Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   vista -.- (https://www.trojaner-board.de/65027-vista.html)

myrtille 23.11.2008 16:31
vista -.-
 
Hi,

also vor weg es handelt sich um Vista Business, checkdisk und ramtest waren unauffällig.

Nachdem ich gestern vor meinem Film eingeschlafen bin, bin ich heute morgen etwas überrascht gewesen, dass mein Rechner aus und nicht im Ruhezustand war.

Beim Hochfahren, kam der typische "abgesicherter Modus, normaler Modus"-Auswahlschirm... ich hab mir ncihts gedacht und normal hochgefahren.

Beim Anmelden schien noch alles normal. Danach ist allerdings erstmal Windows Defender abgestürzt mit der Meldung:
Code:
Fehler bei der Anwendungsinitialisierung.  0x8007000d
WLan wollte sich auch nicht verbinden. Also versucht die Netzverbindungen über das Startmenü zu öffnen.
Fehlermeldung:
Code:
Die Daten sind unzulässig (Titel des Fensters: Explorer.exe)
Danach hab ich versucht den Eventmanager zu öffnen. Fehlermeldung:
Code:
Ein Fehler im Snap-In wurde festgestellt und das Snap-In entfernt.

Das Snap-In konnte nicht erstellt werden. Es wurde eventuell nicht richtig installiert.
Name: Ereignisanzeige
CLSID: {b05566ad-fe9c4363-be05-7a4cbb7cb510}
Die Suche nach irgendwelchen Dump-Dateien war leider auch erfolglos. Sodass ich nicht weiß wie ich herausfinden kann/soll was passiert ist.

Es funktioniert etwa eine Anwendung auf 3 noch.
So kann ich zwar überprüfen ob Updates installiert wurden (das letzte wurde vorgestern installiert), bin jedoch nicht in der Lage die Updates selbst zu deinstallieren.)
Antivir konnte ich scannen lassen, keine Fund.
MBAM konnte seine Datenbank nicht finden und hat beim Aufrufen interessanterweise nen Ordner direkt unter C: estellt.

Ich hab nur ne Recovery CD von Acer, die mir die Werkseitigen Einstellungen wiederherstellen will. Was ich eigentlich nicht möchte, da ich da auch direkt neuinstallieren kann.

Systemwiederherstellung ist deaktiviert. Ob ich das vor dem Crash deaktiviert hab oder ob das im Laufe des Crash entfernt wurde kann ich nicht sicher sagen.

Alle Fehler treten auch im abgesichtern Modus auf (nur das Windows Defender da nicht automatisch startet ;) )

Falls irgendwer ne Idee hat, wär ich sehr glücklich.
lg myrtille
EDIT: Falls jemand weiß mit welchem Befehl man den Hardwaremanager starten kann, würd ich mal überprüfen ob Vista alles richtig erkennt... Leider sind auch verschieden "Shortcuts" aus der Systemsteuerung verschwunden.

cad 23.11.2008 16:43
Zitat:
Zitat von myrtille (Beitrag 394189)

Ich hab nur ne Recovery CD von Acer, die mir die Werkseitigen Einstellungen wiederherstellen will. Was ich eigentlich nicht möchte, da ich da auch direkt neuinstallieren kann.

Systemwiederherstellung ist deaktiviert. Ob ich das vor dem Crash deaktiviert hab oder ob das im Laufe des Crash entfernt wurde kann ich nicht sicher sagen.
Ich würde es damit versuchen :)

Vista Notfall/Recovery-CD 32-Bit - drvista.de

Vista Notfall/Recovery-CD 64-Bit - drvista.de

oder Du wartest noch auf andere Vorschläge :)

Shadow 23.11.2008 17:04
Zitat:
Zitat von myrtille (Beitrag 394189)
EDIT: Falls jemand weiß mit welchem Befehl man den Hardwaremanager starten kann, würd ich mal überprüfen ob Vista alles richtig erkennt... Leider sind auch verschieden "Shortcuts" aus der Systemsteuerung verschwunden.
Windows-Taste + R
devmgmt.msc

myrtille 23.11.2008 17:34
@cad
Danke :)
Probleme beim Hochfahren werden keine gefunden. (Lügner. :schmoll:)
Systemwiederherstellung war, wie schon erwähnt, deaktiviert, also auch kein Glück.
Komplettes Backup gibts auch keins...

