes - meine dagegen 1.007.104 Bytes. Ich habe versucht, meine umzubenennen und durch die meines Bruders zu ersetzen, klappt aber nicht. Sobald die alte umbenannt ist, wird sie automatisch durch eine neue 1007er Kopie ersetzt. Selbst wenn ich schnell genug bin beim Reinkopieren der 999er Version, so dass sie angezeigt wird, ist sie nach einem F5-Anzeigen-Refresh wieder durch die 1007er Version ersetzt.

- Ich habe die 1007er Version bei Kaspersky einem Online-Filecheck unterziehen lassen. Kaspersky sagte jedoch "You're clean".

- Ein HiJackThis-Lauf brachte auch keine neuen Erkenntnisse. Ich habe das Log unten aber mal angefügt.


Weiß irgend jemand mit diesen Symptomen etwas anzufangen? ...oder hat Tipps für mich, wie ich die Explorer- und IE-Funktionalität wiederbekomme und eine Reparaturinstallation vielleicht doch noch umgehen kann?



Logfile of HijackThis v1.99.1
Scan saved at 03:41:28, on 14.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft Office2000prof\Office10\WINWORD.EXE
C:\windows\System32\taskmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Programme\WindowsCommander\WINCMD32.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Downloads\HijackThis\1.99.1\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: (no name) - {8B224779-3B0E-4FEA-8AE1-B66C20DD840F} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] XXX_RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Dialer Control] C:\PROGRA~1\Coolspot\DIALER~1\dc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Windows Update Client ] XXX_C:\windows\system32\wuclient.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2000prof\Office10\OSA.EXE
O4 - Global Startup: Zone Labs Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIA2DC~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - C:\windows\System32\shdocvw.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted IP range: 63.218.226.78
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.trojanscan.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O19 - User stylesheet: (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - XXX_C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - Unknown owner - C:\WINDOWS\wanmpsvc.exe (file missing)
Seitenanfang Seitenende
15.02.2006, 08:23
Member

Beiträge: 3306
#2 SP2 installieren repariert wahrscheinlich auch deine anscheinend defekten Systemdateien. Ansonsten sfc:
http://support.microsoft.com/kb/310747/DE/
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
15.02.2006, 15:29
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo asdrubael,

danke für deine Tipps! Klingen beide gut! Werde beides heute Abend mal ausprobieren.

Ich melde mich und werde von den Ergebnissen berichten.

neward



UPDATE



Hallo,

es ist alles wieder da - Explorer, Taskleiste, Icons, Benutzerprozesse, alles! ;)


mein Vorgehen

Das Befehlszeilen-Systemdatei-Reparaturprogramm C:\WINDOWS\system32\sfc.exe hat zwar viel und lange auf der Festplatte herumgerödelt, anschließend aber keinerlei Ergebnisse seiner Tätigkeit bekannt gegeben. An der Symptomatik des nackten Desktops hat es auch nichts geändert.

Der normale Weg, die Systemwiederherstellung zu starten, funktionierte natürlich nicht.
(Auf die Idee, die zugehörige exe-Datei herauszufinden und manuell zu starten, kam ich erst später:
TaskManager|Anwendungen|Neuer Task...|Durchsuchen... | C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Zubehör\Systemprogramme\ Systemwiederherstellung|re MT|Eigenschaften :
"%SystemRoot%\System32\restore\rstrui.exe".)

Also bin ich ohne Änderung an der Systemwiederherstellung in den Abgesicherten Modus gegangen.
Was ich nicht (mehr?) wusste: XP fragt hier, ob man die Probleme im Abgesicherten Modus manuell in Angriff nehmen will oder ob die Systemwiederherstellung gestartet werden soll.
Letztere brachte dann den Durchbruch! Ich bin auf den Zustand vom 19.12.2005 zurückgegangen und alles war wieder da! Was immer den Explorer beim Starten abgeschoss, war damit (hoffentlich endgültig!) beseitigt!

Wenn man's erst mal weiß... nach langer Recherche ein (peinlich) simpler Weg.

Natürlich musste ich anschließend den AntiVir-Update auf Version 7 und ein zuvor durchgeführtes HijackThis-Fixing wiederholen. Und ich denke, ich werde mir demnächst auch mal die Zeit nehmen, SP2 und die folgenden Patches zu installieren.


In dem Zusammenhang eine Frage: XP ist ja bei Neuinstallation extrem gesprächig, was Hintergrundkommunikation ins Internet angeht. Wie ist das nach der Installation des SP2? Werden dabei die durch XP AntiSpy gestopften Löcher (und/oder andere) wieder aufgerissen?


Zum Abschluss noch ein kurzes Wort zur beschriebenen Symptomatik:

Wie ich jetzt beim Googlen in verschiedenen Foren las, trat in den letzten Wochen Folgendes bei mehreren Leuten auf:

Beim Systemstart wird die Benutzerkennung erst ganz normal abgefragt, dann werden die Prozesse userinit.exe und explorer.exe gestartet und userinit auch wieder beendet, - soweit ist noch alles ganz normal.
--> Dann jedoch blitzt die Taskleiste nur ganz kurz auf, der Prozess explorer.exe wird gecancelt - warum und durch wen auch immer - und der Desktop bleibt "nackt".
--> Dies traf - zumindest bei mir und einigen anderen der Betroffenen - für ALLE Benutzerkennungen des Rechners zu, sogar auch im Abgesicherten Modus.
--> Es werden keine der Registry-"Run bei Boot"-Programme gestartet.


Da die Probleme - wie bei mir - oft in Anschluss an einen Download auftraten, drängt sich mir die Vermutung auf, dass da irgendeine Malware unterwegs ist, die zumindest AntiVir noch nicht identifiziert.

Naja, ich hoffe jedenfalls, es los zu sein, was immer es gewesen sein mag.
Herzlichen Dank noch mal!! ;)

neward
Dieser Beitrag wurde am 17.02.2006 um 07:38 Uhr von neward editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: