Supportnet / Forum / WindowsXP
System32 Ordner öffnet sich beim Systemstart
Frage
Hallo,
seit kurzem öffnet sich bei jedem Systemstart der Ordner system32. Er lässt sich manuell schließen, aber trotzdem ist es nervig. Ich hab auch schon bei msconfig unter Systemstart alle Systemstartelemente deaktiviert - aber bei Neustart hat sich die Datei NvCpl selbständig wieder aktiviert.
Die Datei gehört anscheinend zum nVidia-Grafikkartentreiber und liegt im system32-Ordner, daher könnte es also passen.
Warum kann ich die Datei nicht deaktivieren und kann es sein, dass sich dabei um einen Trojaner handelt, der nur vorgibt, die Treiberdatei zu sein?
Antwort 1 von Martinho
Update:
Inzwischen ist es mir mit dem "StartupManager" gelungen, alle Systemstartelemente zu deaktivieren, auch NvCpl.
Der system32 Ordner öffnet sich aber trotzdem noch bei Systemstart, obwohl ja alle Systemstartelemente bei msconfig deaktiviert sind...
Wie lässt sich das Problem beheben?
Inzwischen ist es mir mit dem "StartupManager" gelungen, alle Systemstartelemente zu deaktivieren, auch NvCpl.
Der system32 Ordner öffnet sich aber trotzdem noch bei Systemstart, obwohl ja alle Systemstartelemente bei msconfig deaktiviert sind...
Wie lässt sich das Problem beheben?
Antwort 2 von MixMax
Also einer hatte es durch die systemwiederherstellung behoben, indem er das system einige tage vor auftreten zurückgesetzt hat.
Ich vermute es wird von einem Virenscanner oder ähnlichem verursacht.
Ich vermute es wird von einem Virenscanner oder ähnlichem verursacht.
Antwort 3 von Martinho
Hallo nochmal,
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen. Das system32 Ordner Problem hab ich aber erst seit gestern - es muss also doch was verändert worden sein...
Soll ichs nochmal mit einer älteren Systemwiederherstellung versuchen und können dabei Daten verlorengehen?
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen. Das system32 Ordner Problem hab ich aber erst seit gestern - es muss also doch was verändert worden sein...
Soll ichs nochmal mit einer älteren Systemwiederherstellung versuchen und können dabei Daten verlorengehen?
Antwort 4 von Birger
Antwort 5 von Martinho
Hallo,
ich hab alle Tipps von dem Link schon probiert - aber weder im Registrierungs-Editor noch bei den Autostart-Einträgen in der Registry hab ich was finden können. Ein Norton Programm ist und war auch nicht installiert.
Was könnte mir jetzt noch weiterhelfen?
ich hab alle Tipps von dem Link schon probiert - aber weder im Registrierungs-Editor noch bei den Autostart-Einträgen in der Registry hab ich was finden können. Ein Norton Programm ist und war auch nicht installiert.
Was könnte mir jetzt noch weiterhelfen?
Antwort 6 von uwei
Zitat:
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen.
ich habs bereits mit einer Systemwiederherstellung versucht, die knapp eine Woche alt war. Beim Hochfahren stand dann aber dran, dass das System nicht vollständig wiederhergestellt werden konnte, weil die aktuelle und die alte Systemwiederherstellungsdatei keine veränderten Daten zeigen.
Ich bekomme keine derartige Meldung(außer dem ordnungsgemäßen, problemlosen Vollzug), selbst wenn ich einen vor einer Minute erstellten Wiederherstellungspunkt benutze.
Im abgesicherten Modus das gleiche?
Vielleicht auch mal chkdsk machen, kann nie schaden.
Antwort 7 von Martinho
Hallo,
ich hab chkdsk durchlaufen lassen - keine Veränderung.
Seit meinem erstem Systemwiederherstellungsversuch werden keine älteren Systemwiederherstellungsdateien mehr angezeigt. Die älteste stammt von vor 4 Tagen und wenn ich die auswähle, habe ich das oben genannte Problem, dass angeblich nichts verändert wurde.
Das system32-Problem tritt auf, seit ich mit "AdAware" und "Spybot - Search and Destroy" Trojaner und Spyware vom PC entfernt habe. Ich schätze mal, dass dabei ein Trojaner im System32 Ordner nicht vollständig gelöscht wurde - und jetzt beim Start immer den System32-Ordner ausführt...
Was kann ich noch machen?
ich hab chkdsk durchlaufen lassen - keine Veränderung.
Seit meinem erstem Systemwiederherstellungsversuch werden keine älteren Systemwiederherstellungsdateien mehr angezeigt. Die älteste stammt von vor 4 Tagen und wenn ich die auswähle, habe ich das oben genannte Problem, dass angeblich nichts verändert wurde.