Bringt alles in allem leider nichts.


@shadow
Danke.
Hardwaremanager geht und es scheint da auch alles in Ordnung zu sein.

Ich fürchte da lässt sich nicht viel retten.... und ne Neuinstallations ist unumgänglich.
Mich würd nur interessieren, was eigentlich schiefgegangen ist.

lg myrtille

cad 23.11.2008 17:41
Zitat:
Zitat von myrtille (Beitrag 394215)
Mich würd nur interessieren, was eigentlich schiefgegangen ist.

lg myrtille
Wirklich nichts unter %SystemRoot%\MEMORY.DMP gefunden?

myrtille 23.11.2008 17:45
Hi,

doch die Datei gibt es schon, ebenso wie der Minidump-Ordner. Beide wurden jedoch zuletzte am 26. Juni verändert.

lg myrtille

cad 23.11.2008 18:01
Kannst Du hochfahren?

Was fehlt jetzt noch, bzw. stimmt nicht?

Nur die Symbole in der Systemsteuerung und die Wlanverbindung?

myrtille 23.11.2008 18:09
Hi,

der Rechner fährt eigentlich normal hoch, es dauert etwas länger, aber klappt.

das was ich (bisher) gefundne hab ist folgendes:
Internet geht nicht
Windows Defender stürzt ab
Eventmanger stürzt ab
Softwaremanager geht nicht
Windowsupdates können nicht isntalliert/deinstalliert werden
MBAM geht nicht
Hilfe&Support geht nicht
Startmenü ist vollkommen enstellt... einige Einträge sind auf englisch beschriftet, einige Einträge auf deutsch. Die Liste der Programme ist praktisch komplett leer.
Benutzerkontenmanager ist auch hinüber.

Insgesamt eigentlich kein Argument zum Neuaufsetzen, aber mir fehlt jeder Ansatzpunkt für die Ursache des Problems.

lg myrtille

john.doe 23.11.2008 18:09
eventvwr.msc

myrtille 23.11.2008 18:15
@john.doe

Ich weiß. ;) Daher kam ja die Fehlermeldung, die ich in meinem ersten Post erwähnt hab:

Zitat:
Ein Fehler im Snap-In wurde festgestellt und das Snap-In entfernt.

Das Snap-In konnte nicht erstellt werden. Es wurde eventuell nicht richtig installiert.
Name: Ereignisanzeige
CLSID: {b05566ad-fe9c4363-be05-7a4cbb7cb510}

cad 23.11.2008 18:33
Zitat:
Zitat von myrtille (Beitrag 394232)
Internet geht nicht
Windows Defender stürzt ab <--immer noch die gleiche Fehlermeldung?
Eventmanger stürzt ab<-auch noch gleich?
Softwaremanager geht nicht<-Meldung?
Windowsupdates können nicht isntalliert/deinstalliert werden<-Meldung/Fehlercode?
MBAM geht nicht->Deinstallation geht?
Hilfe&Support geht nicht<-Meldung?
Startmenü ist vollkommen enstellt... einige Einträge sind auf englisch beschriftet, einige Einträge auf deutsch. Die Liste der Programme ist praktisch komplett leer.->WinTotal - Tipps - Im Startmenü fehlen die Programmverknüpfungen
Benutzerkontenmanager ist auch hinüber.<-Meldung?
Fragt sich, ob Du versuchst eins nach dem anderen in den Griff zu bekommen (ohne Gewähr) oder gleich plattmachst.

Interessieren würde mich die Bastelei schon :D

john.doe 23.11.2008 18:34
Ups. Das Alter, die Augen, ....
Eventquery.vbs: System Resources (includes WSRM)
und wenn das auch nicht geht, die Dateien *.evt aus dem Ordner
%windir%\system32\config auf einen anderen Rechner kopieren.

myrtille 23.11.2008 20:21
@john.doe
Ich kann das Programm eventquery.vbs nirgends finden. Das scheint Teil des Win2K ResourceKits zu sein, hab aber nirgends nen DOwnload gefunden, hab mir grad die FInger wund gegoogelt.

