Windows 8 64, keine Tastatur mehr
 

hallo.
ich habe z.Zt. nur ne virtuelle Tastatur. Bitte seht mir die Typos nach :)
Wie kam es dazu ?

Ich musste neu booten weil es auf meinem acer NB keinen freien arbeitsspeicher mehr gab...
zunächst fiel mir nach dem dabei erfolgten windows update auf, das ACDeamon (arcsoft client)mit 0xc0000022 nicht startete.
Zuvor wunderte ich nich, warum die FFnightly updates nicht funktionierten.
bitkeeper free sagte nichts.
Beunruhigt hat mich dann, das auch zemana antikeylogger auch nicht mehr startete.
malware bytes wurde fündig:
nach einem abgebrochen full scan kam noch
Danach funktionierte der Download wieder .

Der antikeylogger startete aber immer noch nicht .
Reinstallation schlug fehl.
Deinstallation brach mit Fehlermeldung ab, ..
seit dem habe ich keine Tastatur mehr .
windows sagt es würde
c:/windows/system/DRIVERS/kbdhid.sys
und kbdclass.sys f. radio controler verwenden . an dem ort gibt es aber kaum treiber..

Ich kann offenboffenbar nichts mehr installieren.
der download von firefox.exe wird immer noch verwehrt .

gmer wirft 3 fehlermeldungen bez ntuser,config,ssystem, Dateien seien geöffnet .

hilfe..
sfc/scannow bricht bei 54% ab.
ich könnte ein recovery machen, aber nicht klar ist was los lieber nicht .



FRST Logfile:
--- --- ---


gmer sind 750kB, wirklich nötig ?

hi,

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi schrauber
erstmal vielen dank für die schnelle Reaktion.
Das gewünschte File habe ungeschickterweise in eine Antwort auf mein Post gestzt.
Ich hoffe das ist OK?

der processexplorer zeigt mir ein sehr verdächtige datei
HOSTS Anti-PUPs/Adwares
ver 0.3.0
Fri Dec 23 11:59:31 2011
C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe
C:\Windows\SysWOW64\
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\HOSTS Anti-Adware_PUPs

wenn der so alt, warum wird er nicht erkannnt?

dann ist da noch es fixcamera, der ein paar % CPU zieht..

ausserdem hängt da noch ein unbekannter user run. die permissions kann man bur sehen wenn obige anti adware suspended ist.
Downloads funktionieren dann aber immer noch nicht im ff.

hab jetzt mal die beiden programme per msconfig disabled
im process viewer habe ich jetzt aber keinen knopf permissions mehr,
immerhin klappt jetzt das ff update.

ich nix versteh :D

Wo ist das Combofix Logfile?

Status:
Es scheint der “HOST AntiPUP“ zu sein.
Auf virus total erkennen ihn nur 12 von 47 scannern.
Er isz aber eindeutig malig.
Wenn host antiPUP nicht läuft, zeigt process viewer keinem permissions knopf.
Anstelle des nur mit S1-5-...bekannten users wird die admingruppe zeigt.
ACDeamon und der installer von Zemana Antikeylogger enden mit 0xC0000022
.
Die windows problembeseitigumg stellt fest,.das die tastatur nicht ok ist, kann aber keinen neuen treiber installieren.
Update auf ff26 funktionierte, seit dem geht auch der download wieder.
Will ff das passwort f. Gespeicherte Passwörter so hängt er fest, wenn man dies abbrich.
Wird das flash plugin deaktivert, so funktionirtt ff normal.
Sfc bricht ab, dism findet 5 warnungen

Ich komme jetztnicht mehr weiter. Hilfe wäre sehr willkommen.

Das ist ne gute frage. Ich hatte es gepostet, aber als antwort auf mein posting.
Jetzt fehlt dieser Post.

das ist der aktuelle combo.fix lauf
Wieso landen alle meine Beiträge in einen einzigen Artikel?
Was mache ich falsch?


--------
Ich habe nun mal den Windows defender aktiviert und voll scannen lassen.
Bei jedem scan findet er Virus:DOS/EICAR_Test_File.
Ich habe den nicht geladen...
Wieso Fehler ?
Wieso wurde KEINE Schadsoftware gefundenen , wenn der EICAR ja harmlos?

Die Ziffernfolge bei tmp000061ce ist jedes mal anders,
die Datei hat immer die länge 0
das Verzeichnis vom vorherigen lauf ist weg
das neue hat den Zeitpunkt des letzten findens.
ausser diesem findet er nichts. Obwohl die antipup-Datei immer noch da liegt .

Was ist denn das?
läuft da doch noch mehr auf meinem rechner und erzeugt diese Datei immer wieder neu und gaukelt einen EICAR vor ?

---------

Die F8 Taste geht auch nicht .
F2 F12 gehen (BIOS, Bootdevice) aber ich nicht von cd zu ende booten.(ct surfix)
Auch kann ich mit Fn F7 das Touchpad ab/einschalten.

----

Sorry, eindeutig zu viel Text.

Kurze schnelle Sätze:

was ist dein Problem mit dem Rechner? Und bitte aufhören irgendwas selbst zu versuchen, ich werd sonst noch matschig im Hirn.

