probleme mit task-manager und desktop

[Inearthed]

problem 1:
also, mein task-manager last sich nicht mehr herholen, weil immer wenn ich strg+alt+entf drücke, kommt die meldung, das der task-manager vom administrator deaktiviert worden sei, da ich aber der admin bin, und ich deartiges nie getan hab, bin ich ersten ziemlich ratlos und weis zweitens auch nicht wie ich ihn wieder anstellen kann

problem 2:
dazu breuchte ich am besten ne sreenshot, geht aber leider nicht, da meine drucktaste nicht funzt, und ich sie bei meiner momentanen tastatur auch nicht finde
naja, jedenfalls kann ich meinen desktop hintergrund nicht mehr änder, da ich vor kurzem mal sonb spyware mist draufhatte, und mich mein cpu damit gewarnt hat( schwarzer desktop, mit der schrift "your computer is infected...")
naja, jedenfals, spyware is weg(zusammen mit ca. 90 verschiedenen anderen viren...) und mein alter desktop läst sich nicht mehr einstellen, weder über rechtsklich und dan eigenschaften, noch über rechtsklich auf dem gewünschten hintergrund und dan"als desktop hintergrund verwnden"

[DVD]

Das sieht nach einer Infektion durch einen Smitfraud-Klon a (Spyaxe, Spy Sheriff etc.) aus. Du musst die Reg-Einträge manuell wiederherstellen. Hier eine Liste (von Spy Sheriff, die meisten der Reg-Einträge sind bei allen Varianten identisch):

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktop
NoActiveDesktopChanges
ForceActiveDesktopOn
NoViewContextMenu
NoThemesTab
NoSaveSettings
ClassicShell
(falls vorhanden)
Wert = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispAppearancePage
NoDispBackgroundPage
NoDispScrSavPage
NoDispSettingsPage
WallpaperStyle
Wallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallPaper
NoComponents
NoAddingComponents
NoDeletingComponents
NoEditingComponents
NoHTMLWallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper
wp.bmp = löschen (falls vorhanden), der Eintrag kann auch anders lauten - oder gleich den ganzen Unterschlüssel Wallpaper löschen (Rechtsklick und im Kontextmenü auf "Löschen" klicken)



Spy Sheriff legt evtl. ein Html-File an und speichert dies unter CWindows\Web\Wallpaper\xxxxx.html

Evtl. legt SpySheriff auch eine Desktop.html im Verzeichnis CWindows an, falls vorhanden --> löschen.

HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
"Cwindows\xxxxx.bmp" löschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
Wallpaper = hier sollte der Pfad zu Wallpaper1.bmp stehen (%USERPROFILE%\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp)
BackupWallpaper = auch hier sollte der Pfad mit "Wallpaper" identisch sein.

Für Windows 2000/XP in den Gruppenrichtlinien (Start - Ausführen - gpedit.msc) nachsehen, ob unter Benutzerkonfiguration - Administrative Vorlagen - Desktop - Active Desktop
die Richtlinie Active Desktop-Hintergrund und Active Desktop aktivieren auf "nicht konfiguriert" steht.

Unter Systemsteuerung - Anzeige - Reiter "Desktop" - Button "Desktop anpassen" - Reiter "Web" - »Webseiten« die Häkchen, der aufgelisteten Websites, entfernen.



Desktopsymbole verschwunden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
oder
HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-100x\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideIcons
(falls vorhanden)
Wert = 0 oder löschen



Startseite geändert:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage
Wert = 0 oder löschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.meineStartseite.de/
Search Page = http://www.meineSuchseite.com
Search Bar = http://www.meineSuchToolbar.com/ie





evtl. Weiterleitung statt Startseite:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
(Standard) = http://



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
ftp = ftp://
gopher = gopher://
home = http://
mosaic = http://
www = http://
Originalwerte
dahinter sollte rein gar nichts stehen.





Spysheriff aus der Registry löschen:
HKEY_LOCAL_MACHINE\Software\spysheriff
Unterschlüssel spysheriff löschen.

Am besten in der Registry im Menü "Bearbeiten - Suchen" - Spysheriff und Spy Sheriff oder einfach nur Sheriff eingeben und die gefundenen Einträge löschen.
Mit der Taste »F3« weitersuchen, bis die Registry nichts mehr findet.
Vorher den Schlüssel zur Vorsicht exportieren.


Registry-Autostarteinträge finden:

http://www.wintotal.de/Tipps/Eintrag.php?TID=233



Systemstart (Winlogon) ohne SpySheriff:
SpySheriff legt evtl. eine Kopie im C oder CWindows oder CWindows\System (system32) Ordner mit dem Namen Io.exe (io***.*exe) an und trägt sich in die System.ini unter "Shell=Parameter /1" ein, Beispiel: "Shell=Explorer.exe Io.exe/1". Somit ist gewährleistet, dass die Io.exe bei jedem Systemstart mit gestartet wird.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
Shell REG_SZ Explorer.exe CWindows\system32\ xxx.exe Pfad löschen (Rechtsklick "Bearbeiten" - kompletten Pfad löschen, sodass nur noch Explorer.exe da steht).

Shell REG_SZ Explorer.exe = original



evtl. ist der Taskmanager gesperrt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr
Wert = 0 oder löschen

...

Reg-Einträge, die bereits von deinem Antiviren-Programm gelöscht wurden und/oder den in der Liste empfohlenen Werten entsprechen, kannst du ignorieren. Die zu deinen Fragen relevanten Reg-Einträge habe ich fett hervorgehoben.
mfg Volldulli

[Inearthed]

ok, des is schon ma n anfang, leider bin ich auf dem gebit nicht informiert genug, um zu wissen wo ich die reg einträge finden/ändern kann...

[DVD]

CWindows\regedit
Wenn du das Programm öffnest, kannst du auf alle Reg-Einträge zugreifen. Die Ordnerstruktur ist ähnlich wie im Windows Explorer.

Hoffe ich konnte dir helfen.
mfg Volldulli

[FF]

daten sichern, plattmachen, neu aufsetzen, geht deffinitiv schneller und stressfreier, als zig regeinträge zu editieren, und dabei alles wohlmöglich noch zu verschlimbessern o.O

btw.... deine 'cpu' hat dich 'gewarnt' du seist infiziert?
Weißt du was?
Das war die spyware :o

[DVD]

daten sichern, plattmachen, neu aufsetzen, geht deffinitiv schneller und stressfreier, als zig regeinträge zu editieren, und dabei alles wohlmöglich noch zu verschlimbessern o.O

...

Tolle Idee.
Das Anpassen der Reg-Einträge hat bei mir (ja, ich hatte mir auch schonmal nen Spy Sheriff eingefangen) etwa 1 Stunde gedauert. Allerdings hatte ich damals weder Antispyware noch Virenscanner und musste daher auch alle Dateien manuell entfernen. Auf jeden Fall dauert eine Neuinstallation weitaus länger, wenn man Datensicherung, Installation aller Programme etc. mitrechnet. Und die Reg-Einträge können, wenn man die oben von mir genannten Anweisungen befolgt, nicht den geringsten Schaden anrichten, der nicht bereits durch das Schadprogramm verursacht wurde.

btw.... deine 'cpu' hat dich 'gewarnt' du seist infiziert?
Weißt du was?
Das war die spyware

...

Das ist das Erkennungsmerkmal von allen Smitfraud-Varianten, die btw. alle auf demselben Trojaner (Zlob) basieren und daher ähnlich gebaut sind, weshalb die Reg-Einträge ebenfalls weitgehend identisch sind.

mfg Volldulli

[Inearthed]

ok, desktop und taskmanager sind wieder gerichtet, dafür hat sich ein neues problem aufgetan, , is zwar nur n schönheits fehler, nervt aber trozdem
naja, jedenfalls sieht es jetz so aus als wären alle ordner, verknüpfungen, usw. aud meinem desktop markiert, und hamm alle so ne art schatten<-----hat sich von selbst erledigt

also wenn jetz noch jemand des problem lösen köbnnte wäre ich vollkommen zufrieden

ach ja, danke volldulli