Win7 Programme/Services starten/funktionieren nicht korrekt
 

Hallo,

ich bin schon recht verzweifelt, da seit heute morgen alles drunter und drüber geht und hoffe, ihr könnt mir helfen! Gestern funktionierte alles noch!

Konkret habe ich folgende Probleme:

1. Outlook, Word, Excel startet nicht, weder normal, im abgesicherten Modus noch nach Reparatur.
2. Lautstärkemixer lässt sich nicht öffnen, Lautstärke ist über Hardwaretasten trotzdem regelbar.
3. Programme wie Internet Explorer lassen sich nur über "als Administrator ausführen öffnen.
4. Der Taskmanager lässt sich nur über die exe und mit "als Administrator ausführen" öffnen. Über Shortcuts schließt er sich sofort.
5. Hardware kann nicht mehr sicher vom Computer getrennt werden, die Option bzw. die Einträge für die Hardware fehlen.
6. Windows Update ist verschwunden, es gab eine Fehlermeldung "funktioniert nicht mehr" und seitdem ist es weg.
7. Systemwiederherstellung liefert nur Fehlermeldungen und funktioniert auch nicht.
8. Kein richtiges Problem, aber: Das Laden der Benutzerkonten dauert ungewöhnlich lange, länger als sonst.

Was ich seitdem gemacht habe, ist mit 3 Virenprogrammen gescannt: Bitdefender 2015, Comodo, Malwarebytes Anti Malware. Keins brachte ein Ergebnis. Bei Bitdefender 2015 ist zu bemerken, dass er sich beim Ordner System32 aufhängt. Im abgesicherten Modus habe ich Laufwerk C: gescannt mit Bitdefender 2015, keine Virenbefunde. Ich wollte auch Adaware ausprobieren, aber nachdem ich den Lizenzbestimmungen zustimmte, kam nichts mehr.

Leider habe ich die Logfiles nicht mehr, da ich erst AntiMalware benutzt habe, danach Bitdefender (und AntiMalware deinstalliert habe, damit die sich nicht in die Quere kommen). Bitdefender musste ich deinstallieren, da ich sonst kein Internet gehabt hätte. Also auch hier keine Logfiles. Wo Comodo seine Logfiles hat, weiß ich nicht.

Die Logfiles von Frst sind im Anhang, ich hoffe, ich habe alles richtig gemacht...
Defogger gab keine Ergebnisse, alles in Ordnung dort. Gmer funktionierte nicht (ewig langes Laden).

Mein Computer ist ein Lenovo Y570, knappe drei Jahre alt, mit Windows 7 Home Premium.
Eingestellt ist das japanische Gebietsschema, da ich das auch vorher eingestellt hatte. Bisher gab es damit allerdings keine Probleme.

Vor ein paar Tagen gab es Probleme, mit dem Sound Treiber, der aktuelle von Realtek funktionierte nicht. Nach der Neuinstallation des alten, lief die Soundausgabe immer verzögert an, als ob er den Treiber laden müsste, der Ton selbst war synchron. Sonst gab es bisher noch nie Probleme.

Ein Hinweis noch, der Computer wurde für gewerbliche Zwecke benutzt, allerdings nur als Speicher für Dokumente und mit Outlook als Mailkonto. Sonst gab es keine gewerbliche Nutzung.

Ich hoffe, ich finde hier Hilfe und danke euch schon mal im Voraus!


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

Hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Frage zu Combofix
 

Ist es normal dass Combofix mehr als 20 Minuten braucht um C:\windows\msdownld.tmp zu löschen?
Zwischenzeitlich ist mein Laptop bereits in den sleep Modus gegangen, da musste ich mich neu anmelden. Er ratert zwar, aber ich bin mir trotzdem unsicher. Combofix konnte auch einige registry keys nicht sichern. Da musste ich weiterdrücken, damit er anfängt. Ist alles in Ordnung mit Combofix?

Ich schreibe auf meinem Smartphone, ist leider sehr langsam. Ich entschuldige mich für Fehler, die mir hier unterkommen.

