Supportnet / Forum / WindowsXP
Fehlermeldung!!! Brauche Hilfe !!!
Frage
Hi
Wenn ich meinen Computer hochfahre dann kommt nah dem willkommen eine Fehlermeldung :
C:\WINDOWS\System32\system.exe konnte nicht gefunden werden. Stellen Sie sicher dass Sie den Namen korrekt eingegeben haben und wiederholen den Vorgang. Klicken Sie Start und anschließend suchen, um die datei zu suchen .
Kann mir jemand helfen wie ich das Problem löse ???
THX
by zmOe ICQ 115480890 !!!
Antwort 1 von Mickey
Mach doch mal einen Viren / Trojanercheck als erstes.
Troj/BushTro122
ist ein Backdoor-Trojaner, der als Serverprozess im Hintergrund läuft und einem Remote-Anwender (mit Hilfe eines Client-Programms) Zugriff auf und die Steuerung über den Computer ermöglicht.
Er kopiert sich als SERVER.EXE in das Windows-Verzeichnis und als system.exe in das Windows System32-Verzeichnis. Er erstellt außerdem die Registrierungsschlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices\System32 = Windows System32\system.exe (www.sophos.de)
Gruss,
Mic
Troj/BushTro122
ist ein Backdoor-Trojaner, der als Serverprozess im Hintergrund läuft und einem Remote-Anwender (mit Hilfe eines Client-Programms) Zugriff auf und die Steuerung über den Computer ermöglicht.
Er kopiert sich als SERVER.EXE in das Windows-Verzeichnis und als system.exe in das Windows System32-Verzeichnis. Er erstellt außerdem die Registrierungsschlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices\System32 = Windows System32\system.exe (www.sophos.de)
Gruss,
Mic
Antwort 2 von zmOe
Thx mic
Könnte es daran liegen ?
Ich habe voher Antivir Xp geupdatet und dann installiert dann kommt immr son zwangs Virencheck den habe ich abgebrochen.
Könnte es daran liegen ?
Ich habe voher Antivir Xp geupdatet und dann installiert dann kommt immr son zwangs Virencheck den habe ich abgebrochen.
Antwort 3 von Mickey
Wobei AntiVir dafür vielleicht nicht erst Wahl sein dürfte.
Entweder suchst du mal manuell nach Troj/BushTro122
oder installierst dir ein Proggie wie AntiTrojan.
Bereich Downloads/Anti-Trojan
Gruss,
Mic
Entweder suchst du mal manuell nach Troj/BushTro122
oder installierst dir ein Proggie wie AntiTrojan.
Bereich Downloads/Anti-Trojan
Gruss,
Mic
Antwort 4 von zmOe
Nochmals THX mic
wenn ich also den Anti Trojan durchlaufen lsse und er denn Troaner findet und ihn entfernt geht alles dann wieder
meine ist dann die fehlermeldung weg ?
wenn ich also den Anti Trojan durchlaufen lsse und er denn Troaner findet und ihn entfernt geht alles dann wieder
meine ist dann die fehlermeldung weg ?
Antwort 5 von Mickey
Das weiss ich nicht.
Hast du mal in der Registry die Schlüssel gesucht - beide sind bei mir unter XP nicht existent.
Wie du manuell vorgehst steht im ersten Link.
Sichere/exportiere die Schlüssel erst wenn du dir unsicher bist.
Gruss,
Mic
Hast du mal in der Registry die Schlüssel gesucht - beide sind bei mir unter XP nicht existent.
Wie du manuell vorgehst steht im ersten Link.
Sichere/exportiere die Schlüssel erst wenn du dir unsicher bist.
Gruss,
Mic
Antwort 6 von zmOe
Wenn ich über Ausführen REGEDIT dann auf suchen gehe und Troj/BushTro122 eingebe findert er was soll ich das gefundene Löschen ?
Antwort 7 von Mickey
zmOe
aus dem ersten Link:
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Registrierungsmenü auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices\System32 = Windows System32\system.exe
und löschen Sie die Verweise auf system.exe.
