Seltsamer Bildschirm bei Windows Vista
-
-
-
Danach das tun:
- Malwarebytes installieren (die Freeware, nicht die Vollversion testen - bei der Installation wirst du gefragt).
- Update ausführen.
- Ein kompletter Scan, alle Funde löschen und den Report wieder als Textdatei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen die Downloadlinks in Deinem Thread posten.
Führe anschließend einen System Neustart durch!. - Wird nichts gefunden, kannst du danach wieder Malwarebytes deinstallieren.
-
Während Malware Bytes läuft hat Antivir einen Fund im Ordner C:\Qoobox\Qurantaine... oder ähnlich gefunden. Habe ich entfernen lassen. Soll ich den Ordner nicht lieber löschen?
-
Nein. Das ist die Quarantäne von Combofix. Die löschen wir zum Schluss mit Combofix.
-
Wir sitzen leider noch ein bischen an der Kiste dran. Ich habe den Verdacht, das bei dir die Ereignisanzeige nicht korrekt funktioniert. Das kann nicht mit dem aktuellen Virenbefall zu tun haben.
Ich muss da noch mal schauen... -
Ok, ich habe für's erste den Antivir Guard abgestellt.
-
Malware Bytes ist durch und hat nichts gefunden. Hier die Log Datei:
File-Upload.net - mbam-log-2012-03-22--15-41-27-.txt -
MalwareBytes kannst du wieder deinstallieren.
Dann das hier ausführen:
- PPFScan.exe starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code
Alles anzeigenREM->Ordner für Scanfiles erzeugen! CREATE_FOLDER->C:\PPF_Scan11 REM->Treiber und Dienste listen! SET_OPTIONS->34,22 REM->Alle Treiber und Dienste listen! SET_OPTIONS->-210,-208,-207 REM->Den Dateien eindeutige Namen geben! SET_OPTIONS->-102 REM->Alle anderen Scans nicht durchführen! SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10 SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18 SET_OPTIONS->-19,-20,-21,,-23,-24,-25,-26 SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35 SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42 REM->Scan in Scanlist-Ansicht starten! SCANLIST-> READ_EVENTS->System,,100,255,1,1 CREATE_FOLDER->C:\PPFS_Tools DOWNLOAD->http://download.bleepingcomputer.com/sUBs/ComboFix.exe>C:\PPFS_Tools\CF.EXE CREATE_BATCH_FILE->C:\PPFS_Tools\CF.BAT WRITE_BATCH->C:\PPFS_Tools\CF.exe /UNINSTALL OPEN->C:\PPFS_Tools\CF.BAT REM->Scanfiles in den Ordner PPF_Scan11 kopieren! COPY_SCANFILES->C:\PPF_Scan11 OPEN->C:\PPF_Scan11 REM->Scanner beenden! END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
- Es wird Combofix aus dem Netz neu heruntergeladen, um die Deinstallation von Combofix durchzuführen. Der Scanner braucht dafür Internetzugang!
- Desweiteren lesen ich einige Daten aus, um die Funktionaltität der Ereignisanzeige beurteilen zu können.
- [LEFT]Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan11 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. [/LEFT]
[LEFT]Ein Tipp:[/LEFT]
Der beste Schutz beim Surfen ist zur Zeit eine gute Sandbox.
Für sicheres Surfen kann ich dir Sandboxie empfehlen: Sandboxie - Sandbox software for application isolation and secure Web browsing
Sandboxie ist Shareware, du kannst es aber frei benutzen (es erscheint beim Start ein NAG-Screen). Ich habe Sandboxie bei mir so eingestellt, das es nicht generell beim Systemstart ausgeführt wird. Will ich Programme testen, starte ich die in der Regel erst mal über Sandboxie. Browse ich im Internet, erfolgt das auch über Sandboxie (Sandboxie Web Browser - Icon).
Sandboxie führt Anwendungen in einer Art "Käfig" aus. Für die Anwendung ist es so, als würde sie im Betriebsystem laufen und sich dort installieren - in Wirklichkeit läuft sie aber in diesem "Käfig" und kann nichts am Betriebsystem ändern.