Update: er schaltet sich jetzt Ca. Alle 20-30 Minuten selbständig in den sleep-modus. Wenn ich ihn aufwecke, arbeitet die Festplatte wieder, zumindest ein bisschen, kein großartiges summen oder so, nur manchmal flackert das Fenster von Combofix etwas. Fortschritt macht er scheinbar keinen. Ich lass ihn mal über Nacht so stehen, aber soll das so sein?...

Über Nacht stehen lassen, hat dazu geführt, dass er sich komplett ausschaltete. Soll ich ihn jetzt wieder anschalten? Dann startet sich allerdings comodo automatisch, und da ich ja nichts machen soll, kann ichs auch nicht ausschalten.

Ich hab ihn jetzt angeschaltet. Scheinbar war er im Ruhe-modus, meine aktuelle Sitzung wurde gespeichert. Trotzdem hängt Combofix nach wie vor an C:\windows\msdownld.tmp. Hat sich da scheinbar festgefahren.

Was soll ich jetzt machen? Ich brauche meinen Laptop so bald wie möglich!

Danke für eure Hilfe!

Als zusätzliche Info kann ich noch sagen, dass sämtliche externen Steuergeräte wie Maus und controller ausgestöpselt sind. Der W-lan Adapter ist per Hardware-regler ausgeschaltet, mein Laptop hat also kein Internet. Google chrome ist noch geöffnet, die registry keys, die Combofix gestern nicht sichern konnte, hatten folgende Meldung:

Error saving File

C:\windows\erdnt\hiv-backup\BCD !

Continue with next File?
RegCreateKeyEx: 5 - Zugriff verweigert

Dann kam dasselbe mit

C:\windows\erdnt\hiv-backup\SYSTEM
C:\windows\erdnt\hiv-backup\SOFTWARE
C:\...\...\...\DEFAULT
C:\...\...\...\SECURITY
C:\...\...\...\SAM
C:\...\...\...\Users\00000001\NTUSER.DAT
C:\...\...\...\Users\00000002\NTUSER.DAT
C:\...\...\...\Users\00000003\ntuser.dat
C:\...\...\...\...\00000004\ntuser.dat
C:\...\...\...\...\00000005\ntuser.dat
C:\...\...\...\...\00000006\ntuser.dat
C:\...\...\...\...\00000007\ntuser.dat
C:\...\...\...\...\00000008\ntuser.dat

Die Punkte ersetzen die oberen Worte, die wollte ich einfach nicht nochmal tippen. Die \ zeigen an, an welcher Stelle der key sich verändert.

Ich hoffe, es hilft euch etwas. Auch habe ich bemerkt, dass der Speicherplatz vor dem starten von Combofix plötzlich um 100GB voller war, ohne dass Dateien oder ähnliches draufgespielt wurden, aber das kann von bitdefender und Anti-Malware kommen, sollten sie so groß sein.

Danke für eure Hilfe!

.Ich habe jetzt Google Chrome geschlossen, da ich in einem anderen Forum namens bleepingcomputer.com gelesen habe, man soll seine Browser vorher schließen. Das brachte leider keine Veränderung bisher.

Des Weiteren habe ich in ebendiesem Forum eine Vorgehensweise gefunden um Combofix aus seinem Hänger zu lösen. Link: hxxp://www.bleepingcomputer.com/forums/t/438741/google-redirect-woes/page-2

Was sagt das Team hier dazu? Ist es sicher bzw. ratsam, diese Methode anzuwenden?

So, habe die Methode aus dem Link angewendet, es war ein Prozess doppelt, den mit weniger Arbeitsspeicherverbrauch habe ich geschlossen (leider nicht notiert welcher Prozess). Danach lief Combofix wieder an. Logdatei konnte ich leider nicht finden, nachdem ich sie zum ersten Mal geschlossen hatte. Deshalb habe ich Combofix erneut gestartet, es gab dieselben Probleme wie beim ersten Mal.

ABER:

Der Prozess, der doppelt war, hieß CF19515.3XE. Ich habe wieder den mit weniger Arbeitsspeicher beendet.

Es gab beide Male Fehlermeldungen bevor das Log angezeigt wurde, die sich wieder auf die Registry beziehen. Konkret wären das:

Error saving File

C:\ComboFix\HIV\SYSTEM !

