Hallo Computerfachleute,

bin neu hier und bräuchte mal Eure Hilfe und zwar geht es um folgendes:

Bei meinem Vater auf dem Rechner erscheint seit kurzem beim Hochladen abbricht und nicht einmal das Eingangsbild erscheint. Er hat das Windows ME 2000 drauf. Kurz vor Erscheinen der Startleiste und der Symbole aufm Desktop ist Ende und man sieht bei klicken der Taste "Details" bei der Fehlermeldung die beiden Worte "MS-Explorer" und "Statemgr". Man hat nun die Möglichkeit "Task beenden", "Herunterfahren" und "Abbrechen". Drücke ich auf "Task beenden" ist nur noch ein leerer Bildschirm mit dem Hintergrundbild zu sehen. Es bleibt dann nur noch die Möglichkeit wieder die Kiste runterzufahren.

Windows neu aufspielen und die Registrierung zurückzusetzen (einen Monat früher z. B.) brachten auch nichts.

Jetzt hab ich gelesen, daß es sich hierbei um einen Trojaner-Virus handeln könnte der das PC-Health-System irgendwie manipuliert hat. Kann mir da jemand helfen, wie ich die Datei "Statemgr.exe" wieder herstellen kann? Habe ja noch nicht mal die Taskleiste unten um überhaupt irgendwas zu machen. Muß also irgendein Program geben, daß ich schon im DOS-Modus während des Hochladens verwenden kann!!??

Danke schon mal im voraus.

Gruß

Thorsten

Hallo Thorsten,

da sind mir noch ein paar Sachen unklar.

Zuerst mal: Kannst Du denn im abgesicherten Modus booten? Oder mit Hilfe der Startdiskette (die Dein Vater sicherlich in weiser Voraussicht einmal erstellt hat )? Konntet Ihr Scandisk einmal ausführen? Auch intensiv? Mit welchem Ergebnis?

</font><blockquote>Zitat:</font><hr /> Er hat das Windows ME 2000 drauf. </font>[/QUOTE]Welches denn nun? ME oder 2000? Es handelt sich dabei um zwei grundverschiedene Betriebssysteme.

</font><blockquote>Zitat:</font><hr /> Jetzt hab ich gelesen, daß es sich hierbei um einen Trojaner-Virus handeln könnte der das PC-Health-System irgendwie manipuliert hat. </font>[/QUOTE]Das ist nur eine von vielen Möglichkeiten. Hattet Ihr denn einen aktuellen Virenscanner drauf, bevor das Problem auftrat? Wenn ja, welchen?

</font><blockquote>Zitat:</font><hr /> Kann mir da jemand helfen, wie ich die Datei "Statemgr.exe" wieder herstellen kann? </font>[/QUOTE]Habt Ihr denn eine Windows-CD zur Verfügung? Und könnt Ihr von dieser booten? Dann sollte es eigentlich kein großes Problem sein...

Hi,
kannst du im abgesicherten Modus (F8 beim Booten) hochfahren ?
Oder mit einer Win ME-Startdiskette ?
Evtl behebt scandisk mit oberflächencheck und/oder defrag schon das problem..

wenn F8-Boot geht, auch mal probieren:
- über arbeitsplatz -&gt;eigenschaften die Systemwiederherstellung bzw. über msconfig (mit Statemgr und PcHealth?) deaktivieren, reboot mit F8, erneut aktivieren
- mit SFC (geht vielleicht auch mit Startdiskette/CD ??) kannst du systemdateien prüfen/reparieren

Ansonten bleibt natürlich www.f-prot.org/fr_boot.htm
oder Hartwaren-Probleme:
-Mainboard, Platte, Grafikkarte, RAM-Riegel defekt etc..

Männoooh, Fata

Hallo Thorsten,

das muß durchaus nicht unbedingt ein Virus sein... ich denke ehr, ein Fehler in Windows, oder im Dateisystem, oder auch der Festplatte. Auf meinem Win98SE habe ich keine "Statemgr".

Hast Du (d.h. der Vater) eigentlich Windows Millenium oder Windows 2000? Oder entgeht mir da jetzt was?

Ich persönlich würde die Festplatte in einen anderen Rechner reinhängen und die persönlichen Daten kopienen, dann die Platte neu formatieren, Scandisk mit Surface-Check machen, Windows neu installieren (möglichst nicht Millenium...).