Das exportieren hat auch nur bedingt geholfen: :o
Vista speichert natürlich alles im seinem neuen schmucken, nicht abwärtskompatiblen *.evtx Format ab. :schmoll:
Das ganze kann man aber mit wevtutil.exe noch konvertieren...
Wenn ich die Dateien nach *.evt konvertiere und versuche unter XP zu öffnen, heißt es nur, die Dateien wären beschädigt und könnten nicht geöffnet werden.
Ich bin also wieder am Anfang.

Falls du noch Ideen hast, probier ich das gerne durch. :)

@cad:
  • Windows Defender stürzt ab <--immer noch die gleiche Fehlermeldung? Ja
  • Eventmanger stürzt ab<-auch noch gleich? Ja
  • Softwaremanager geht nicht<-Meldung? Keine. Das Programm wird einfach beendet/stürzt ab ohne Meldung
  • Windowsupdates können nicht isntalliert/deinstalliert werden<-Meldung/Fehlercode? Keine, ich kann zwar den Updatemanager aufrufen, wenn ich aber auf Updates deinstallieren anwähle passiert nichts
  • MBAM geht nicht->Deinstallation geht? Ja
  • Hilfe&Support geht nicht<-Meldung?Die Meldung lautet: "Hilfe und Support konnte nicht gestartet werden." :balla: (Bitte wenden Sie sich an den Systemadministrator oder besuchen Sie http://windowshelp.microsoft.com um weitere Informationene zu ehralten.
  • Startmenü ist vollkommen enstellt... einige Einträge sind auf englisch beschriftet, einige Einträge auf deutsch. Die Liste der Programme ist praktisch komplett leer.->WinTotal - Tipps - Im Startmenü fehlen die Programmverknüpfungen ->guck ich mir gleich ma an
  • Benutzerkontenmanager ist auch hinüber.<-Meldung? keine Meldung. Es hängt sich einfach auf.
  • zusätzlich ist mir jetzt noch aufgefallen, dass ich zwar neue Dateien/Ordner erstelllen darf, diese aber alle "Neuer Ordner", "Neues Textdokument" etc heißen. Ich kann diese Dateien nicht umbenennen.
    (Also umbennen geht, ich kann auch nen eigenen Namen eingeben, aber wenn ich dann Enter drücke, wird der eigegeben Name ignoriert und der Ordner heißt weiterhin neuer ordner)

es wird nur immer absurder....

john.doe 23.11.2008 20:57
Sry für meine Rumraterei, ich mag Vista nicht. Schau mal, ob es ein wevtutil.exe gibt.
wevtutil.exe - Greatis Software

ciao, andreas

cad 23.11.2008 21:15

Auf 2 Hochzeiten gleichzeitig zu tanzen ist........

Geh erst die Tipps von john.doe durch und dann probierst bitte das hier->

Zitat:
Zitat von myrtille (Beitrag 394284)

Wenn dann immer noch nichts funktioniert :confused:

myrtille 23.11.2008 22:07
Hi,

ja, wie gesagt, wevtutil.exe ist vorhanden.

Ok, und jetzt weiß ich auch, was du mir damit sagen wolltest. :doh:

Im Anhang jeweils ca 10 Ereignisse vor und nach dem Absturz. Allerdings fand ich die Logs insgesamt sehr ininformativ:

Die Fehlermeldungen aus dem Security.evt:
Code:
Event[709]:
  Log Name: System
  Source: Microsoft-Windows-Bits-Client
  Date: 2008-11-23T14:06:37.807
  Event ID: 16392
  Task: N/A
  Level: Fehler
  Opcode: Info:
  Keyword: N/A
  User: S-1-5-18
  User Name: NT-AUTORITÄT\SYSTEM
  Computer: marge
  Description:
Fehler beim Starten des BITS-Dienstes. Fehler: 2147942413.
Code:
Event[778]:
  Log Name: System
  Source: Service Control Manager
  Date: 2008-11-23T14:05:45.000
  Event ID: 7023
  Task: N/A
  Level: Fehler
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Der Dienst "Windows-Defender" wurde mit folgendem Fehler beendet:
Die Daten sind unzulässig.
Code:
Event[797]:
  Log Name: System
  Source: EventLog
  Date: 2008-11-23T14:04:28.000
  Event ID: 6008
  Task: N/A
  Level: Fehler
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Das System wurde zuvor am 23.11.2008 um 07:19:28 unerwartet heruntergefahren.
und aus der application.evt:
Code:
Event[265]:
  Log Name: Application
  Source: Microsoft-Windows-WMI
  Date: 2008-11-23T14:05:44.000
  Event ID: 10
  Task: N/A
  Level: Fehler
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Code:
Event[266]:
  Log Name: Application
  Source: Microsoft-Windows-EventSystem
  Date: 2008-11-23T14:05:25.000
  Event ID: 4356
  Task: Auslöse-Agent
  Level: Warnung
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Das COM+-Ereignissystem konnte keine Instanz des Abonnenten {1ECDC3BD-F3D5-4C5D-8444-DAB817A44992} erstellen. StandardCreateInstance gab HRESULT 80070422 zurück.
Code:
Event[267]:
  Log Name: Application
  Source: Microsoft-Windows-Winlogon
  Date: 2008-11-23T14:05:24.000
  Event ID: 6000
  Task: N/A
  Level: Informationen
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Der Winlogon-Benachrichtigungsabonnent <SessionEnv> war nicht verfügbar, um das Benachrichtigungsereignis zu verarbeiten.
Code:
Event[268]:
  Log Name: Application
  Source: Microsoft-Windows-EventSystem
  Date: 2008-11-23T14:05:24.000
  Event ID: 4356
  Task: Auslöse-Agent
  Level: Warnung
  Opcode: N/A
  Keyword: Klassisch
  User: N/A
  User Name: N/A
  Computer: marge
  Description:
Das COM+-Ereignissystem konnte keine Instanz des Abonnenten {1ECDC3BD-F3D5-4C5D-8444-DAB817A44992} erstellen. StandardCreateInstance gab HRESULT 80070422 zurück.
Code:
Event[270]:
  Log Name: Application
  Source: Microsoft-Windows-User Profiles Service
  Date: 2008-11-23T14:05:24.000
  Event ID: 1534
  Task: N/A
  Level: Warnung
  Opcode: N/A
  Keyword: Klassisch
  User: S-1-5-18
  User Name: NT-AUTORITÄT\SYSTEM
  Computer: marge
  Description:
Fehler bei der Profilbenachrichtigung des Ereignisses Load für Komponente {56EA1054-1959-467f-BE3B-A2A787C4B6EA}. Der Fehlercode lautet -2147024883.
Ich werd dann selber mal googlen, hab jetzt erstmal nur die infos weitergeben wollen. ;)

Die einzelnen Dateien sind bis zu 15Mb groß, wenn ihr die euch wirklcih reinziehen wollt, könnt ihr sie gern haben. Einfach Bescheid sagen. ;)

lg myrtille

myrtille 24.11.2008 00:45
Hi,

kleiner Nachtrag:
Der Startmenü-Tip hat leider auch nichts gebracht. :(

Hab die dll neu registriert und die registry-einträge waren bereits vorhanden.

lg kathrin

myrtille 24.11.2008 22:05
Heya,

ich hab also kleinbei gegeben. :schmoll:

Hab gester noch versucht die ntfs-rechte zurückzusetzen und nen neues Konto erstellt, aber das ganze hat nichts gebracht.

Eine Kontrolle mit ProcessMonitor hat dann gezeigt, dass explorer.exe jede Menge Registryeinträge abrufen möchte, die nicht mehr vorhanden sind.

Da ich kein einzelnes Registrybackup besitze hab ich jetzt also alles zurückgesetzt.
(und mach mich jetzt auf die Suche nach all den Kleinigkeiten, die ich damals offensichtlich doch noch nicht konfiguriert hatte. :singsing: )
lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131