PC-Experience | Druckvorschau: Task-Manager durch Administrator deaktiviert

Geschrieben von jona am 23.08.2006 um 20:54:

Fragezeichen

Task-Manager durch Administrator deaktiviert

Hallo!

Ich habe seit kurzer Zeit folgendes Problem:
Verschiedene Anwendungen, die ich starte, z.B. Patchprogramm für ein Spiel oder Installation von Antiviren-Software, etc. werden abrupt beendet.
Die Fenster verschwinden und es passiert nichts weiter. Es sind nicht alle Anwendungen, nur einige, mir scheint zufällig ausgewählte, aber dann immer die selben.
Bei dem versuch im Task-Manager zu schauen wird mir die Fehlermeldung angezeigt: "Der Task-Manager wurde durch den Administrator deaktiviert".
Ich kann ihn nicht aufrufen, bin aber als Administrator eingeloggt.

Ich kenne den PC nicht so gut, aber es läuft Windows XP Professional Version 2002 mit Service Pack 2!?

Was ist da passiert?

Liebe Grüße, Jonathan!

Geschrieben von wolfie am 23.08.2006 um 21:30:

RE: Task-Manager durch Administrator aktiviert

Hallo jona

Aktiviere den Taskmanager wie folgt:
>Start >Ausführen "gpedit.msc"
Klicke im linken Teil auf >Administrative Vorlagen >System >Strg+Alt+Entf-Optionen
Dann im rechten Fenster Doppelklick auf den Eintrag "Task-Manager entfernen" und die Einstellung auf "Deaktiviert" oder "nicht konfiguriert" setzen

Das Verschwinden des Taskmanagers und auch die Abbrüche bei Installationen könnten von einem Virus herrühren!
Scanne das System deshalb gründlich nach Viren und Malware. Empfehlenswert ist der Kaspersky Online Virenscanner. Den kannst du hier downloaden.

Gruss
wolfie

Geschrieben von jona am 23.08.2006 um 22:27:

hi wolfie!
vielen dank für die schnelle hilfe! leider hats nicht geholfen...

im gpedit.msc läd er endlos und es wird einfach nichts angezeigt bei administrative vorlagen.

das hört sich jetzt vielleicht blöd an, aber wenn ich auf diese seite gehe, schließt sich das browserfenster nach kurzer zeit wieder (habe verschiedene browser versucht)!?

und nun?

Geschrieben von Ghost75 am 23.08.2006 um 22:41:

Hi Jona

lade dir mal Hijackthis runter das bekommste hier
Auswerten kannste hier
Achtung: Beim Löschen der verschiedenen Einträge sollteste genau hinschauen! Schnell werden sonst nämlich auch nützliche Erweiterungen markiert.

Was den Virenscanner angeht schade das Kaspersky nicht geht,hast du andere Scanner am laufen?Wie sieht es mit Firewall aus?
Sind alle Patches drauf von Windows? (Windowsupdate/meinetwegen vonWinfuture oder so die Pakete?)

Was dir helfen könnte beim Virescanner wäre der Pe-builder
das ist ne Selbststartende CD
dort kannste von Mcafee den Virenscanner integrieren,genauergesagt mußt du nur noch die neuste Version der sogenannten Superdat runterladen und integrieren,geht ganz leicht
bei Mcafee kannste dann auch noch den Stinger laden und auch in den Pebuilder integrieren.

MfG

Ghost75

Geschrieben von wolfie am 23.08.2006 um 23:11:

Hallo jona

sieht ganz nach einem sog. Wurm namens "nopir" aus. Liste hier .

Geh also mal die von Ghost75 vorgeschlagenen Schritte durch!

Zitat:

Original von jona
aber wenn ich auf diese seite gehe, schließt sich das browserfenster nach kurzer zeit wieder (habe verschiedene browser versucht)!?

Meinst du mit "diese Seite" Kaspersky ? (wie es Ghost75 annimmt)

Falls ja, und die "kurze Zeit" mehr als 30 Sekunden ist, mach dies:

1. Mit Internet Explorer auf diese Seite
2. Dort auf den Button mit der Lupe klicken (Online Scanner)
3. Wenn sich das nächste Fenster öffnet: sofort unten auf "akzeptieren" klicken
4. Wenn der Download beendet ist: im neuen Fenster links oben auf "wichtige Objekte" klicken

gruss
wolfie

Geschrieben von jona am 23.08.2006 um 23:23:

wow, vielen dank für die noch schnellere hilfe!

ja, die seite von kaspersky meine ich. leider reichts gerade mal um die bedingungen des scanners zu akzeptieren, dann ist das fenster auch schon weg, also ca. 10 sek.

die nopir-seite kann ich mir auch nur so 5 sek ansehen, genauso wie die seite von mcafee. das programm hijackthis schließt sich nicht ganz so schnell, so dass ich diese liste machen konnte, da allerdings nicht durchblicke. das steht da:

das kommt mir alles total merkwürdig vor, sowas hatte ich noch nie. bin langsam echt am verzweifeln, weil alles, was ich versuche gleich wieder verschwindet, als ob man mich ärgern will. wie unsinnig das anhört..

nochmals vielen, vielen dank! gibts noch etwas, dass ich probieren kann?

Geschrieben von Ghost75 am 23.08.2006 um 23:45:

Hi

mit welchen Browsern haste es bislang probiert?
Hast du Firefox,Opera usw schon probiert?
Bleiben fast nur 3 möglichkeiten:

1. bist schneller als dein Browser...
2. ein Kumpel lädt dir die Sachen runter,integriertund brennt sie für dich
3. Du läßt dir die Sachen per E-Mail schicken und brennst sie

Geschrieben von wolfie am 23.08.2006 um 23:52:

Hallo jona

Ich habe dein HijackThis-Log mal etwas eingefärbt

Typisches Verhalten von Würmern der Art, wie ich sie erwähnt habe, ist das deaktivieren des Registrier-Editors (rot markiert)

1.
Da HijackThis offensichtlich noch läuft, lösche diesen Eintrag direkt mit diesem Tool:
Führe einen "scan only" durch, markiere den roten Eintrag und wähle "fix checked"

2.
Ich gehe mal davon aus, dass dir die GRPCALCBRD.EXE (blaue Zeilen) unbekannt ist.
Falls ja, lösche alle diese Einträge ebenfalls mit HijackThis wie oben beschrieben

Nachtrag:
Das fette blaue Teil oben ist der Autostart von GRPCALBRD.
Falls die HijackThis-Aktion misslingt, starte via >Start >Ausführen "msconfig.exe"
Unter dem Reiter "Systemstart" Haken weg bei GRPCALBRD

gruss wolfie

Geschrieben von jona am 24.08.2006 um 00:07:

hi! okay...
also ich muss immer sehr schnell machen, weil das programm nie länger als 10 sek hält.
ich habe diese einträge gelöscht, aber die blauen zeilen (ja, sind mir unbekannt), eingentlich nur die unterste, tauchen immer wieder auf. außerdem muss ich die hijackthis.exe immer wieder neu entpacken, weil sie nach spät. 2mal benutzen weg ist.

also folgende zeile: O23 - Service: GEDZAC Service (GEDZAC LABS) - Unknown owner - G:\WINDOWS\system32\GRPCALCBRD.EXE

kann ich immer wieder löschen, nach einem click auf "scan again" ist sie bereits wieder da.

ach ja: habs auch mit firefox und opera probiert. schließen sich sofort und bei opera fehlt jetzt die opera.exe.

nochmals editiert: zu dem nachtrag, die msconfig.exe verschwindet auch nach 10 sek., aber den eintrag gibt es nicht (mehr?). In der Liste von HijackThis auch nicht mehr.

Geschrieben von wolfie am 24.08.2006 um 00:13:

Zitat:

nach einem click auf "scan again" ist sie bereits wieder da..

Damit wissen wir wenigstens, dass wir das Teil löschen müssen!

Beachte meinen Nachtrag oben und konzentriere dich vorerst auf die Verhinderung des Autostarts von diesem Programm.