Das system32-Problem tritt auf, seit ich mit "AdAware" und "Spybot - Search and Destroy" Trojaner und Spyware vom PC entfernt habe. Ich schätze mal, dass dabei ein Trojaner im System32 Ordner nicht vollständig gelöscht wurde - und jetzt beim Start immer den System32-Ordner ausführt...
Was kann ich noch machen?
Antwort 8 von Birger
Hi
Lade dir mal Autoruns runter: http://www.sysinternals.com/Utilities/Autoruns.html
und überprüf noch mal unter dem Reiter Logon von Autoruns die Starteinträge.
Kann sein, das nicht alle Einträge unter msconfig -6 aufgeführt sind.
Wenn da nichts zu finden ist und der Regschlüssel HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Userinit wirklich nur den Wert C:\WINDOWS\system32\userinit.exe aufweist und Nichts weiteres dort drin steht, dann Scan das System noch mal mit HijackThis http://www.hijackthis.de/de durch. Vielleicht findet der dann was.
Lade dir mal Autoruns runter: http://www.sysinternals.com/Utilities/Autoruns.html
und überprüf noch mal unter dem Reiter Logon von Autoruns die Starteinträge.
Kann sein, das nicht alle Einträge unter msconfig -6 aufgeführt sind.
Wenn da nichts zu finden ist und der Regschlüssel HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Userinit wirklich nur den Wert C:\WINDOWS\system32\userinit.exe aufweist und Nichts weiteres dort drin steht, dann Scan das System noch mal mit HijackThis http://www.hijackthis.de/de durch. Vielleicht findet der dann was.
Antwort 9 von Martinho
Hallo,
bei Autoruns zeigt es folgendes an:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe
Könnte es daran liegen? Wird die setup32 benötigt?
bei Autoruns zeigt es folgendes an:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe
Könnte es daran liegen? Wird die setup32 benötigt?
Antwort 10 von Ludwig_HSV_Fan
ich hab auch das Problem und ich glaub das tritt bei mir auch auf weil ich Ad Aware oder Spybot... eingesetzt habe.
Das nervt total mit dem system32 Fenster!!!
Hab auch schon alles außer formatieren versucht. So weit will ich aber nicht gehen. Hoffe das sich mehr leute für unser Problem einsetzen!
Das nervt total mit dem system32 Fenster!!!
Hab auch schon alles außer formatieren versucht. So weit will ich aber nicht gehen. Hoffe das sich mehr leute für unser Problem einsetzen!
Antwort 11 von uwei
C:\WINDOWS\system32\userinit.exe,
sollte bei Userinit stehen mit deinem entsprechendem Systempfad. Ändere das mal.
Gibt bei XP keine setup32.exe, kenne jedenfalls keine. Höchstens vielleicht SP2.
Wirst dir wohl irgendwelches Gewürm geholt haben und das ist eventuell der letzte Gruß davon.
sollte bei Userinit stehen mit deinem entsprechendem Systempfad. Ändere das mal.
Gibt bei XP keine setup32.exe, kenne jedenfalls keine. Höchstens vielleicht SP2.
Wirst dir wohl irgendwelches Gewürm geholt haben und das ist eventuell der letzte Gruß davon.
Antwort 12 von Martinho
Hallo,
bei Userinit steht wirklich bloß C:\WINDOWS\system32\userinit.exe,
die setup32.exe hab ich auch schon deaktiviert und hijackthis durchlaufen lassen - aber keine Veränderung, system32 wird immer noch beim Systemstart geöffnet.
bei Userinit steht wirklich bloß C:\WINDOWS\system32\userinit.exe,
die setup32.exe hab ich auch schon deaktiviert und hijackthis durchlaufen lassen - aber keine Veränderung, system32 wird immer noch beim Systemstart geöffnet.
Antwort 13 von Mubarak
Hi, schon den Explorer-Eintrag überprüft?
Gehe über Start/Programme/Windows Explorer - rechte Maustaste Eigenschaften und trage unter Ziel: C:\WINDOWS\EXPLORER.EXE /n, /e, C:\ ein. Es müsste sich dann bei jeden Rechnerstart der Explorer mit den Laufwerk C: öffnen.
Wenn du nicht möchtest, dass sich beim Start der Laufwerksordner C: öffnet, dann entferne die Ergänzungen /n, /e, C:\ .
Sollte sich der Eintrag nach einen Neustart des PCs automatisch ändern, dann liegt es sicher an einen Virus.