Jeder Benutzer hat einen Registrierungsbereich namens
HKEY_USERS\'Codeziffer des Benutzers'\. Suchen Sie für jeden Benutzer den Schlüssel:
HKU\Codeziffer\Software\Microsoft\Windows
\CurrentVersion\Run\SERVER.EXE = Windows\SERVER.EXE
Löschen Sie den Verweis auf SERVER.EXE.
Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu.
Wenn du zusätzlich noch Troj/BushTro122 Einträge findest ( was lt. Sophos nicht der Fall sein sollte ) dann lösch auch die Einträge nach Sicherung der jeweiligen Schlüssels.
Gruss,
Mic
aus dem ersten Link:
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Registrierungsmenü auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE:
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices\System32 = Windows System32\system.exe
und löschen Sie die Verweise auf system.exe.
Jeder Benutzer hat einen Registrierungsbereich namens
HKEY_USERS\'Codeziffer des Benutzers'\. Suchen Sie für jeden Benutzer den Schlüssel:
HKU\Codeziffer\Software\Microsoft\Windows
\CurrentVersion\Run\SERVER.EXE = Windows\SERVER.EXE
Löschen Sie den Verweis auf SERVER.EXE.
Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu.
Wenn du zusätzlich noch Troj/BushTro122 Einträge findest ( was lt. Sophos nicht der Fall sein sollte ) dann lösch auch die Einträge nach Sicherung der jeweiligen Schlüssels.
Gruss,
Mic
Antwort 8 von zmOe
Sorry aber das ist mir zu Kopleziert !
Ich Verstehe das irgendwie nicht gibts da keine einfache Lösung oder wie geht das genau ?
Sorry bin halt noch ein NEWBIE!!!
Ich Verstehe das irgendwie nicht gibts da keine einfache Lösung oder wie geht das genau ?
Sorry bin halt noch ein NEWBIE!!!
Antwort 9 von Mickey
In die Registry kommst du über Start-Ausführen- Regedit [ENTER].
ABER:
nimmst du da Veränderungen vor die NICHT vorgenommen werden dürfen kann es passieren das du dir dein System zerschiesst.
Deshalb:
1) Markiere im neuen Fenster wenn die Registry aufgeht den Arbeitsplatz blau- geh auf Datei - Exportieren.... und exportiere die Registry an einen Platz deiner Wahl ( irgend nen Namen vergeben )
2) Dann hangle dich durch die Schlüssel wie oben beschrieben.
3) Wenn du den Schlüssel ( siehe oben !!! ) gefunden hast, markiere ihn im Linken Fenster blau - Rechte Maus - exportieren und exportiere diese Schlüssel einzeln nochmal!!!
4) Dann erst nimm im rechten Fenster die Änderung vor ( markieren - auf die Einträge wie oben beschrieben - rechte Maus - löschen )
5) Wenn du dir nicht sicher bist lass lieber jemanden anders da ran.
Gruss,
Mic
Was sagt denn AntiTrojan?
ABER:
nimmst du da Veränderungen vor die NICHT vorgenommen werden dürfen kann es passieren das du dir dein System zerschiesst.
Deshalb:
1) Markiere im neuen Fenster wenn die Registry aufgeht den Arbeitsplatz blau- geh auf Datei - Exportieren.... und exportiere die Registry an einen Platz deiner Wahl ( irgend nen Namen vergeben )
2) Dann hangle dich durch die Schlüssel wie oben beschrieben.
3) Wenn du den Schlüssel ( siehe oben !!! ) gefunden hast, markiere ihn im Linken Fenster blau - Rechte Maus - exportieren und exportiere diese Schlüssel einzeln nochmal!!!
4) Dann erst nimm im rechten Fenster die Änderung vor ( markieren - auf die Einträge wie oben beschrieben - rechte Maus - löschen )
5) Wenn du dir nicht sicher bist lass lieber jemanden anders da ran.
Gruss,
Mic
Was sagt denn AntiTrojan?
Antwort 10 von zmOe
AntiTrojan
Hat nix gefunden habe alles durchlaufen lassen .
Hat nix gefunden habe alles durchlaufen lassen .
