Taskmanager bei start deaktiviert.

[chris2603]

[gelöst]Taskmanager bei start deaktiviert.

Hallo CB´ler,

ich hoffe einer von euch kann mir helfen.

Immer wenn ich meinen Rechner starte Win7 Home Premium, dann ist der Taskmanger daktiviert.

Bedeutet:

• STRG + ALT + ENTF => Taskmanager wird nicht aufgefüht.
• STRG + SHIFT + ESC => Keine Reaktion
• Rechtsklick in der Startleiste => Taskmanager ist ausgegraut

Ich habe auch schon eine Lösung dafür gefunden, jedoch hält diese nur bis zum nächsten Neustart:

Regedit -> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System -> DisableTaskMgr auf 0 setzen

Dieser Wert ist jedoch nach jedem Rechner Start wider auf 1.

Ich könnte mir gut vorstellen das ich mir was eingefangen habe, jedoch kann ich im Taskmanger keine merkwürdigen Prozess erkennen.

Avira + Microsoft Security Essentials finden nix.

Ich habe msconfig komplett aufgeräumt dort steht auch nix drin was nicht zu den Programmen gehört die ich auch tatsächlich nutze und von vertrauenswürdigen Quellen bezogen habe.

Würde mich sehr darüber freuen, wenn jemand eine Idee hat.

Möchte eine neuinstallation ersteinmal vermeiden.

Vielen Dank.

 

[Smagjus]

Guck doch mal in der Registry die Run-Einträge durch, ob da etwas auffälliges ist. Einfach über F3 nach Runonce suchen und jeweils die Run-Ordner anklicken. Was da drin ist, wird ebenfalls beim Systemstart aufgerufen. Ansonsten evtl. neu aufsetzen.

 

[chris2603]

Viele Dank!

Das war es

Unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Stand:
c:\users\christian\OCQSS\start.vbs

In der dann das steht:

const Hidden = 0
const WaitOnReturn = true
File ="""C:\Users\christian\OCQSS\start.cmd"""
set WshShell = CreateObject("WScript.Shell")
WshShell.Run file, Hidden, WaitOnReturn
wscript.quit

Und in der C:\Users\christian\OCQSS\start.cmd steht dann:

@echo off
cd %userprofile%\OCQSS\
start 768840.exe "508120.OST"

Jetzt muss ich nur noch schauen was die 768840.exe genau macht.

Aber der erste Link bei Google zeigt so ziemlich das an, was mir passiert ist:
http://www.threatexpert.com/report.aspx?md5=822419feeecd05fb4741aaf0d1e6ff92

BTW: Wo ist der Danke Button?

 

[mjor23]

ich würde das system neu aufsetzen.
das sieht mir danach aus, als hättest du dir was eingefangen.
selbst wenn du das problem lösen kannst, heisst das nicht, dass du zu 100% davon befreit bist.

 

[Smagjus]

Eigentlich wollte ich dir die Run-Einträge und nicht die Runonce-Einträge zeigen, da ich mir bis gerade über die Bedeutung dieser gar nicht im klaren war. Ich musste also gerade selber nachlesen: http://support.microsoft.com/kb/137367/de

Du kannst trotzdem mal testweise die gefundene Datei hier hochladen, um sicher zu gehen:
https://www.virustotal.com/de/

Weiterhin solltest du über den Rat von mjor23 nachdenken, denn eine gefundene Datei muss noch lange nicht alles gewesen sein.

​Ich bin selbst kein Experte also verweise ich an dieser Stelle an den Videokanal, wo ich die Tipps herhabe, die ich dir gerade gegeben habe:
https://www.youtube.com/user/SemperVideo

 

[chris2603]

Virustotal:
https://www.virustotal.com/de/file/...26154ab2d511ba668f49dc4b/analysis/1379329118/

Scheinbar hat hier jemand eine Scripting umgebung genutzt um einen Keylogger zu basteln.

Sieht mir zumindest ganz danach aus.

Deshalb schlägt auch kein Antivirenprogramm an.

Bin grad mal am schauen ob ich an die Scripte komme.

Und files mit meinen Daten gibt es auch in dem Ordner.

Nur alle gecryptet.

 

[frogger9]

hast du irgendwelche Keygens oder Cracks geladen?

Darin verstecken sich recht häufig solche selbstgebauten Spider. Dieser schickt zB. dann gesammelte Informationen weiter an einen Exchange Server im Netz. Virenscanner erweisen sich dagegen oft als nutzlos, da es sich hierbei um keinen eigentlichen Virus handelt. Etwas Schutz bringt das Deaktivieren von Windows Scripting Host.

Falls die EXE als Bash-Script geschrieben wurde, wird sie im TEMP extrahiert und dort liegt sie dann als Klartext vor. Man kann also schon rauskriegen, welche Daten gesammelt und wohin sie geschickt wurden.

https://analysis.avira.com/de/submit

 

[chrigu]

taskmanager werden grundsätzlich von trojaner/viren und anderen tools (kindersicherung, keylogger usw...) geblockt.

deshalb mein tipp: betrachte dein system als korrupt... formatiere deine windows festplatte, ändere sämtliche passwörter (ebanking, facebook, email, onlineshops usw..) und mach alles neu.... und solltest du irgendwelche no-cd-cräcks oder sonstwelche p2p files installiert haben... die sind zu 99% verseucht, die du als admin installieren musst und somit auch jeden virenjäger umgehen.