Continue with next File?
RegCreateKeyEx: 5 - Zugriff verweigert

und dann mit diesem Schema:

C:\ComboFix\HIV\SOFTWARE
C:\ComboFix\HIV\DEFAULT
C:\ComboFix\HIV\SECURITY
C:\ComboFix\HIV\SAM

C:\ComboFix\HIV\Users\00000001\NTUSER.DAT
C:\ComboFix\HIV\Users\00000002\NTUSER.DAT
C:\ComboFix\HIV\Users\00000003\NTUSER.DAT
C:\ComboFix\HIV\Users\00000004\UsrClass.dat
C:\ComboFix\HIV\Users\00000005\ntuser.dat
C:\ComboFix\HIV\Users\00000006\ntuser.dat
C:\ComboFix\HIV\Users\00000007\NTUSER.DAT
C:\ComboFix\HIV\Users\00000008\ntuser.dat

C:\ComboFix\HIV\BCD

Das könnte mit Comodo zusammenhängen, obwohl ich ihn beendet hatte, hat er weiterhin bestimmte Zugriffe blockiert und in der Comodo-Sandbox ausgeführt. Das habe ich allerdings erst gesehen, nachdem ich Ihn manuell gestartet habe. Vorher tauchte er auch nicht im Taskmanager auf.

ComboFix-Logfile des zweiten Durchlaufs:

Ich habe es geschafft, AdwCleaner zum Laufen zu bringen. Er hat irgendwelche PriceMeterAdware entfernt. Log Files im Anhang.

POste bitte mal ein frisches FRST Log.

Edit: Sorry, hab die Antwort erst nach dem Posten meiner Antwort gesehen. :(

So, es ist viel passiert:

Ich habe Comodo deinstalliert, um Combofix laufen zu lassen. Danach bemerkte ich, dass auf einmal ich meine Programme wieder normal laufen lassen konnte, ohne Sie als Administrator auszuführen.

Habe danach Combofix laufen lassen, hier das Log:

Habe nun Bitdefender 2015 drauf, scannen lassen, da gabs ebenfalls keine Auffälligkeiten mehr.

Seit heute nach einmal Hochfahren und einmal Neustart funktioniert alles wieder wie gehabt. Nur der Bildschirm für die Benutzerkonten ließ lange auf sich warten beim Neustart. Vermutlich liegt das an Änderungen vom Bitdefender, seitdem funktioniert nämlich der Echtzeitschutz wieder (Grund für den Neustart).

Hier die Bitdefender Scanlogs:

Quickscan

Systemscan

Danke für die Hilfe mit Combofix, die hat mich letztendlich auf die richtige Spur geführt.

Wenn mir noch jemand beim Aufräumen helfen könnte, wäre das super. :) (Combofix, adwcleaner, Reste von Anti-MalwareBytes Anti-Malware [bin bei dem Namen nie sicher] etc. wieder entfernen)

Sollten noch weitere Logs fällig sein, werde ich die natürlich bereitstellen. Sollte das FRST-Log noch gebraucht werden, bitte Bescheid sagen!

Grüße,

Manga Reader

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Eset hat jetzt über 7 Stunden gebraucht, wow, das war lang!

Hier ist das Log, werde jetzt SecurityCheck laufen lassen.

3 Bedrohungen gefunden, aber alle in Installern. Ich vermute, dass das Code ist, den ich beim Installieren aktivieren kann, es aber auch lassen kann. Deshalb ist der inaktiv? Ich sehe zumindest keine Banner in Browsern o.ä. wies die Schadsoftware eigentlich anzeigen sollte. Liege ich mit der Theorie richtig? Hab Disk-Defrag installiert, aber es kam nie ne Toolbar oder ähnliches. Habs vermutlich beim Start abgewählt? Ist schon lange her. Jedenfalls gabs bisher keine Auffälligkeiten, daher meine Theorie.

Und was ist dieses msi-Ding? Ich kenn das nur als Laptopmarke...

Danke für die Erklärung! :)

Hier Security Check, das ging sauschnell:

Und das FRST-Log:


FRST Logfile:
--- --- ---

Theorie ist richtig, trifft aber nicht immer auf alle Installer zu.

