Ich habe seit einigen Tagen folgendes Problem:

Mein Windows und alles klappt wunderbar, wirklich alles.
Wenn ich Strg+Alt+Entf drücke komme ich wie gewohnt in den Auswahldialog. "Computer Sperren; Abmelden; Herunterfahren; Kennwort
ändern; Task-Manager; Abbrechen"

Alle Buttons gehen, nur nicht der des Task-Managers!
der geht zwar wieder zurück auf die Windows-Oberfläche, aber es kommt
kein Task-Manager!
Auch wenn ich rechts auf die Taskleiste klicke und dann Task-Manager auswähle passiert nix!!!

Ich brauche aber dank der von Windows oft mal in den Weg gelegten Steine das Teil.

Hat jemand eine Idee was man da machen kann?????

Big thx
M0sk1t0

PS: Sollte wenn möglich nicht mit so was wie "format c:" zu tun haben,
da hab ich näm keine Böcke drauf!

mmm...

Virenscanner aktiv?

Hallo M0sk1t0,

guten Trojanerscanner installieren und nach Malware scannen -> Wurm W32/Alcra.B

Hast Du Dienste ausgeschaltet?.


Gruß

Woodmaster

probier als erstes mal ob die datei %systemroot%\system32\taskmgr.exe noch funktioniert...bzw da ist...

wenn ja...schau mal unter systemsteuerung -> system -> erweitert -> umgebungsvariablen -> unter der systemvariable PATH mindestens "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem" eingetragen ist...falls nicht...trag es nach


der taskmanager sollte nichts mit diensten zu tun haben...

probier als erstes mal ob die datei %systemroot%\system32\taskmgr.exe noch funktioniert...bzw da ist...

Die Datei ist da, aber da kommt ein Fehler "Ein anderes Programm greift gerade auf diese Datei zu."


wenn ja...schau mal unter systemsteuerung -> system -> erweitert -> umgebungsvariablen -> unter der systemvariable PATH mindestens "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem" eingetragen ist...falls nicht...trag es nach

Der Eintrag ist da

mmm...

Virenscanner aktiv?

Ich lass mal McAfee VirusScanner drüber laufen!

Die Datei ist da, aber da kommt ein Fehler "Ein anderes Programm greift gerade auf diese Datei zu."

w00t?!

schau mal ob der prozess selbst läuft bzw du ihn killen kannst

zum nachschaun einfach
-> start -> ausführen -> cmd -> tasklist
zum killen
start -> ausführen -> cmd -> taskkill /F /IM taskmgr.exe
alternativ
taskkill /F /PID *entsprechende id*

hm dass aber schon wer drauf zugreift ist merkwürdig...evtl vorher versucht über die von dir genannten wege den taskmanager auszuführen?

Btw. ist der taskmanager beim "fensterdurchschaun" (über alt+tab) mit dabei?

Der Eintrag ist dana jut...

w00t?!

schau mal ob der prozess selbst läuft bzw du ihn killen kannst

zum nachschaun einfach
-> start -> ausführen -> cmd -> tasklist
zum killen
start -> ausführen -> cmd -> taskkill /F /IM taskmgr.exe
alternativ
taskkill /F /PID *entsprechende id*

hm dass aber schon wer drauf zugreift ist merkwürdig...evtl vorher versucht über die von dir genannten wege den taskmanager auszuführen?

ich kann in die cmd.com nichts ein tragen und es kommt auch kein text.

Btw. ist der taskmanager beim "fensterdurchschaun" (über alt+tab) mit dabei?

Nein ist nicht dabei.

ich kann in die cmd.com nichts ein tragen und es kommt auch kein text.
cmd ist ne exe -> cmd.exe?!
zu finden auch unter %systemroot%\system32

da kannst du nix tippen?! öhm...dann versuch direkt bei ausführen den kill befehl einzutippen...oder bau ne kleine .bat mit pause am ende dass dus ergebniss siehst...

also das in ne .bat reinschreiben
zum auflisten
tasklist
pause

oder
zum killen
taskkill /F /IM taskmgr.exe
pause

cmd ist ne exe -> cmd.exe?!
zu finden auch unter %systemroot%\system32

da kannst du nix tippen?! öhm...dann versuch direkt bei ausführen den kill befehl einzutippen...oder bau ne kleine .bat mit pause am ende dass dus ergebniss siehst...

also das in ne .bat reinschreiben
zum auflisten
tasklist
pause

oder
zum killen
taskkill /F /IM taskmgr.exe
pauseaber so btw.

da stimmt bei dir irgendwas vorne und hinten nicht was sprichtn eigentlich die ereignisanzeige bei anwendungen? viele fehler? (systemsteuerung -> verwaltung)

kennt sich jemand von euch mit HijackThis aus???

komt bei mir folgendes bei raus


Logfile of HijackThis v1.99.1
Scan saved at 22:37:57, on 22.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\tools\Nero\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\tools\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\winupdates\winupdates.exe
E:\tools\Nero\InCD\InCD.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
E:\tools\Opera\opera.exe
C:\Dokumente und Einstellungen\M0sk1t0\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\tools\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\tools\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\tools\ICQToolbar\toolbaru.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AnyDVD] E:\tools\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\\RegistryController.exe"
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\tools\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKCU\..\Run: [TransTask] "E:\tools\Tweak XP\transtask.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\tools\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121785063464
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\tools\Nero\InCD\InCDsrv.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

kennt sich jemand von euch mit HijackThis aus???

poste mal das Log-File.



Gruß

Woodmaster

Hallo M0sk1t0,

"O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto"

sieht nach dem Wurm W32.Alcra.B aus.


Gruß

Woodmaster

poste mal das Log-File.



Gruß

Woodmaster

hab schon gepostet

hab schon gepostet


war ich mal wieder zu langsam. :smile:

Gruß

Woodmaster

mach mal platt
O4 - HKCU\..\Run: [TransTask] "E:\tools\Tweak XP\transtask.exe"

mach mal platt
O4 - HKCU\..\Run: [TransTask] "E:\tools\Tweak XP\transtask.exe"
sicher, das es das ist?

das ist nämlich nur eine funktion von Tweak XP die die Taskleiste transparent macht, ähnlich wie im Vista-Style

Hallo M0sk1t0,

"O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto"

sieht nach dem Wurm W32.Alcra.B aus.


Gruß

Woodmaster
ich kann die Datei nicht löschen, das sie gerade benutzt wird
WIe bekomm ich die wesch?

ich kann die Datei nicht löschen, das sie gerade benutzt wird
WIe bekomm ich die wesch?den prozess erstmal killen mit obig beschriebenen...der wurm läuft natürlich....zur not auch erst umbennenn und dann löschen (nach dem killen)

hlkm bedeuted in der registry -> hkey_local_machine
dort unter software -> microsoft -> windows -> current version -> run steht der eintrag der den prozess bei jedem neustart starten will/startet...den eintrag solltest auch erstmal wegwerfen...

oder in abgesicherten modus gehen und dort löschen (beim booten f8 drücken),

und was du nebenher noch machen köönntest wäre dateien für schnelle suche deaktivieren (häkchen wegmachen wenn du auf n laufwerk geklickt hast und dann attribute für alles übernehmen lassen)...das verhindert hin und wieder auch das löschen diverser dateien...


den wurm solltest mit spybot search and destroy wegbekommen

den prozess erstmal killen mit obig beschriebenen...der wurm läuft natürlich....zur not auch erst umbennenn und dann löschen (nach dem killen)

hlkm bedeuted in der registry -> hkey_local_machine
dort unter software -> microsoft -> windows -> current version -> run steht der eintrag der den prozess bei jedem neustart starten will/startet...den eintrag solltest auch erstmal wegwerfen...

oder in abgesicherten modus gehen und dort löschen (beim booten f8 drücken),

und was du nebenher noch machen köönntest wäre dateien für schnelle suche deaktivieren (häkchen wegmachen wenn du auf n laufwerk geklickt hast und dann attribute für alles übernehmen lassen)...das verhindert hin und wieder auch das löschen diverser dateien...


den wurm solltest mit spybot search and destroy wegbekommen
ich bekomm aber gar nix gekillt

ausführen -> und dann da "cmd" oder "cmd.exe" eingeben???

Hallo M0sk1t0,

die Einträge in Deinem Log-File deuten ganz sicher auf einen Wurm.
Für die Einträge ist der Wurm W32.Alcra.B verantwortlich:

1. C:\Programme\winupdates\winupdates.exe

2. O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto


Es gibt unter Windows XP kein Systemprogramm mit dem Namen winupdates.exe.


Hier gibt es einen guten Malware Scanner und Remover.

http://www.emsisoft.de/de/




Gruß

Woodmaster

ich bekomm aber gar nix gekillt

ausführen -> und dann da "cmd" oder "cmd.exe" eingeben???mmm...

Lad dir den Process Explorer runter und schiess es damit ab: http://www.sysinternals.com/Utilities/ProcessExplorer.html

Den Virus kannst du mal bei http://virusscan.jotti.org/ und http://www.virustotal.com/flash/virustotal_en.html hochladen, um zu gucken, ob Antivir und McAfee den erkennen kann. Wenn Antivir den Kram nicht erkennt, kannst du den Wurm vielleicht mal bei Antivir hochladen http://www.antivir.de/de/support/verdaechtige_dateien/index.html ...

Hallo M0sk1t0,

die Einträge in Deinem Log-File deuten ganz sicher auf einen Wurm.
Für die Einträge ist der Wurm W32.Alcra.B verantwortlich:

1. C:\Programme\winupdates\winupdates.exe

2. O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto


Es gibt unter Windows XP kein Systemprogramm mit dem Namen winupdates.exe.


Hier gibt es einen guten Malware Scanner und Remover.

http://www.emsisoft.de/de/




Gruß

Woodmaster
Hi Leute.

Hab den Ordner im abgesicherten Modus gelöscht.
Danach neu gestartet, und alles is wieder so wie es sein sollte!!!

Big thx
M0sk1t0