Ein halb zerschossenes Windows kann nie wieder zuverlässig funktionnieren (tut Windows eigentlich von vornherein schon nicht )

Aber nichts Überstürtztes machen! vielleicht weiß je jemand noch einen anderen Rat?

Dann würde ich auch unbedingt ein Image (Drive Image, Norton Ghost...) der neu installierten Platte anfertigen, das kann manchmal nütze sein.

Wenn Du neu Installieren solltest, ist das Anlegen mehrerer Partitionen auf Deiner Festplatte ist auch nicht unbedingt dumm. so hättest Du z.B. eine c: auf der Windows ist, eine andere d: mit Deinen Programmen und persönlichen Daten und einem/mehreren Images von c:. Nachdem Du ein neues Programm installiert hast und alles noch einwandfrei läuft, solltest Du dann ein neues aktuelles Image erstellen. (das erste nach der Installation von Windows aber besser immer aufheben). Alternativ kann man natürlich auch eine zweite Festplatte installieren und damit ebenso verfahren.

Persönlich habe ich 3 Festplatten in zusammen 5 Partitionen, das ist mir sehr praktisch.

So kann ich z.B. mit WinBackup (siehe Rokop-Empfehlung) regelmäßig Sicherungskopien auf richtig andere Festplatten anlegen. Wenn also eine abnippeln sollte, ist auf zwei anderen noch eine Kopie und auf CDRW noch eine (möglicherweise ältere) weitere. Weg ist so leicht also nix.

Gruß Hendrik

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
Männoooh, Fata </font>[/QUOTE]Will doch auch endlich Senior-Mitglied werden . Wie viele Postings braucht man da? 250?

Startdiskette haben wir. Auch von Startdiskette hochgeladen bzw. mit f8 im abgesicherten Modus. Das System bleibt jedesmal an der gleichen Stelle stehen. Man sieht nur das Desktop-Hintergrundbild ohne irgendwelche Icons vom Desktop bzw. unten die Taskleiste. Wenn man wenigstens in die Systemsteuerung käme aber nichts dergleichen.....

</font><blockquote>Zitat:</font><hr /> Konntet Ihr Scandisk einmal ausführen? Auch intensiv? Mit welchem Ergebnis? </font>[/QUOTE]Ja, haben wir im DOS gemacht. Ohne Ergebnis.

</font><blockquote>Zitat:</font><hr /> Welches denn nun? ME oder 2000? Es handelt sich dabei um zwei grundverschiedene Betriebssysteme. </font>[/QUOTE]Äh sorry, er hat das Windows ME drauf.

</font><blockquote>Zitat:</font><hr /> Das ist nur eine von vielen Möglichkeiten. Hattet Ihr denn einen aktuellen Virenscanner drauf, bevor das Problem auftrat? Wenn ja, welchen? </font>[/QUOTE]Antivir nennt der sich. War mal auf ner Computer-Bild-CD drauf.
Wir habens auch schon mit f-prot probiert und da schreibt er irgendwas mit "supicious" in zwei Ordnern und zwar bei "msconfig" und "msapp", identifiziert hat f-prot aber nichts bzw. desinfiziert.

</font><blockquote>Zitat:</font><hr />Habt Ihr denn eine Windows-CD zur Verfügung? Und könnt Ihr von dieser booten? Dann sollte es eigentlich kein großes Problem sein... </font>[/QUOTE]Ja, haben wir. Habe ja auch Windows nochmal komplett aufgespielt mit überschreiben vorhandener Systemdateien.


Bin echt mit meinem Latein am Ende, weil ich halt nichts mehr machen kann. Es kommt die Fehlermeldung bei Erscheinen des Desktop-Hintergrundes und fertig is. Kann dann wie gesagt, die Kiste nur noch runterfahren und ausmachen. Läßt sonst nichts weiter zu.

Hallo Thorsten,

jetzt ist guter Rat teuer.

Habt Ihr denn eine Sicherheitskopie aller relevanten Daten? Dann ist womöglich neu formatieren der einfachste Weg. Oder wenn nur wenige Daten nicht gesichert sind, diese vorher über DOS auf Disketten sichern.

Wenn Du Dich doch noch für einen "Rettungsversuch" entscheidest: Anscheinend kannst Du ja von der Startdiskette aus booten. Versuch es doch mal mit dem DOS-Tool Extract.exe. Liegt in x:\[windir]\command. Die Hilfe erhältst Du mit extract /?. Die statemgr.exe liegt in win_17.cab, sie gehört in x:\[windir]\system\restore, die explorer.exe liegt in win_16.cab und gehört in x:\[windir].