Flash und Adobe updaten.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hier das Fixlog:

Windows braucht immer noch ewig lang um die Benutzerkonten zu laden, aber ich schätze mal, das ist computerverschuldet.

Falls du einen Tipp hast: Hab vor ein paar Wochen meinen Realtek Audio Treiber geupdatet (über Windows Update), dann bekam ich ne Fehlermeldung und hab den alten Treiber wieder installiert (vom Backup-Laufwerk).

Seitdem startet der Sound immer verzögert, als müsste er erst den Treiber aktivieren. Hast du eine Idee zum Fix? Wenn nicht, ist auch nicht schlimm. :)

Eine Frage noch: Delfix will die Systemeinstellungen wiederherstellen. Sind meine persönlichen Daten davon betroffen, bzw. was macht das Tool genau?

Nachdem ich Bitdefender wieder aktiviert hab, hat er hat Delfix blockiert. Ich hab in den Optionen Zulassen und überwachen angeklickt, danach brachte Bitdefender eine Reihe von Meldungen die beinhalteten:

Delfix.exe auf dem Desktop
~df09da633e19d6593c.tmp in Appdata\local\temp
delfix.txt in C:\
scratch.bat in Appdata\local\temp

wurden desinfiziert. Ich kann Sie jetzt wiederherstellen oder Löschen.

Kann ich die löschen, falls Sie eh gelöscht werden sollten?
Die Bereinigungsprogramme sind jedenfalls komplett von meinem Desktop verschwunden, deshalb nehme ich an, Delfix hat funktioniert.

Delfix repariert nur durch Malware veränderte Einstellungen, und macht nix an deinen Daten.
Wenn Delfix durch ist brauchst auch nicht mehr wiederherstellen.

Ladet Windows bei allen Benutzerkonten so langsam? Treiber sauber deinstallieren und dann neu installieren.

Ne, Windows lädt nur die Benutzerkonten-Auswahl viel länger als zuvor. Das Laden der einzelnen Konten ist gewohnt schnell. Ist jetzt aber nicht wirklich ein Problem, nur ein wenig nervig.

Und die Audiotreiber habe ich bereits sauber deinstalliert und wieder installiert, aber keine Veränderung.

Schau mal in den Taskmanager ob du dort eine enorme Last siehst wenn du Audio startest.

Nein, ich sehe keine. CPU Auslastung liegt mit Audio (und outlook, chrome, skype, lookeen und explorer) bei ~11%, physikalischer Speicher 42%.

Ohne Audio sind die Werte fast gleich. Wie gesagt, es kann eigentlich kein Virus oder so sein, da ich ja den Treiber vom Backup (D:) zum neu Installieren benutzt habe. Ich kann mir nur leider absolut nicht erklären woran es liegt, da es vorher auch sehr gut funktioniert hat.

Der normale Audiotreiber von Microsoft funktioniert ohne Verzögerung.

Ist halt kein wirkliches Problem, nur wie das lange Laden der Benutzerauswahl halt nervig. :)

Ich würde den Hersteller kontaktieren ob es evtl nen neueren oder sagar funktionierenden älteren Treiber gibt :)

Ist halt deshalb seltsam, weil es vor der Installation des neuen problemlos funktioniert hat.

Aber bevor ich da wieder stundenlang rumprobiere, lass ichs lieber. Auf die 2-3 sekunden Warten am Anfang kommts mir jetzt auch nicht an. Wenn ich ne Playlist hab oder so, ist der Effekt beispielsweise weg, da der Treiber sozusagen "aktiv" ist.

Das Laden der Konten dauert vielleicht durch das neue, dass ich zum Ausprobieren erstellt hab, so lange. Mal sehen, was passiert wenn ichs lösche.

Ich bedanke mich jedenfalls beim Forum für die Hilfe, ich bin froh, dass es kein Virus oder ähnliches war. Sogar mein Bildschirmschoner funktioniert jetzt wieder, und der ging eigentlich wegen nem neuen Nvidia Treiber nicht mehr, da die die Intel Grafikkarte nicht mehr unterstützen. XD

Grüße,

Manga Reader