Supportnet / Forum / WindowsXP
Probleme mit MS Windows Xp Home
Frage
Hi leutz, ich hab da folgendes Problem und zwar auf einem Rechner wo MS windows XP home drauf is.
Also zum Problem: der PC startet normal und kommt zu dem Punkt wo man sich als Benutzer einlogen kann, wenn man jetzt einen Benutzer auwählt passiert nicht viel: zuerst dauert es bis der Desktop zu sehen ist aber dann ist auch schluss, denn das einzigste was man sieht ist der Hintergrund ohne irgendwelche icons oder einer taskleiste, auch die rechte Maustaste funzt nicht. Das einzigste was ich noch machen kann ist den Taskmanager zu öffnen.
das selbe im abgesicherten modus,da funzt es auch nicht, hab auch die zuletzt funktionierende einstellung gewählt, hat aber bis jetzt nichts gebracht.
Hier ein einblick in den Taskmanager:
wuauclt.exe
alg.exe
savscan.exe
ccEvtMgr.exe
wanmpsvc.exe
nvsvc32.exe
navapsvc.exe
ccSetMgr.exe
spoolsv.exe
mdm.exe
taskmgr.exe
LEVPPS.EXE
LEXBCES.EXE
lsass.exe
5x svchost.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
System
Leerlaufprozess
Irgendwelche ideen woran das liegen kann?
PS: Formatiern kommt absolut nicht in Frage! (leider)
Antwort 1 von gerda
systemwiederherstellung!
Antwort 2 von gerda
geht start/ausführen überhaupt?
Antwort 3 von MAx-2001
geht ja nicht da es gar keine reaktion seitens des Betriebssystems gibt, sprich man kommt nicht so weit nei um ne Systemwiederherstellung durch zu führen
Antwort 4 von MAx-2001
es gibt gar nichts auf den desktop als das hintergrundbild.
Antwort 5 von chrisnordlicht
Also die wuauclt.exe kann auch ein Trojaner namens Troj/Cult-B sein, der die Schwierigkeiten verursacht. Wenn er erstmals ausgeführt wird, kopiert sich der Trojaner als WUAUCLT.EXE in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass WUAUCLT.EXE automatisch beim Start von Windows ausgeführt wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE. Vielleicht hast Du ja noch eine Heft-CD mit Virenscanner liegen?
Gruß Chris
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE. Vielleicht hast Du ja noch eine Heft-CD mit Virenscanner liegen?
Gruß Chris
Antwort 6 von chrisnordlicht
Als Ergänzung: normalerweise ist die wuauclt.exe für den automatischen Update von Windows und damit harmlos, mit dem Trojaner mutiert sie allerdings zu nicht mehr harmlos.
Chris
Chris
Antwort 7 von papst
Zitat:
es gibt gar nichts auf den desktop als das hintergrundbild.
funktioniert das über die tastatur eventuell? es gibt gar nichts auf den desktop als das hintergrundbild.
drücke mal die windowstaste die ist ganz untem links an zweiter stelle
Antwort 8 von MAx-2001
hey, cool danke Chris! Ich müsst noch eine irgendwo rumliegen haben. Aber wenn ich sie nich find hast du zufällig ein Link parat?
Antwort 9 von MAx-2001
@ papst: sorry klappt auch nich.
Antwort 10 von chrisnordlicht
Antwort 11 von swisspower32
Hallo MAx-2001
Um die systemwiderherstellung zu öffnen probiere folgendes:
öffne den Taskmanager
klicke auf Datei
Neuer Task
gib %SystemRoot%\System32\restore\rstrui.exe ein
klicke auf OK
minimiere den Taskmanager damit die Systemwiderherstellung sichtbar wird. folge nun den Anweisungen des Programmes.
Gruss Swisspower32
Um die systemwiderherstellung zu öffnen probiere folgendes:
öffne den Taskmanager
klicke auf Datei
Neuer Task
gib %SystemRoot%\System32\restore\rstrui.exe ein
klicke auf OK
minimiere den Taskmanager damit die Systemwiderherstellung sichtbar wird. folge nun den Anweisungen des Programmes.
Gruss Swisspower32
Antwort 12 von MAx-2001
also die Sache sieht momentan wie folgt aus, zwar hab ich dank dir Swisspower32 die Systemwiederherstellung druchführen können, dies hat aber leider nichts gebracht. Und ich hab dann auch noch den NortenAntivir zum laufen gebracht, dieser hat aber auch keinen Virus oder Troj oder sonstiges gefunden (später versuch ich noch zwei andere Antivir Progs). Was könnte das bloß sein?
Ich hab mich auch versucht jetzt als Admin, im normalen zustand, anzumelden aber dann kamm die Fehlermeldung " Wegen einer Kontobeschränkung dürfen Sie sich nicht anmelden." im abgesicherten modus klapt die anmeldung ohne probleme aber halt wieder nur bis zu dem Punkt das nur das Hintergrund zu sehen ist.
Ich hab mich auch versucht jetzt als Admin, im normalen zustand, anzumelden aber dann kamm die Fehlermeldung " Wegen einer Kontobeschränkung dürfen Sie sich nicht anmelden." im abgesicherten modus klapt die anmeldung ohne probleme aber halt wieder nur bis zu dem Punkt das nur das Hintergrund zu sehen ist.
Antwort 13 von swisspower32
Hallo MAx-2001
Antwort 5 hat mich nachdenklich gemacht. versuche mal folgendes:
Taskmanager
Datei
Neuer Task -> explorer
ok
gehe ins verzeichniss
C:\WINDOWS\system32
Dort suchst du die Datei
wuauclt.exe
und denennst sie in wuauclt.exe.old um.
Danach startest du den PC neu. Poste deine Erkenntnis wider hir ins Forum. Würde mich brennend intressieren ob es wirklich an dieser Datei liegt.
Gruss Swisspower32
Antwort 5 hat mich nachdenklich gemacht. versuche mal folgendes:
Taskmanager
Datei
Neuer Task -> explorer
ok
gehe ins verzeichniss
C:\WINDOWS\system32
Dort suchst du die Datei
wuauclt.exe
und denennst sie in wuauclt.exe.old um.
Danach startest du den PC neu. Poste deine Erkenntnis wider hir ins Forum. Würde mich brennend intressieren ob es wirklich an dieser Datei liegt.
Gruss Swisspower32
Antwort 14 von MAx-2001
@swisspower32: den explorer zu öffnen klapt schon mal nich da leider eine Fehlermeldung kamm:"explorer" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegben haben und wiederholen Sie den Vorgang. ...
hab aber durch die Eingabeaufforderung die dateien umbenannt und auch gelöscht aber diese sind wieder wie aus dem nichts aufgetaucht. und was mir noch aufgefallen ist, ist das ich im ordner windows\system32\ die datei wuauclt.exe und eine wuauclt1.exe befindet, dass kann doch nich normal sein oder?
hab aber durch die Eingabeaufforderung die dateien umbenannt und auch gelöscht aber diese sind wieder wie aus dem nichts aufgetaucht. und was mir noch aufgefallen ist, ist das ich im ordner windows\system32\ die datei wuauclt.exe und eine wuauclt1.exe befindet, dass kann doch nich normal sein oder?
Antwort 15 von MAx-2001
Also hab grad die Platte abgesteckt gehabt und mit meinem System AVG 7 durchgescannt, dabei wurden Folgende Sachen gefunden:
Trojaner:
- Clicker.3.AC
- Downloader.Istbar.4.BK
- IRC/Backdoor.SdBot.67.F
Virus:
- Exploit.MS04-011
und entfernt.
So damit hoff ich ist die Platte einigermahßen Befallfrei geworden. Das Problem das außerdem Hintergrundbild nichts mehr geht besteht aber immer noch. Hmmm....
Trojaner:
- Clicker.3.AC
- Downloader.Istbar.4.BK
- IRC/Backdoor.SdBot.67.F
Virus:
- Exploit.MS04-011
und entfernt.
So damit hoff ich ist die Platte einigermahßen Befallfrei geworden. Das Problem das außerdem Hintergrundbild nichts mehr geht besteht aber immer noch. Hmmm....
Antwort 16 von swisspower32
Hallo MAx-2001
Dass die Datei wuauclt.exe immer wider erscheint ist normal, da das System damit Arbeitet. Allerdings wird dabei eine Sicherung dieser Datei widrhergestellt. Wenn also es wirklich an diser Datei ligt und das Problem weiterhin besteht kann es sein, dass auch die Sicherungsdatei Infisziert ist. Die Datei mit dem Namen wuauclt1.exe existiert auch auf meinem PC. Wenn man der Info trauen kann ist das der Client des automatischen Updates von Windows Update. Super infotext ;-)
Ob das Admin-Konto gesperrt ist (Wiso auch immer) kannst du überprüfen indem du folgendes machst:
Taskmanager
Neuer Task -> lusrmgr.msc
OK
Benutzer
Administrator
Rechtsklick
Eigenschaften
Wenn ein Hacken bei Konto ist Deaktiviert oder bei Konnto ist gesperrt ist, dann entferne ihn.
Nach einem Neustart solltest du dich wider unter Administrator anmelden können.
Gruss Swisspower32
Dass die Datei wuauclt.exe immer wider erscheint ist normal, da das System damit Arbeitet. Allerdings wird dabei eine Sicherung dieser Datei widrhergestellt. Wenn also es wirklich an diser Datei ligt und das Problem weiterhin besteht kann es sein, dass auch die Sicherungsdatei Infisziert ist. Die Datei mit dem Namen wuauclt1.exe existiert auch auf meinem PC. Wenn man der Info trauen kann ist das der Client des automatischen Updates von Windows Update. Super infotext ;-)
Ob das Admin-Konto gesperrt ist (Wiso auch immer) kannst du überprüfen indem du folgendes machst:
Taskmanager
Neuer Task -> lusrmgr.msc
OK
Benutzer
Administrator
Rechtsklick
Eigenschaften
Wenn ein Hacken bei Konto ist Deaktiviert oder bei Konnto ist gesperrt ist, dann entferne ihn.
Nach einem Neustart solltest du dich wider unter Administrator anmelden können.
Gruss Swisspower32
Antwort 17 von swisspower32
Nachtrag
Was bei deinem system auch Infiziert sein könnte ist der Task lsass.exe diese datei ist zwar auch ein bestandteil von Windows aber wird zum beispiel von verschiedenen Würmern verändert, damit das system einen Fatalerror erhält und neustartet. kann aber in gewissen fällen auch dazu führen, dass das system einfach nicht mehr arbeitet (wichtige dinste startet, funktionen zu verfügung stellt). Wenn du mit diesem PC irgendwie ins Internet kommst mach am besten einen Online systemscann.
Symantec bietet das kostenlos an
http://security.symantec.com/sscv6/default.asp?productid=symhome&la...
Gruss Swisspower32
Was bei deinem system auch Infiziert sein könnte ist der Task lsass.exe diese datei ist zwar auch ein bestandteil von Windows aber wird zum beispiel von verschiedenen Würmern verändert, damit das system einen Fatalerror erhält und neustartet. kann aber in gewissen fällen auch dazu führen, dass das system einfach nicht mehr arbeitet (wichtige dinste startet, funktionen zu verfügung stellt). Wenn du mit diesem PC irgendwie ins Internet kommst mach am besten einen Online systemscann.
Symantec bietet das kostenlos an
http://security.symantec.com/sscv6/default.asp?productid=symhome&la...
Gruss Swisspower32
Antwort 18 von MAx-2001
Hi Swisspower32,
Sorry aber lusrmgr.msc funktioniert leider bei Windows XP Home. Da steht nur eine Fehlermeldung da, dass die Home Version diese Funktion nicht enthält und ich in der Systemsteuerung durch die Benutzerkonnten mein Glück versuchen soll. hmm..
Ich versuch mal den PC online zu bekommen mal sehen ob es mir irgendwie gelingt.
Sorry aber lusrmgr.msc funktioniert leider bei Windows XP Home. Da steht nur eine Fehlermeldung da, dass die Home Version diese Funktion nicht enthält und ich in der Systemsteuerung durch die Benutzerkonnten mein Glück versuchen soll. hmm..
Ich versuch mal den PC online zu bekommen mal sehen ob es mir irgendwie gelingt.
Antwort 19 von MAx-2001
Hey Leute, also ich bin immer noch beim Restaurieren des Rechners und hab Hijackthis durchlaufen lassen, hab dabei auch wieder ein paar neue Würmer entdeckt. Hab aber auch noch ein paar andere Einträge gefunden mit denen ich nichts Anfangen kann, hat jemand ne Ahnung, was zum Geier diese Progs sind?
O4 - HKLM\..\RunServices: [System Startup] kimochi.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows Registry Scan] winmedia.exe
O4 - HKLM\..\Run: [Microsoft service] wsconf.exe
cheers,
MAx-2001
O4 - HKLM\..\RunServices: [System Startup] kimochi.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows Registry Scan] winmedia.exe
O4 - HKLM\..\Run: [Microsoft service] wsconf.exe
cheers,
MAx-2001