Hallo, ja, so isses. Anstatt wie gewünscht herunterzufahren (Windows - Herunterfahren oder abmelden - Herunterfahren), veranstaltet der Rechner einen Neustart. Die einzige Möglichkeit, ihn herunterzufahren, besteht nur noch, indem er ausgeschaltet wird. Kann es sein, dass hier Maleware aktiv ist oder ist das ein Problem, dass auch ohne Maleware auftreten kann? Für Tipps dankbar
Michael
Neustart anstatt herunterfahren
-
-
-
Hallo Michael,
diese Möglichkeit besteht durchaus. Ich verschiebe den Beitrag ins Virenforum! -
Von Malwarebefall als Ursache gehe im Augenblick eigentlich nicht aus.
Welches Betriebssystem?
Das bitte erst tun:- Von hier die aktuelle Version des PPFScanners herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
- Danach die PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- Klicke im PPFScanner oben links wieder auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
- Wähle im Untermenü Script laden und ausführen.
- Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Hardwaredaten.scp aus, die sich im PPFScanner Ordner befindet, klicke dann aufÖffnen und bestätige die erscheinende Messagebox mit Ja.
- Nach dem Scan beendet sich der Scanner und es öffnet sich im Windows-Explorer der Ordner C:\PPFS_Scan5. Es befinden sich dann im Ordner C:\PPFS_Scan5 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Download Links hier.
Ist das erledigt, das tun:
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Der Rechner wird versuchen, sich herunterzufahren. Ich will nur wissen, ob er sich wirklich herunterfährt oder wieder neu startet.
-
- Warum ist Malware wohl nicht für das Problem verantwortlich?
- Für das Herunterfahren ist auf nativer Ebene die API NtShutdownSystem zuständig. Malware hätte eigentlich keinen Grund, diese API zu hooken und dafür andere Sachen durchzuführen.
- Malware fehlt eigentlich der Grund, dauerhaft einen Reboot statt des Herunterfahrens durchzuführen. Die meiste Malware will in der Regel ja gar nicht darauf aufmerksam machen, dass sie überhaupt läuft und das irgendetwas anders als normal abläuft.
- Warum will ich das Betriebsystem wissen?
- Ab Windows8 fährt sich das Betriebssystem standardmäßig in einem Hybridmodus herunter (wenn der User Herunterfahren wählt), um beim Neustart wieder schneller starten zu können. Ich will wissen, ob der Hybridmodus einen Fehler verursachen kann, der dann zum Neustart führt. Das kann natürlich nur bei Systemen passieren, die auch im Hybridmodus herunterfahren können.
- Warum will ich, dass das Script Hardwaredaten.scp ausgeführt wird?
- Ich möchte möglichst viele Hinweise auf Fehler im System bekommen, um Hinweise auf die Ursache des Neustarts zu erhalten. Wenn der Neustart nicht durch einen Bluescreen erfolgt ist, wird es sehr schwer werden, die Ursache aus diesen LOGs zu sehen, da Fehler beim Herunterfahren von Windows nicht mehr "mitgeschrieben" und geloggt werden, weil Windows seine Funktionen dafür meist dann schon abgestellt hat, wenn der Fehler passiert.
- Wofür das Script mit dem Shutdown->1 drin?
- Das Script fährt den Rechner ohne Nutzung des Hybridmodus herunter. Startet er dann nicht neu, liegt die Ursache für das Problem beim Hybridmodus.
- Könnte es nicht sein, dass Malware einen Neustart durchführt, um mich zu ärgern?
- Ja, das könnte sein (auch wenn andere Sachen viel wahrscheinlicher sind). Beim normalen Herunterfahren sendet Windows vorher an alle laufenden Programme mit Fenstern die Message WM_QUERYENDSESSION. Erst wenn alle Programme diese Nachricht mit 1 beantwortet haben, wird heruntergefahren. Ein Programm könnte diese Nachricht "abfangen" und selbst in seinem Code darauf mit einem Reboot reagieren. Voraussetzung dafür ist, dass das Programm ein Fenster hat. Das muss aber nicht sichtbar sein.
- Warum ist Malware wohl nicht für das Problem verantwortlich?