Versuche zudem alle Aktionen im abgesicherten Modus (F8 beim Booten) durchzuführen

gruss wolfie

Geschrieben von Maximus am 24.08.2006 um 00:30:

hallo

zu dem Thema gibts über Suchmaschinen reichlich Treffer: klick

Geschrieben von jona am 24.08.2006 um 00:46:

okay, also:
diesen eintrag im autostart gibt es nicht bzw. nicht mehr. der steht nicht mehr drin, aber der andere lässt sich immer noch nicht löschen, genau wie im abgesicherten modus auch nicht. in dem modus schließen sich die anwendungen übrigens genauso schnell.

diese sachen, die in den suchmaschienen-treffern stehen, würde ich gern tun, aber bis ich so ein registrierungs-schlüssel rausgesucht hab, ist regedit.exe schon wieder geschlossen. gpedit.exe verhält sich immernoch unverändert.

ich danke euch unendlich für eure hilfe, muss jetzt aber mal etwas schlafen, sonst dreh ich noch durch an der kiste hier ;(

Geschrieben von Maximus am 24.08.2006 um 00:56:

da brauchst du nichts raussuchen

du lädst dir hier das Reg-File herunter, entpackst es und führst es unter Windows per Doppelklick aus >fertig

Geschrieben von jona am 24.08.2006 um 14:10:

okay mach ich. es erscheint allerdings beim öffnen der Reg-File das "öffnen mit"-Fenster. Welches Programm benutze ich zum öffnen?

Geschrieben von Maximus am 24.08.2006 um 15:36:

Zitat:

Welches Programm benutze ich zum öffnen?

den Registrierungs-Editor

Geschrieben von Ghost75 am 24.08.2006 um 17:46:

Hi Jona

normalerweise geht das Automatisch,klicke mal mit der rechten Maustaste
drauf und dann Datei öffnen mit,oben steht jetzt der Dateiname exefile_command_standard und die Endung muß .reg sein
Das empfolene Programm sollte der Registrierungs-Editor sein
Wenn dort was anderes ->Durchsuchen -> nach c:Windows Wechseln und die Datei regedit wählen.

Dann klappt das

MfG

Ghost75

Geschrieben von jona am 24.08.2006 um 23:08:

danke

genau so hab ichs gemacht. sah auch so aus, als hätte es geklappt, aber hinter wars wieder wie vorher. die registry wurde wohl direkt wieder zurück geändert... und das hätte ja immer noch nicht das problem mit dem anwendungen-schließen gelöst!

bin jetzt etwas erleichtert, aber ich war echt verzweifelt. egal, was ich versucht hab, es ging nicht, die seite oder das programm haben sich direkt wieder geschlossen. so richtig menschlich, als ob da jemand jeden versuch von mir mitverfolgt und ihn dann zunichte macht.

war kurz davor einfach zu formatieren und alles neu zu machen. dann hab ich aber nochmal, so zum versuch, meine alte festplatte angeschlossen, mit einer anderen windows-version drauf.
darüber gings dann. konnte auf die kaspersky-seite und hab mir da den probe-virenscanner geholt und den 3 stunden laufen lassen.
am ende standen dann da etliche einträge von einem P2P-Wurm oder so (ich hab den namen grad nicht, editier ihn aber nochmal rein). als die dann gelöscht waren, hab ich mich nochmal in mein eigentliches windows getraut.
und gott sei dank, es geht alles! naja viel mehr euch sei dank!!!

wirklich, ohne die hilfe hier hätte ich wahrscheinlich direkt nach 1 stunde formatiert. vielen, vielen dank!

aber, damit mir sowas nicht nochmal passiert (war irgendwie echt unheimlich), installiere ich mir am besten was?
also die beschreibung des virus war ja, das er sich durch filesharing-tools verbreitet. kann ich da was machen, zur abwehr? oder muss man das risiko eingehen, wenn man solche programme benutzt?

danke euch vielmals!!! Liebe Grüße, Jonathan!

Geschrieben von Peschel am 25.08.2006 um 00:33:

Zitat:

aber, damit mir sowas nicht nochmal passiert (war irgendwie echt unheimlich), installiere ich mir am besten was?
also die beschreibung des virus war ja, das er sich durch filesharing-tools verbreitet. kann ich da was machen, zur abwehr? oder muss man das risiko eingehen, wenn man solche programme benutzt?

les dazu den Sicherheitsworkshop: klick und lass die Finger von Filesharing