MfG
Gehe über Start/Programme/Windows Explorer - rechte Maustaste Eigenschaften und trage unter Ziel: C:\WINDOWS\EXPLORER.EXE /n, /e, C:\ ein. Es müsste sich dann bei jeden Rechnerstart der Explorer mit den Laufwerk C: öffnen.
Wenn du nicht möchtest, dass sich beim Start der Laufwerksordner C: öffnet, dann entferne die Ergänzungen /n, /e, C:\ .
Sollte sich der Eintrag nach einen Neustart des PCs automatisch ändern, dann liegt es sicher an einen Virus.
MfG
Antwort 14 von Ludwig_HSV_Fan
moin ich bins nochmal.
Meni Kumpel hatte dieses Problem auch und hat das irgendwie mit nem Norton Produkt wegbekommen.................................. (weiss nicht ob das genau stimmt)
Meni Kumpel hatte dieses Problem auch und hat das irgendwie mit nem Norton Produkt wegbekommen.................................. (weiss nicht ob das genau stimmt)
Antwort 15 von uwei
Zitat:
bei Autoruns zeigt es folgendes an:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe
Also da steht nur ein Eintrag unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit?bei Autoruns zeigt es folgendes an:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
setup32.exe File not found: setup32.exe
C:\WINDOWS\system32\userinit.exe
und unter Imagepfad statt
c:\windows\system32\userinit.exe steht dort setup32.exe File not found: setup32.exe ?
Kann irgendwie so nicht sein.
Wenn dort setup32.exe steht, muß es auch in der Registry auftauchen.
Und not found heißt dann, keine setup32.exe am angegebenen Ort vorhanden.
Die Datei kann von einem Programm oder Virus sein.
Durchsuche die Registry nach setup32.exe. Muß ja irgendwo was stehen(außer Sucheinträgen), wenn die Datei nicht gefunden wird.
Antwort 16 von Martinho
Ok,
bei Autoruns siehts so aus:
http://img150.imageshack.us/img150/2185/autoruns9sd.jpg
und in der Registry so:
http://img213.imageshack.us/img213/6000/registry8xf.jpg
Bei Autoruns wird also setup32.exe angezeigt, in der Registry nicht. Werde jetzt die Registry danach untersuchen...
Gruß,
Martinho
bei Autoruns siehts so aus:
http://img150.imageshack.us/img150/2185/autoruns9sd.jpg
und in der Registry so:
http://img213.imageshack.us/img213/6000/registry8xf.jpg
Bei Autoruns wird also setup32.exe angezeigt, in der Registry nicht. Werde jetzt die Registry danach untersuchen...
Gruß,
Martinho
Antwort 17 von Martinho
Hallo nochmal,
in den zweiten Link hat sich irgendwie ein <br> eingeschlichen. Einfach in der Adresszeile entfernen, dann wird es korrekt angezeigt.
in den zweiten Link hat sich irgendwie ein <br> eingeschlichen. Einfach in der Adresszeile entfernen, dann wird es korrekt angezeigt.
Antwort 18 von uwei
Klar wird setup32 in der Registry angezeigt.
Da es deaktiviert ist, steht´s wohl wahrscheinlich bei Winlogon/AutorunsDis...
Keine Ahnung wofür es gut sein soll und ob es was mit system32 zu tun hat.
Wenn es der Rest von einem Virus ist, kann man alles in Autoruns löschen, wenn man möchte(delete).
Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht.
Wer weiß, was sonst noch alles so ist.
Durchsuche die Registry komplett nach setup32, wenn es nur daran liegen sollte.
Formatieren löst das Problem jedenfalls.
Da es deaktiviert ist, steht´s wohl wahrscheinlich bei Winlogon/AutorunsDis...
Keine Ahnung wofür es gut sein soll und ob es was mit system32 zu tun hat.
Wenn es der Rest von einem Virus ist, kann man alles in Autoruns löschen, wenn man möchte(delete).
Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht.
Wer weiß, was sonst noch alles so ist.
Durchsuche die Registry komplett nach setup32, wenn es nur daran liegen sollte.
Formatieren löst das Problem jedenfalls.
Antwort 19 von uwei
Ein aussagekräftiger Screenshot wäre komplett.
Dazu wählt man den Reiter Logon statt Everything.
Das paßt dann auch alles in eine Screenshot.
Dazu wählt man den Reiter Logon statt Everything.
Das paßt dann auch alles in eine Screenshot.
Antwort 20 von NEO88
Hi
Hier die Lösung von Microsoft.
http://support.microsoft.com/?kbid=170086
schau nochmal nach.
Gruß Neo
Hier die Lösung von Microsoft.
http://support.microsoft.com/?kbid=170086
schau nochmal nach.