-
Hei, an dieser Stelle schon einmal vielen Dank im Voraus. Hier ist der upload-Link
-
Wow! That´s magic!!, auch wenn deine Erklärungen Licht in meine düster-magische Ergriffenheit gebracht haben.
1000Dank,
Viele Grüße
Michael -
Fährt sich der Rechner nach dem Ausführen des zweiten Schritts von hier herunter, oder startet er sich wieder neu?
Das muss ich noch wissen.Laufwerk C: hat zumindest Datenfehler. Da müssen wir wohl noch ran. Siehe hier:
Zitat von CHKDSK C.txtDie Überprüfung von USN-Journal ist abgeschlossen.
Das BITMAP-Attribut der Master File Table (MFT) ist falsch.
Die Volumebitmap ist falsch.
Bei der Überprüfung des Dateisystems wurden Probleme erkannt.Die Partition ist zerschossen.
Windows meldet auch Fehler beim Schreiben von Daten:Zitat von Eventlog.txt20.7.2017 15:29 Uhr 4s
Record #1025
Computername->....
Disk:
Warning
Der E/A-Vorgang an der logischen Blockadresse "0x14868780" für den Datenträger "1" (PDO-Name: \Device\0000004d) wurde wiederholt.Ob das die vom Datenfehler betroffene Platte ist, kann ich noch nicht genau sagen.
-
Ich drücke dir die Daumen, dass der Rechner heute Abend noch funktioniert.
Ich hoffe, dass du noch ein älteres Backup des gesamten Systems hast...
Das sieht nicht so gut aus. -
Hallo AHT, sorry,dass ich mich jetzt erst melde. Oha!! Meine euphorische Reaktion sollte der Tatsache Ausdruck verleihen, dass jetzt alles scheinbar wieder einwandfrei funktioniert, also der Rechner fährt herunter und ist ausgeschaltet, der Neustart findet nicht mehr statt. Auch sonst zeigt der Rechner augenscheinlich keine Macken, was wohl trügen kann. Was soll ich jetzt wohl machen?
-
Ich würde mich chkdsk mal die Festplatte überprüfen und schauen, ob das reparierbar ist (oder schauen, ob das Problem noch vorliegt).
Der Reboot lag am Herunterfahren in den Hybridmodus. Auf der Platte konnten die Daten für den Hybridmodus nicht korrekt gespeichert werden.
Ich würde auf jeden Fall einmal genau schauen, ob alles mit der Platte passt. Zum Zeitpunkt des Scans mit dem PPFScanner war das nicht der Fall und auch die Ursache für den Reboot. -
Auszuführender Befehl (mit Adminrechten):
- CHKDSK C: /F
Rechner danach neu starten - der Festplattentest müsste beim Reboot durchgeführt werden (frage lesen und bestätigen).
Danach bitte noch einmal hier melden. -
Done! Ich habe den Befehlt über "Windows Power Shell (Administrator)" eingegeben. Während des Vorgangs gab es keine Meldung, allerdings weiß auch nicht, wie ich auf ein mögliches Protokoll zugreifen kann.
-
Das noch mal tun:
- Die PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- Klicke im PPFScanner oben links wieder auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
- Wähle im Untermenü Script laden und ausführen.
- Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Hardwaredaten.scp aus, die sich im PPFScanner Ordner befindet, klicke dann aufÖffnenund bestätige die erscheinende Messagebox mit Ja.
- Von die Dateien benötige ich nur die Datei CHKDSK C.txt.
-
-
Glück gehabt. Der Fehler auf der Platte wurde automatisch von Windows nach dem ersten Scan durch den PPFScanner beseitigt.
-
Folgende Meldung brachte Antivir bei dir:
Zitat von Eventlog.txt19.7.2017 15:25 Uhr 27s
Record #1450
Computername->...
Avira Antivirus:
Warning
AntiVir erkannte 'PUA/InstallCore (Cloud)'
in Datei
C:\Program Files\Adobe Flash Player\adobe_flash_setup_2916125451.exeWenn du möchtest, können wir noch mal nach Adware schauen.
-
Jepp, das wäre super!
-
Das einmal ausführen (beide Tools):
-
Hier wären die Protokolle von FRST.
-
Ist ein bisschen Adware drauf. PPFScanner noch ausführen.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!