Win9x, WinNT, WinME, Win2000, WinXP

Windows−Explorer startet nicht mehr
kein Desktop
C:\Windows\explorer.exe konnte nicht gefunden werden

Nachdem man zur Erkenntnis gekommen ist, daß das eigene System von einem Virus, Trojaner o.ä. befallen ist, gibt man sich gerne daran, eben jene Störenfriede durch eigens dafür geschaffene kleine "Bereinigungstools" - sogenannte Remover - oder gar durch die interne Funktion eines evtl. (nach-) installierten Antiviren- Programms wieder entfernen zu lassen. Nichts einfacher als das... FALSCH!

Eine kleine Analogie aus dem Nähkästchen:
Ein Besitzer eines kleinen Schnell-Imbisses stellt eines morgens fest, daß in der Nacht ein Einbrecher sein kleines Schnellrestaurant heimgesucht und dabei nicht nur erheblichen Schaden am Schließmechanismus der Türe hinterlassen hat, sondern seinem beschränkten Geiste auch durch massiven Vandalismus freien Lauf gelassen hat. Die tiefgekülten Speisen sind mehr oder weniger strategisch quer durch das gesamte Etablissiment verteilt, und offenkundig wurden auch diverse Soßen und andere Beilagen zur fragwürdigen Verzierung der Inneneinrichtung mißbraucht. Kurzum: eine herrliche Schweinerei.
Geht der Ladenbesitzer nun recht in der Annahme, daß durch die Tatsache, daß der Übeltäter nicht mehr vor Ort ist, alles wieder in Ordnung ist? - Nein, natürlich nicht. Das Türschloß muß repariert werden, die Verunreinigungen müssen entfernt werden, und für die im Raum verteilten Speisen bleibt auch nur noch der Weg in die Mülltonne. Und vieleicht schwebt auch noch der Gedanke im Raum, wie man sich in Zukunft besser gegen solche Attacken schützen könnte.

Zurück zum Thema:
Ist es mit der bloßen Entfernung der Schadsoftware vom System getan? - Nein. Denn welchen Schaden der Übeltäter neben seinem widerrechtlichen Eindringen noch angerichtet hat, läßt sich bestenfalls erahnen.
So berichtete uns kürzlich jemand stolz, er habe "sämtliche Viren erfolgreich von seinem System entfernt", wunderte sich allerdings darüber, daß beim Start seines Windows-Systems kein Desktop mehr erschien. Über Strg-Alt-Entf konnte er wohl noch den Taskmanager aufrufen. Der Versuch allerdings, hierüber die explorer.exe im Verzeichnis C:\Windows zu starten, quittierte das System mit der Meldung "C:\Windows\explorer.exe konnte nicht gefunden werden...". Nicht gefunden? Sie war doch da! Auch eine Wiederherstellung der Datei von einer Windows-Installations-CD führte zu keiner Verbesserung.

C:\Windows\explorer.exe konnte nicht gefunden werden

Des Rätsels Lösung verbarg sich in einem Eintrag der Windows-Registry im Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Hier fand sich ein Unterschlüssel mit Namen "explorer.exe" und dem Eintrag

"Debugger" = "C:\Programme\NetMeter\NetMeter.exe"

Bezeichnete "NetMeter.exe" war eine der bereits entfernten Malware.
Die Schadsoftware hatte durch diesen Registry-Eintrag sichergestellt, daß sie bei jedem Start des Windows-Explorers mitgestartet wird. Genaugenommen wird dadurch ausschließlich das Programm "NetMeter.exe" gestartet. Zu deutsch: Dieser Registry-Eintrag bewirkt, daß beim Aufruf der "explorer.exe" stattdessen das angegebene Programm gestartet wird. Im Falle der Malware "NetMeter.exe" startete diese selbst aber beim Aufruf auch den Explorer, wodurch zunächst während des Befalls kein Fehlverhalten autrat. Jetzt, wo sie selbst aber nicht mehr auf dem System vorhanden war, verursachte dieser Eintrag eine Fehlfunktion und der Windows-Explorer startete auch nicht mehr. Verwirrend natürlich an dieser Stelle die Fehlermeldung des Betriebssystems, welches meldet, daß die explorer.exe nicht gefunden wurde... tatsächlich aber wurde nur die NetMeter.exe nicht gefunden.

Lange Rede, kurzer Sinn:
Wenn der Explorer sich nicht mehr starten läßt, lohnt ein Blick in die Registry (aufrufbar über den Taskmanager siehe auch Neuer Task... siehe auch regedit siehe auch OK) in den Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

Existiert hier ein Unterschlüssel "explorer.exe", diesen Unterschlüssel einfach komplett löschen.


Und an dieser Stelle wieder der Hinweis:
Ist ein System einmal durch Viren o.ä. befallen, gibt eigentlich nur die komplette Neuinstallation des Systems ausreichende Sicherheit, wieder mit einem sauberen System weiterzuarbeiten!
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig! Das heißt, daß alle Daten manipuliert sein könnten, daß alle Programme manipuliert sein könnten, und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
- UAP -







Suchbegriffe für diese Seite:
Windows−Explorer startet nicht mehr - kein Desktop - C:\Windows\explorer.exe konnte nicht gefunden werden, NetMeter.exe, Virus, Virenbefall, Virenbereinigung, Trojaner