Antwort 11 von zmOe
Jeder Benutzer hat einen Registrierungsbereich namens
HKEY_USERS\'Codeziffer des Benutzers'\. Suchen Sie für jeden Benutzer den Schlüssel:
HKU\Codeziffer\Software\Microsoft\Windows
\CurrentVersion\Run\SERVER.EXE = Windows\SERVER.EXE
Mit dem komme ich net klar ih finde das net .
HKEY_USERS\'Codeziffer des Benutzers'\. Suchen Sie für jeden Benutzer den Schlüssel:
HKU\Codeziffer\Software\Microsoft\Windows
\CurrentVersion\Run\SERVER.EXE = Windows\SERVER.EXE
Mit dem komme ich net klar ih finde das net .
Antwort 12 von zmOe
Ich weiss echt net mehr weiter .
Antwort 13 von Mickey
Du findest wenn du die Registry öffnest den Arbeitsplatz vor und drunter 5 hauptschlüssel ( zu öffnen und schliessen über das + Zeichen ).
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
- Default ( 1x )
- S-1-5-xxx ( 5x )
HKEY_CURRENT_CONFIG
------------------------------------
HKEY_USERS
Unter diesem Schlüssel sind alle User Informationen abgelegt, sowie die Standard Einstellungen, die unter den Schlüsseln Default
und Software zu finden sind. Wenn ein neuer Benutzer angelegt wird, wird hier ein neuer Schlüssel für diesen angelegt.
Mit HKU\Codeziffer\Software sind die ersten, nummerierten Unterschlüssel [ ( bei mir z.B. [b]S-1-5-xxx ( 5x ) ] gemeint.
Da einfach die einzelnen Schlüssel ( also User = Codeziffern ) durchgehen wie es angezeigt ist und nach entsprechenden Einträgen suchen.
Gruss,
Mic
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
- Default ( 1x )
- S-1-5-xxx ( 5x )
HKEY_CURRENT_CONFIG
------------------------------------
HKEY_USERS
Unter diesem Schlüssel sind alle User Informationen abgelegt, sowie die Standard Einstellungen, die unter den Schlüsseln Default
und Software zu finden sind. Wenn ein neuer Benutzer angelegt wird, wird hier ein neuer Schlüssel für diesen angelegt.
Mit HKU\Codeziffer\Software sind die ersten, nummerierten Unterschlüssel [ ( bei mir z.B. [b]S-1-5-xxx ( 5x ) ] gemeint.
Da einfach die einzelnen Schlüssel ( also User = Codeziffern ) durchgehen wie es angezeigt ist und nach entsprechenden Einträgen suchen.
Gruss,
Mic
Antwort 14 von zmOe
wenn ich Ausführen REGEDIT eingebe und dann unter HKEY_USER\S-1-5-xx\Software\Mircosoft\Windows\CurrentVersion\Run
Befindet sich im Run ordner eine datei ( CTFMON.EXE ) (bei allen 5 )
Klartext ich finde keine Datei mit dem Namen SERVER.exe
und System.exe in diesen Ordnern
Befindet sich im Run ordner eine datei ( CTFMON.EXE ) (bei allen 5 )
Klartext ich finde keine Datei mit dem Namen SERVER.exe
und System.exe in diesen Ordnern
Antwort 15 von Mickey
Jo, die CTFMON.EXE lass mal.
Dann wurde da nichts angelegt - freu dich.
Prüf die anderen Pfade - lösch was du dem Trojaner zuordnen kannst, mach ein Update deines Anti-Trojan, lass den auch nochmal laufen und boote neu.
Gruss,
Mic
Dann wurde da nichts angelegt - freu dich.
Prüf die anderen Pfade - lösch was du dem Trojaner zuordnen kannst, mach ein Update deines Anti-Trojan, lass den auch nochmal laufen und boote neu.
Gruss,
Mic
Antwort 16 von zmOe
So ganz freuen kann ich mich net denn bis jetzt ist das Problem noch net gelöst, werde das mit dem Updaten versuchen.
Dann sag ich bescheid obs geklappt hat und das Problem gelöst ist.
Dann sag ich bescheid obs geklappt hat und das Problem gelöst ist.
Antwort 17 von zmOe
HEUL!!!
Die Fehlermeldug kommt immer noch.
Die Fehlermeldug kommt immer noch.
