Wallpaperänderung direkt nach anmeldung

[elite-noob]

Hallo zusammen,

habe hier in der Firma (mal wieder) n Problem, nur komme ich gerade in keinster Weise weiter.
Der Betreffende User meldet sich an seinem PC an und jedesmal wenn alles geladen ist wird das Wallpaper geändert und eine Bild angezeigt welches eine "Virenwarnung" ausspricht. Der Pc ist nach mehreren Scans relativ sicher Virenfrei, zumindest geht keine Gefahr von dem Pc, vorerst wurde er vom Netz aber sicherheitshalber separiert.

Wenn sich an diesem Pc nun ein anderer User anmeldet dann bekommt dieser kein geändertes Wallpaper zu sehen. Die Vermutung das es in der Regestry irgendwo geschrieben stehen könnte liegt nahe, aber ich kann nix finden.

Nun zur frage, habt ihr mir nen Hinweis, ne Idee oder etwas dergleichen was mir weiterhelfen könnte?

Greetz
Chris

 

[lightsaver]

also bei xp findest du das ganze unter "HKEY_CURRENT_USER\Control Panel\Desktop\WallPaper". ich gehe mal davon aus, dass es bei w2k nicht anders sein wird.
interessant finde ich an dieser stelle, dass du schreibst, die änderung tritt erst ein, sobald alles geladen ist. damit sollte eigentlich schon noch irgendwas geladen werden, was die änderung hervorruft.
hast du mal probiert mit dem process monitor ( http://www.microsoft.com/germany/technet/sysinternals/utilities/processmonitor.mspx ) den kompletten bootvorgang zu loggen (dafür gibts extra die option bootlog)? das dürfte zwar ein recht umfangreiches log produzieren, aber wenn du das dann gut filterst solltest du eigentlich schnell rausfinden, wo diese änderung passiert.

 

[elite-noob]

danke, werde ich zumindest mal schaun, werde melden falls es das war, bin aber auchfür weiter vorschläge offen.

greetz
chris

 

[0mega]

das klingt nach einem dieser komischen dingers die man sich oft mit'm IE einfängt (die gefakte virenwarnung im systray hab ich schon bei vielen leuten "entfernt" ) nen aggressiver virus wird's nich sein, eher einer dieser hoaxes oder wie das viehzeug heißt. versuch mal nen anderen scanner, zB den kostenlosen von AVG oder die 30tage testversion von fsecure, kannste hinterher ja wieder runterwerfen.

mfg.

 

[kr4nk$]

Und das so eine Warnung an Microsoft gesendet wird kann man mit XP-Antispy umgehen dann dürfte, wenn ein Virus eingefangen wurde, dieser Wallpaper nicht mehr kommen

 

[gelöscht]

Es wäre erstmal gut zu wissen um was für ein Betriebssystem es sich handelt und da der Themenstarter schrieb: "In der Firma und vom Netz genommen", wäre noch interessant zu wissen ob es sich um eine AD handelt und ob es Serverseitig gespeicherte Profile sind, oder wie auch immer. Denn wenn es so sein sollte, hilft dir die Registry überhaupt nichts. Sollten es Serverseitig gespeicherte Profile sein, kann es auch möglich sein, dass sich da jemand einen Unfug erlaubt hat.

::edit:: Ich vermute auch mal dass es sich hierbei um ein Hoax handelt, aber nett wäre es schon, wenn du uns erstmal ein wenig mehr Informationen geben würdest ::edit::

Grüße

Zephyros

 

[lightsaver]

Original von Zephyros
Es wäre erstmal gut zu wissen um was für ein Betriebssystem es sich handelt

Das sagt dir der Titel: "2000 Prof. Wallpaperänderung..."

 

[gelöscht]

Original von lightsaver

Original von Zephyros
Es wäre erstmal gut zu wissen um was für ein Betriebssystem es sich handelt

Das sagt dir der Titel: "2000 Prof. Wallpaperänderung..."

Mensch, tut mir leid, habe es gerade gesehen

Dann hat sich die erste Frage natürlich erübrigt

Grüße

Zephyros

 

[elite-noob]

ok, es handelt sich um w2k, der Rechner ist in einer Domain wodurch die Serverseitig gespeicherten Profile auch geholt werden, diese werden lokal zwischengespeichert für den fall das (wie hier) das netzwerk nicht vorhanden sein sollte. Am Wallpaper liegt es nicht, wenn ich das ändere und das Profil neu lade kommt es wieder, ich will nur wissen wie ich diese Einstellung fixen kann. Auf den Regestry eintrag Curren User kann ich leider nicht zugreifen da die Regedit für normale User gesperrt ist (und bleibt, änderungen hiervon unterliegen nicht meinem Berechtigungsbereich).

Fehlen noch infos?
Hoffe ich habe diesmal nix vergessen.


Greetz
Chris

 

[odigo]

Schau doch mal in msconfig (Start -> ausführen) ob dir da was auffällt, besonders bei den Autostarts.

Gruß odigo

 

[elite-noob]

@odigio, meines wissens ist msconfig in w2k nicht eingebunden, und wenn dann ist die ausführung selbst mir als Admin untersagt. schade

Greetz
Chris

 

[-=Draven=-]

Man kann aber einfach die msconfig Version von Windows XP nehmen findet man
unter %SYSTEMROOT%\pchealth\helpctr\binaries

Mit der Wallpaper Änderung würde ich auch auf einen dieser Hoax Programme tippen
habt ihr mal die Plugins vom IE kontrolliert falls der User überhaupt irgendwas ändern
kann geschweige den was Installieren darf.

Hat der User evtl. auf dem Lokalen System mehr Rechte als gut ist?
Das sich da mal was eingeschlichen und installiert hat?

 

[gelöscht]

Hallo,

du brauchst Zugriff auf die NTUSER.MAN. Sollte die NTUSER.MAN nicht vorhanden sein, bzw. noch NTUSER.DAT heißen, solltest du mal in der Datei schauen, wie es mit den Desktopeinstellungen aussieht.. Wenn die NTUSER wirklich die Endung .DAT hat, solltet Ihr die Datei in .MAN umbenennen, Windows wird dann keine Änderungen mehr an dieser Datei vornehmen bzw. in die Datei Änderungen speichern, sondern die Datei bleibt dann immer gleich, egal was der User auf dem Desktop treibt, ergo: Die Hoaxe können auch nichts mehr anrichten..

Diese Profile nennt man auch: Verbindliche Profile

Ansonsten solltet Ihr die Gruppen- und Benutzerrichtlinien in der AD nochmal überprüfen um eventuelle Fehler an den Profilen zu beseitigen. Speziell die Gruppenkonten.

Falls du mehr Informationen brauchst, melde Dich einfach.

Grüße

Zephyros

 

[elite-noob]

@Zephyros, das klingt interessant, werde ich definitiv mal ausprobieren und im internet nachschlagen, davon habe ich bisher nie etwas gehört gehabt.

Greetz
Chris