Probiere das vielleicht mal aus.
Rechner ist erst mal wieder zur Benutzung freigegeben.
Ich melde mich Morgen noch mal wegen der Ereignisanzeige. -
Script ist durchgelaufen und Combofix wurde deinstalliert. Hier die Logs:
File-Upload.net - PPF_Scan11.rarHätte Sandboxie dieses ganze Problem verhindert?
Und was ist eigentlich die Ereignisanzeige?
Bis morgen und vielen Dank
-
Ja - hätte Sandboxie vermutlich verhindert.
-
Ok, dann werde ich Sandboxie auf jedem Fall installieren wenn wir fertig sind.
Wie geht's jetzt weiter? Was ist mit der Ereignisanzeige(Was ist das überhaupt)?
-
- Startleiste->
- In die Suchleiste unten Ereignisanzeige eingeben und ENTER drücken.
- Es startet sich die Ereignisanzeige von Windows.
- Klicke links doppelt auf Windowsprotokolle, danach auf System und mache einen Screenshot.
- Erscheien irgendwelche Fehlermeldungen, Screenshot machen.
-
Das kommt direkt eine Fehlermeldung:
Zitat
"Das Ereignisprotokoll oder die benutzerdefinierte Ansicht kann nicht geöffnet werden. Überprüfen Sie, ob der Ereignisprotokolldienst ausgeführt wird. Die Daten sind unzulässig (13)" -
OK - da hat es scheinbar einen Crash bei den Protokolldateien gegeben.
Ich muss mir mal überlegen, wie wir das fixen... -
Ereignisanzeige wieder schließen, wenn die noch offen ist.
Im PPFScanner das Script ausführen - Dateien auf Nachfrage in den Papierkorb löschen lassen:SQLDELETE_FILE->C:\Windows\System32\winevt\Logs\*.EVTX DELETE_FILE->C:\Windows\System32\LogFiles\WMI END->
Berichte, ob es dabei irgenwelche Probleme gibt.
Gibt es keine Problem, starte danach die Ereignisanzeige erneut und gib Rückmeldung, ob die Fehlermeldung noch erscheint. -
Script ausgeführt und die Aufforderung zum Löschen von Dateien ist gekommen. Aber dann kam die folgende Meldung: "Die letzte Scriptzeile konnte nicht erfolgreich abgeschlossen werden! Scripting jetzt abrechen? (Error Code 32)". Habe ihn weitermachen, wonach die Fehlermeldung nochmal kam, dann schloß sich PPFScan.
Die Fehlermedung bei der Ereignisanzeige ist geblieben.
-
Probiere es mit dem Script:
Zitat
CREATE_FOLDER->C:\PPFS_Sicherung
MOVE_FILE_ON_REBOOT->C:\Windows\System32\winevt\Logs>C:\PPFS_Sicherung\Logs
MOVE_FILE_ON_REBOOT->C:\Windows\System32\LogFiles\WMI>C:\PPFS_Sicherung\WMI
REBOOT->
Rechner dann neu starten und Ereignisanzeige testen. -
Das Script ist durchgelaufen und hat den Rechner neu gestartet. Die Ereignisanzeige funktioniert, sie enthält aber 4 Fehler.
Kann ich mit dem Rechner wieder surfen? Wäre jetzt ein guter Zeitpunkt um Sandboxie zu installieren?
-
Ja, kannst Sandboxie installieren und wieder surfen. Zum Surfen auf Sandboxed Webbrowser klicken. Die Sandbox so einstellen, das sie nicht generell mit Windows gestartet wird (es kommt sonst nach dem Einloggen immer der NAG-Screen).
-
Ok, der Rechner ist also jetzt Trojaner- und Virenfrei?
Soll ich das mit der Systemwiederherstellung noch machen?
Was ist mit der Ereignisanzeige? Wozu ist die überhaupt gut?
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!