Donnerstag, 28. August 2008

Wenn der Windows-Desktop leer bleibt

… hat das meistens mit einem nicht laden wollenden explorer.exe zu tun. Normalerweise reicht es in einem solchen Fall, den Task Manager mittels Ctrl+Alt+Del aufzurufen, um dort dann mittels Datei > Ausführen explorer.exe nachzuladen.

Im heutigen Fall auf der Arbeit funktioniert das nicht – Ursache für den leeren Schirm könnte eine Infektion durch einen Virus/Trojaner gewesen sein (Stichwort braviax.exe, was auf etwas à la Trojan.Wsnpoem hindeutet).

Weder half es, einen neuen Benutzer anzulegen, noch Windows in den abgesicherten Modus zu laden. Es fehlten immer die Desktop-Icons und auch von der Task-Bar war weit und breit nichts zu sehen.

Nach einem gründlichen Virenscan mit AVG (im abgesicherten Modus!) und der Installation von Service Pack 3 war das Problem zwar weiterhin nicht behoben, aber immerhin der Virus isoliert und das System wieder etwas näher am vollgepatchten Zustand.

Die Fehlersuche ging weiter. Eine Analyse mit ProcessMonitor zeigte einige Aufrufe der Registry, doch ich vermochte nichts Auffälliges zu entdecken – ausser:

$ cat processmonitor-logfile.csv | grep "12:43" | grep -v "SUCCESS" | cut -d "," -f 6
...
"C:\Programme\Microsoft"
"C:\Programme\Microsoft.exe"
"C:\Programme\Microsoft"
"C:\Programme\Microsoft Common\wuauclt.exe"
"C:\Programme\Microsoft Common\wuauclt.exe.exe"
"C:\Programme\Microsoft Common\wuauclt.exe"
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"""
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"".exe"
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"""
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"""
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"".exe"
"C:\Programme\Microsoft Common\wuauclt.exe ""C:\windows\explorer.exe"""

ganz am Ende der Aufzeichnung (Anführungszeichen wegen dem CSV-Export aus ProcessMonitor). Ich dachte mir nichts weiter dabei.

Nach einigen weiteren Googlereien fand ich dann, versteckt in mitten unnützer Kommentare, den Hinweis, doch den Registry-Schlüssel

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

zu löschen. Im Wert Debug stand wuauclt.exe – ein Lichtlein ging mir auf, wieso ProcessMonitor obige kurlige Aufrufe anzeigte.

Evil

Wer also seinen lieben, lieben Windows benutzenden Kollegen demnächst eins auswischen will, behelfe sich dieser genialen Microsoft-Erfindung namens Image File Execution Options. Wie genau beschreibt der Blog-Artikel Image File Execution Options: Good, Evil, Fun. sowie die Seite Image File Execution Options.

Liked this post? Follow this blog to get more. 

Tags: , ,
Labels: Allgemein

Ein Kommentar Kommentare

Kommentar erfassen