Gruß Neo
Antwort 21 von Ludwig_HSV_Fan
NEO88 (seltsamer Name) die Tipps von dem Microsoft link brachten nichts bei mir ....................... trotzdem danke !
Antwort 22 von hoilll
Zitat:
Antwort 10 von Ludwig_HSV_Fan vom 12.06.2006, 15:16 [--] [++] IIIIIIIII
ich hab auch das Problem und ich glaub das tritt bei mir auch auf weil ich Ad Aware oder Spybot... eingesetzt habe.
Antwort 10 von Ludwig_HSV_Fan vom 12.06.2006, 15:16 [--] [++] IIIIIIIII
ich hab auch das Problem und ich glaub das tritt bei mir auch auf weil ich Ad Aware oder Spybot... eingesetzt habe.
na dann überprüft mal die einstellungen bei spybot
Antwort 23 von Martinho
Hi,
Ich hab wirklich schon öfter Probleme mit Viren und Trojanern gehabt - und ich glaube, dass das Problem auch irgendwie mit deren Überresten zusammenhängt. Laut http://www.hijackthis.de/de (wirklich sehr zu empfehlen) ist aber aktuell nichts schädliches drauf.
Hier noch ein kompletter Screenshot von Autoruns:
http://img226.imageshack.us/img226/3977/autoruns0gh.gif
Ich hoffe, dass das irgendwie weiterhelfen kann.
Zitat:
Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht. Wer weiß, was sonst noch alles so ist.
Viren scheinen ja nicht selten zu sein, wenn rdpclip auch schon doppelt da steht. Wer weiß, was sonst noch alles so ist.
Ich hab wirklich schon öfter Probleme mit Viren und Trojanern gehabt - und ich glaube, dass das Problem auch irgendwie mit deren Überresten zusammenhängt. Laut http://www.hijackthis.de/de (wirklich sehr zu empfehlen) ist aber aktuell nichts schädliches drauf.
Hier noch ein kompletter Screenshot von Autoruns:
http://img226.imageshack.us/img226/3977/autoruns0gh.gif
Ich hoffe, dass das irgendwie weiterhelfen kann.
Antwort 24 von Solo
Hi, du solltest mal Antwort 13 ausführen, ob da etwas auffällige zu finden ist. Was z.B. unter Ziel bei dir eingetragen ist.
Anderenfalls tippe ich auf einen Rootkit-Virus, diese tarnen sich gern als Treiber.
Anderenfalls tippe ich auf einen Rootkit-Virus, diese tarnen sich gern als Treiber.
Antwort 25 von uwei
Außer daß einmal rdpclip aktiviert normal ist, sagt mir jetzt kernel32 beim Systemstart nichts. Der Rest sieht normal aus.
kernel32.dll ist eine Systemdatei und steht an sich nur bei "KnownDLLs".
Der zweite Eintrag ist der Rest einer Spyware, löschen.
Der erste Eintrag hat statt einem dll- ein Ordnersymbol. Hast du einen kernel-Ordner in system32? Wenn ja, deaktivieren.
Ansonsten kann irgend ein falscher Registryeintrag entsprechend dem Microsoft-Support-Link die Ursache sein.
kernel32.dll ist eine Systemdatei und steht an sich nur bei "KnownDLLs".
Der zweite Eintrag ist der Rest einer Spyware, löschen.
Der erste Eintrag hat statt einem dll- ein Ordnersymbol. Hast du einen kernel-Ordner in system32? Wenn ja, deaktivieren.
Ansonsten kann irgend ein falscher Registryeintrag entsprechend dem Microsoft-Support-Link die Ursache sein.
Antwort 26 von Birger
Hi
Kann nur Uwei zustimmen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\run
kernel32.dll und der Ordner kernel32.dll mit einer extension, gehören nicht in den Start.
Kann nur Uwei zustimmen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\run
kernel32.dll und der Ordner kernel32.dll mit einer extension, gehören nicht in den Start.
Antwort 27 von Martinho
Hallo,
Problem gelöst - ich habe in Autoruns "rdpclip" und "kernel32.dll" per Rechtsklick gelöscht und siehe da, bei Neustart war kein system32-Ordner mehr zu sehen.
Vielen Dank für eure Geduld und Hilfe, vor allem an uwei! ;-)
Gruß,
Martinho
Problem gelöst - ich habe in Autoruns "rdpclip" und "kernel32.dll" per Rechtsklick gelöscht und siehe da, bei Neustart war kein system32-Ordner mehr zu sehen.
Vielen Dank für eure Geduld und Hilfe, vor allem an uwei! ;-)
Gruß,
Martinho
Antwort 28 von wig
bei mir lags auch an dem kernel32.dll eintrag!