Antwort 18 von Mickey
Prüf mal folgende Pfade:
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
---------------------------------------
Desweiteren
HKEY_CLASSES_ROOT\exefile\shell\open\command
Hier sollte eigentlich nur folgender Eintrag finden: ""%1"%*"
Ist dein Betriebssystem infiziert könnte es so aussehen: system.exe ""%1"%*".
---------------------------------------
Wenn du nichts mehr findest lass mal folgendes Tool über deinen Rechner laufen.
Win32.BugBear.A@mm Removal Tool
Auch dieser Wurm kopiert sich bei der Aktivierung als Datei C:\%System%\****.exe ins System ( **** sind variable Zeichen ).
%System% bezeichnet das Systemverzeichnis von Windows und ist in den verschiedenen Versionen unterschiedlich (Beispiel:C:\Windows\System oder C:\Winnt\System32).
Gruss,
Mic
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
---------------------------------------
Desweiteren
HKEY_CLASSES_ROOT\exefile\shell\open\command
Hier sollte eigentlich nur folgender Eintrag finden: ""%1"%*"
Ist dein Betriebssystem infiziert könnte es so aussehen: system.exe ""%1"%*".
---------------------------------------
Wenn du nichts mehr findest lass mal folgendes Tool über deinen Rechner laufen.
Win32.BugBear.A@mm Removal Tool
Auch dieser Wurm kopiert sich bei der Aktivierung als Datei C:\%System%\****.exe ins System ( **** sind variable Zeichen ).
%System% bezeichnet das Systemverzeichnis von Windows und ist in den verschiedenen Versionen unterschiedlich (Beispiel:C:\Windows\System oder C:\Winnt\System32).
Gruss,
Mic
Antwort 19 von zmOe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Es befindet sich kein Ordner Namens
( RunServices ) dort.
Lasse mal das Tool durchlaufen.
Aber ich glaube weniger daran das ich ein trojaner hab denn bis jetzt wurde keiner gefunden. Habe alles versucht.
Gestern ging ja alles noch habe nur Antivir Xp geupdatet und dann neugestartet und dann auf einmal kam die Fehlermeldung.
Es befindet sich kein Ordner Namens
( RunServices ) dort.
Lasse mal das Tool durchlaufen.
Aber ich glaube weniger daran das ich ein trojaner hab denn bis jetzt wurde keiner gefunden. Habe alles versucht.
Gestern ging ja alles noch habe nur Antivir Xp geupdatet und dann neugestartet und dann auf einmal kam die Fehlermeldung.
Antwort 20 von Mickey
Zitat:
Wenn ich über Ausführen REGEDIT dann auf suchen gehe und Troj/BushTro122 eingebe findert er was soll ich das gefundene Löschen ?
Wenn ich über Ausführen REGEDIT dann auf suchen gehe und Troj/BushTro122 eingebe findert er was soll ich das gefundene Löschen ?
Obiges steht zwar im Widerspruch dazu, das du nicht an einen Trojaner glaubst, aber wenn du dir sicher bist das du nichts auf dem System hast in der Richtung dann setz doch mal einen Systemwiederherstellungszeitpunkt auf einen Tag vor dem abgebrochenen Update.
Gruss,
Mic
Antwort 21 von zmOe
Wie Geht das ?
Antwort 22 von Mickey
Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung -> "Computer zu einem früheren Zeitpunkt wiederherstellen" und ein dunkel markiertes Datum auswählen.
Alle Programme etc. vorher beenden.
Gruss,
Mic
Alle Programme etc. vorher beenden.
Gruss,
Mic
Antwort 23 von zmOe
Boaaaaaa Geil !!!!
DANKE DANKE DANKE DANKE DANKE DANKE
DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE
Es geht wieder nur muss ich halt wieder alle Programme installieren und Systemeinstellungen vornehmen die ich am 17.März gemacht habe aber egal das schaffe ich schon!
DANKE MAN
DANKE DANKE DANKE DANKE DANKE DANKE
DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE DANKE
Es geht wieder nur muss ich halt wieder alle Programme installieren und Systemeinstellungen vornehmen die ich am 17.März gemacht habe aber egal das schaffe ich schon!
DANKE MAN