Eicar ist ein Testvirus, mehr nit.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

problem ist:
Tastatur geht nicht(ich schreibe mit Bildschirmtastatur)
ACDaemon terminiert mit 0xc0000022
zemana anti logger Installation terminiert mit 0xc0000022
windows defender terminiert nach dem "finden" eines -nicht existenten(!)- EICAR-test files
Rechner grotten langsam
16GB RAM verbraucht
keine downloads/updates mit/von firefox
malwarebytes hat 2 Trojaner-Files entfernt (siehe erstes posting)
es lief weiterhin eine malware "HOST Anti/PUP" die von den meisten scannern (inkl. malwarebytes ff. ) nicht erkannt wird.

Diese habe ich per msconfig deaktiviert, damit downloads wieder gingen und die file permissions wieder sichtbar wurden.




JRT.TXTFRST
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


adition

Wie ist die Leistung jetzt?

Downloade dir bitte Windows Repair (All In One) von hier.

• Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
• Klicke auf Step 2 und drücke unter Check Disk auf Do It.
  
  http://i1224.photobucket.com/albums/...3/Capture3.gif
• Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.
  
  http://i1224.photobucket.com/albums/...y3/Capture.gif
• Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.
  
  http://i1224.photobucket.com/albums/...3/Capture1.gif
• Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
• Hake Restart System when Finished an.
• Drücke Start.
  
  http://i1238.photobucket.com/albums/...eakingtool.jpg

ist ok.
Allerdings kam ebend nach dem einschalten(hibernate) wieder ein EICAR Fund.
Ausserdem röttelt die Festplatte nicht mehr ganz so schlimm, als würde sie einmal umkopiert werden.

Mir fällt gerade als evtl. Problem auf:
Es gibt da ein leeres, unbestücktes virtuelles CD-Drive D:, obwohl ich defagger(sp?) laufen lassen hatte
Ich hatte immer ImDisk benutzt, aber das sagt beim unmounten "Not an ImDisk Virtual Disk: `D:`
Das war schon öfter vorgekommen.aber ich habe eigentlich immer höhere Buchstaben genutzt..
Ein USB-DVD landet auf E:




ich bekomme da ein 2.0.1 in einem tweaking.com_windows_repair_aio.zip. Eine Installation gibt's nicht, nur auspacken.
Es will sich dann auf 2.1 upgraden.
Die neue Version nehmen?

--------
hab Repair lauf mit 2.1 gemacht ;
Keine Besserung .
Hab es wiederholt
Keine Besserung .
Es fiel auf das bei 882 die Permissions nicht geändert werden konnten.

und nu? :-)

Ich würde jetzt ein sauberes Inplace Upgrade drüber ziehen.

Thanks.
Das upgrade auf 8.1 schlug bereits fehl, bevor mir der Trojaner auffiel....
Ich vermutete weil das ein Acer war (oder Trojaner schon drauf)
Welche Anleitung ist empfehlenswert?
(ich hätte sonst noch dem Acer Repair USB Stick, den ich allerdings ungern in diesen Rechner stecken möchte , mangels Schreibschutz.

Hast du ne vollwertige DVD win8?

Hi schrauber

leider ist das ein kleines Acer-Billig-NB,und da liefert Acer NICHTS mit.
Nicht einmal den Hinweis, das man sich unbedingt ein 16GBDrive kaufen MUSS,
um einen Plattencrash zu überleben...oder sich eine Sicherheits-Kopie der Restore Partition und Treiber anlegen kann...

Allerdings bin ich jetzt weiter: :-)

Ich hatte geschrieben, das F8 (hin zum abgesicherten Modus) nicht geht...
Bei Windows 8 ist das aber recht versteckt (hatte ich hier beim "stöbern" gefunden):

Vor der Sperrbild-Schirm einen AffenGriff(CNTL-ALT-DEL).
Dann rechts "Neustart" während man die Shift-Taste gedrückt hält...
(Toll Idee, vorallem wenn die Tastatur unter Windows
nicht mehr funktioniert...(sehr wohl aber im Bootmanager...))
Per BildschirmTastatatur die SHift-Taste gedrückt und "Neustart":

Es kommt bei Acer kein schwarzer Bildschirm wie in der ANleitung,sondern ein bunter Bildschirm mit u.a. den Optionen:
1. Normal Weiter
2. Windows aktualisieren


"Windows aktualisieren" ausgewählt, nochmal bestätigt, das man wirklich Windows aktualierieren will...später noch Admin Passwort per richtiger
Tastatur(!) eingegeben.
"Aktualisierung" legt los (von der versteckten Partiton...)
Es wird der "windows"-ordner zu "windows.old" (dessen Erstellzeit ca. 8 stunden in der Zukunft liegt) .
D.h. alles an "meinen" Programmen ist "weg", auf dem Desktop tummelt sich wieder das Acer-Zeugs, aber in den User-Verzeichnissen scheint nocht alles da zu sein. :-)
Es fehlen soca. 102 Updates und "sfc /scannow" ist (noch immer) nicht zufrieden...

Sobald die Updates Drin sind (können seltsamerweise nicht unter Windows geladen werden sondern nur in der Bootphase, vermutlich weil wieder der kaputte WLAN-Treiber drin ist) werde ich die F8 Taste wie von euch beschrieben per dism wieder aktivieren.

Erstmal vielen Dank! :-)
Ich glaube die Kiste ist jetzt wieder sauber :-)

Gruss
7hine

ok :)