</font><blockquote>Zitat:</font><hr /> Wir habens auch schon mit f-prot probiert und da schreibt er irgendwas mit "supicious" in zwei Ordnern und zwar bei "msconfig" und "msapp", identifiziert hat f-prot aber nichts bzw. desinfiziert. </font>[/QUOTE]Könntest Du das evtl. noch etwas genauer beschreiben? Oder den ganzen Report hier posten? Wie aktuell waren die sign- und macro.def-Dateien?

Ist denn der Rechner nach dem Booten von Startdiskette voll in DOS funktionsfähig? Die ganze(n) Platte(n) lesbar usw.?

</font><blockquote>Zitat:</font><hr /> Jetzt hab ich gelesen, daß es sich hierbei um einen Trojaner-Virus handeln könnte der das PC-Health-System irgendwie manipuliert hat. </font>[/QUOTE]Wo hast Du das gelesen? Gib uns doch bitte mal einen Link...

</font><blockquote>Zitat:</font><hr /> - mit SFC (geht vielleicht auch mit Startdiskette/CD ??) kannst du systemdateien prüfen/reparieren </font>[/QUOTE]Hi Who, das gibt es leider bei ME nicht.

Ach ja, vielleicht helfen Dir diese Artikel über die "system file protection" noch weiter, um eventuelle Manipulationen an den genannten Dateien nachzuvollziehen:
http://support.microsoft.com/default.aspx?scid=kb;[LN];D43508
http://support.microsoft.com/default...d=kb;de;267282

Hmmm am besten mal mit einem leistungsstarken Scanner checken....ja genau KAV oder AVK, was sonst [img]tongue.gif[/img]
Da ja schon zwei AV Scanner drauf waren müsste man erstmal die Registry komplett säubern und alle anderen AV Scanner löschen. Dann einen(!) Scanner installieren KAV oder AVK.

Oder:

Du könntest ja einen Freund bitten sich mal AVK 12 (Testversion oder Vollversion falls vorhanden) zu installieren.
Dann upaten und mit aktuellen AV Signaturen eine BootCD brennen.
Diese dann einlegen und das Checken kann beginnen

[img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana:
Will doch auch endlich Senior-Mitglied werden . Wie viele Postings braucht man da? 250? </font>[/QUOTE]Glaub schon, imho geht das von 250 - 500

ab 500 ist man Level 1 Boarder

</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know:
Hmmm am besten mal mit einem leistungsstarken Scanner checken...

Oder:
</font>[/QUOTE]Hi I_wanna_know,

ersteres geht ja wohl nur bei laufendem WIN,
aber das 2. funzt hoffentlich..
wenn das ein Virus sein sollte..

</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know:
Hmmm am besten mal mit einem leistungsstarken Scanner checken....ja genau KAV oder AVK, was sonst [img]tongue.gif[/img] </font>[/QUOTE]Sicher keine schlechte Idee, aber ich habe den Eindruck, dass das im Moment eher ein Holzweg ist. Mit aktuellen F-Prot-Signaturen ist es eher unwahrscheinlich, dass aktuelle in-the-wild-Malware verpasst wurde. Ich rede jetzt nicht von Spezialfällen, wo jemand vorher extensiv auf Warez-Sites unterwegs war, sondern vom 0815-User, der Thorstens Vater ja wahrscheinlich ist.

Also - mir sieht es eher nach einem System- oder Hardwarefehler aus. Ich würde zuerst diese Richtung verfolgen. Die AVK-Geschichte kann man dann immer noch nachholen.

</font><blockquote>Zitat:</font><hr /> Da ja schon zwei AV Scanner drauf waren müsste man erstmal die Registry komplett säubern und alle anderen AV Scanner löschen. </font>[/QUOTE]F-Prot war ja wahrscheinlich nicht "drauf", sondern wurde in DOS von Disketten o. ä. gestartet. Auch sonst habe ich die Erfahrung gemacht, dass man fast beliebig viele Virenscanner ohne Probleme parallel installieren kann, so lange man sich auf die On-Demand-Scanner beschränkt. Bei mir sind es momentan 6.

Ach ja, Thorsten,

hast Du es auch schon einmal mit scanreg /restore versucht, nachdem Du von Diskette gebootet hast?