Hallo,

ich kämpfe seit mehreren Wochen mit einem unangenehmen Problem auf meinem Rechner. Laufend bekomme ich folgende Fehlermeldung:



Danach kann ich wahlweise den Internet Explorer oder den Windows Explorer nicht mehr verwenden. Zeitweise funktioniert auch das Öffnen oder Speichern von Dateien in Anwendungen (Word, Excel etc.) nicht mehr. Die Programme reagieren nicht mehr. Im Internet habe ich schon auf allen möglichen Seiten nach Hilfe zu dem Problem gesucht, aber eigentlich immer nur die Antwort gefunden, Windows Updates zu installieren. Inzwischen habe ich wohl alle Updates installiert, die ich irgendwo finden konnte, was aber auch nichts gebracht hat. Manchmal hatte ich den Eindruck, dass das Problem erschlagen sei - Fehlanzeige. Microsoft selber teilt mir auch nur regelmäßig mit, dass keine Lösung zu dem Fehler bekannt ist. Ich konnte auch noch keine Ursache für diese Fehlermeldung finden. In der Regel kann ich alle genutzten Programme öffnen, ohne das was passiert. Manchmal bekomme ich die Meldung aber auch schon, wenn der Rechner nach dem Start eine Weile ungenutzt rumsteht. Der Fehler trat zum letzen mal auf, als ich nach der Anmeldung bei Euch den Internet-Explorer geschlossen und die CCleaner-Prüfung begonnen habe.

Außerdem entfaltet Windows in den letzten Wochen ein paar unangenehme Aktivitäten, ohne dass die Fehlermeldung erscheint. Tastenanschläge werden sinnlos oft wiederholt. Das liegt aber nicht an einer evtl. verdreckten Tastatur. Ich habe schon mehrere ausprobiert. Bei der Nutzung einer Übersetzungssoftware wird der Quelltext nicht mehr erkannt. Ich kann dann nur noch einzelene markierte Sätze übersetzen. