Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

System32 Ordner öffnet sich beim Systemstart





Frage

Hallo, seit kurzem öffnet sich bei jedem Systemstart der Ordner system32. Er lässt sich manuell schließen, aber trotzdem ist es nervig. Ich hab auch schon bei msconfig unter Systemstart alle Systemstartelemente deaktiviert - aber bei Neustart hat sich die Datei NvCpl selbständig wieder aktiviert. Die Datei gehört anscheinend zum nVidia-Grafikkartentreiber und liegt im system32-Ordner, daher könnte es also passen. Warum kann ich die Datei nicht deaktivieren und kann es sein, dass sich dabei um einen Trojaner handelt, der nur vorgibt, die Treiberdatei zu sein?

Antwort 1 von Martinho

Update:
Inzwischen ist es mir mit dem "StartupManager" gelungen, alle Systemstartelemente zu deaktivieren, auch NvCpl.
Der system32 Ordner öffnet sich aber trotzdem noch bei Systemstart, obwohl ja alle Systemstartelemente bei msconfig deaktiviert sind...
Wie lässt sich das Problem beheben?

Antwort 2 von MixMax

Also einer hatte es durch die systemwiederherstellung behoben, indem er das system einige tage vor auftreten zurückgesetzt hat.

Ich vermute es wird von einem Virenscanner oder ähnlichem verursacht.

Antwort 3 von Martinho

Hallo nochmal,
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen. Das system32 Ordner Problem hab ich aber erst seit gestern - es muss also doch was verändert worden sein...
Soll ichs nochmal mit einer älteren Systemwiederherstellung versuchen und können dabei Daten verlorengehen?

Antwort 4 von Birger

Hi

Has du das schon alles überprüft:

http://www.wintotal.de/Tipps/tipp270,urubrik6.html

Antwort 5 von Martinho

Hallo,
ich hab alle Tipps von dem Link schon probiert - aber weder im Registrierungs-Editor noch bei den Autostart-Einträgen in der Registry hab ich was finden können. Ein Norton Programm ist und war auch nicht installiert.
Was könnte mir jetzt noch weiterhelfen?

Antwort 6 von uwei

Zitat:
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen.

Ich bekomme keine derartige Meldung(außer dem ordnungsgemäßen, problemlosen Vollzug), selbst wenn ich einen vor einer Minute erstellten Wiederherstellungspunkt benutze.

Im abgesicherten Modus das gleiche?
Vielleicht auch mal chkdsk machen, kann nie schaden.

Antwort 7 von Martinho

Hallo,
ich hab chkdsk durchlaufen lassen - keine Veränderung.

Seit meinem erstem Systemwiederherstellungsversuch werden keine älteren Systemwiederherstellungsdateien mehr angezeigt. Die älteste stammt von vor 4 Tagen und wenn ich die auswähle, habe ich das oben genannte Problem, dass angeblich nichts verändert wurde.

Das system32-Problem tritt auf, seit ich mit "AdAware" und "Spybot - Search and Destroy" Trojaner und Spyware vom PC entfernt habe. Ich schätze mal, dass dabei ein Trojaner im System32 Ordner nicht vollständig gelöscht wurde - und jetzt beim Start immer den System32-Ordner ausführt...

Was kann ich noch machen?

Antwort 8 von Birger

Hi

Lade dir mal Autoruns runter: http://www.sysinternals.com/Utilities/Autoruns.html
und überprüf noch mal unter dem Reiter Logon von Autoruns die Starteinträge.

Kann sein, das nicht alle Einträge unter msconfig -6 aufgeführt sind.

Wenn da nichts zu finden ist und der Regschlüssel HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Userinit wirklich nur den Wert C:\WINDOWS\system32\userinit.exe aufweist und Nichts weiteres dort drin steht, dann Scan das System noch mal mit HijackThis http://www.hijackthis.de/de durch. Vielleicht findet der dann was.

Antwort 9 von Martinho

Hallo,
bei Autoruns zeigt es folgendes an:

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe


Könnte es daran liegen? Wird die setup32 benötigt?

Antwort 10 von Ludwig_HSV_Fan

ich hab auch das Problem und ich glaub das tritt bei mir auch auf weil ich Ad Aware oder Spybot... eingesetzt habe.
Das nervt total mit dem system32 Fenster!!!
Hab auch schon alles außer formatieren versucht. So weit will ich aber nicht gehen. Hoffe das sich mehr leute für unser Problem einsetzen!

Antwort 11 von uwei

C:\WINDOWS\system32\userinit.exe,
sollte bei Userinit stehen mit deinem entsprechendem Systempfad. Ändere das mal.

Gibt bei XP keine setup32.exe, kenne jedenfalls keine. Höchstens vielleicht SP2.
Wirst dir wohl irgendwelches Gewürm geholt haben und das ist eventuell der letzte Gruß davon.

Antwort 12 von Martinho

Hallo,

bei Userinit steht wirklich bloß C:\WINDOWS\system32\userinit.exe,

die setup32.exe hab ich auch schon deaktiviert und hijackthis durchlaufen lassen - aber keine Veränderung, system32 wird immer noch beim Systemstart geöffnet.

Antwort 13 von Mubarak

Hi, schon den Explorer-Eintrag überprüft?
Gehe über Start/Programme/Windows Explorer - rechte Maustaste Eigenschaften und trage unter Ziel: C:\WINDOWS\EXPLORER.EXE /n, /e, C:\ ein. Es müsste sich dann bei jeden Rechnerstart der Explorer mit den Laufwerk C: öffnen.
Wenn du nicht möchtest, dass sich beim Start der Laufwerksordner C: öffnet, dann entferne die Ergänzungen /n, /e, C:\ .

Sollte sich der Eintrag nach einen Neustart des PCs automatisch ändern, dann liegt es sicher an einen Virus.

MfG

Antwort 14 von Ludwig_HSV_Fan

moin ich bins nochmal.
Meni Kumpel hatte dieses Problem auch und hat das irgendwie mit nem Norton Produkt wegbekommen.................................. (weiss nicht ob das genau stimmt)

Antwort 15 von uwei

Zitat:
bei Autoruns zeigt es folgendes an:

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe
Also da steht nur ein Eintrag unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit?

C:\WINDOWS\system32\userinit.exe
und unter Imagepfad statt
c:\windows\system32\userinit.exe steht dort setup32.exe File not found: setup32.exe ?
Kann irgendwie so nicht sein.

Wenn dort setup32.exe steht, muß es auch in der Registry auftauchen.
Und not found heißt dann, keine setup32.exe am angegebenen Ort vorhanden.

Die Datei kann von einem Programm oder Virus sein.

Durchsuche die Registry nach setup32.exe. Muß ja irgendwo was stehen(außer Sucheinträgen), wenn die Datei nicht gefunden wird.

Antwort 16 von Martinho

Ok,

bei Autoruns siehts so aus:

http://img150.imageshack.us/img150/2185/autoruns9sd.jpg

und in der Registry so:
http://img213.imageshack.us/img213/6000/registry8xf.jpg

Bei Autoruns wird also setup32.exe angezeigt, in der Registry nicht. Werde jetzt die Registry danach untersuchen...

Gruß,
Martinho

Antwort 17 von Martinho

Hallo nochmal,

in den zweiten Link hat sich irgendwie ein <br> eingeschlichen. Einfach in der Adresszeile entfernen, dann wird es korrekt angezeigt.

Antwort 18 von uwei

Klar wird setup32 in der Registry angezeigt.
Da es deaktiviert ist, steht´s wohl wahrscheinlich bei Winlogon/AutorunsDis...

Keine Ahnung wofür es gut sein soll und ob es was mit system32 zu tun hat.
Wenn es der Rest von einem Virus ist, kann man alles in Autoruns löschen, wenn man möchte(delete).

Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht.
Wer weiß, was sonst noch alles so ist.

Durchsuche die Registry komplett nach setup32, wenn es nur daran liegen sollte.

Formatieren löst das Problem jedenfalls.

Antwort 19 von uwei

Ein aussagekräftiger Screenshot wäre komplett.

Dazu wählt man den Reiter Logon statt Everything.
Das paßt dann auch alles in eine Screenshot.

Antwort 20 von NEO88

Hi
Hier die Lösung von Microsoft.
http://support.microsoft.com/?kbid=170086
schau nochmal nach.
Gruß Neo

Antwort 21 von Ludwig_HSV_Fan

NEO88 (seltsamer Name) die Tipps von dem Microsoft link brachten nichts bei mir ....................... trotzdem danke !

Antwort 22 von hoilll

Zitat:
Antwort 10 von Ludwig_HSV_Fan vom 12.06.2006, 15:16 [--] [++] IIIIIIIII


ich hab auch das Problem und ich glaub das tritt bei mir auch auf weil ich Ad Aware oder Spybot... eingesetzt habe.


na dann überprüft mal die einstellungen bei spybot

Antwort 23 von Martinho

Hi,

Zitat:
Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht. Wer weiß, was sonst noch alles so ist.


Ich hab wirklich schon öfter Probleme mit Viren und Trojanern gehabt - und ich glaube, dass das Problem auch irgendwie mit deren Überresten zusammenhängt. Laut http://www.hijackthis.de/de (wirklich sehr zu empfehlen) ist aber aktuell nichts schädliches drauf.

Hier noch ein kompletter Screenshot von Autoruns:

http://img226.imageshack.us/img226/3977/autoruns0gh.gif

Ich hoffe, dass das irgendwie weiterhelfen kann.

Antwort 24 von Solo

Hi, du solltest mal Antwort 13 ausführen, ob da etwas auffällige zu finden ist. Was z.B. unter Ziel bei dir eingetragen ist.
Anderenfalls tippe ich auf einen Rootkit-Virus, diese tarnen sich gern als Treiber.

Antwort 25 von uwei

Außer daß einmal rdpclip aktiviert normal ist, sagt mir jetzt kernel32 beim Systemstart nichts. Der Rest sieht normal aus.

kernel32.dll ist eine Systemdatei und steht an sich nur bei "KnownDLLs".
Der zweite Eintrag ist der Rest einer Spyware, löschen.
Der erste Eintrag hat statt einem dll- ein Ordnersymbol. Hast du einen kernel-Ordner in system32? Wenn ja, deaktivieren.

Ansonsten kann irgend ein falscher Registryeintrag entsprechend dem Microsoft-Support-Link die Ursache sein.

Antwort 26 von Birger

Hi

Kann nur Uwei zustimmen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\run
kernel32.dll und der Ordner kernel32.dll mit einer extension, gehören nicht in den Start.

Antwort 27 von Martinho

Hallo,
Problem gelöst - ich habe in Autoruns "rdpclip" und "kernel32.dll" per Rechtsklick gelöscht und siehe da, bei Neustart war kein system32-Ordner mehr zu sehen.
Vielen Dank für eure Geduld und Hilfe, vor allem an uwei! ;-)

Gruß,
Martinho

Antwort 28 von wig

bei mir lags auch an dem kernel32.dll eintrag!

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: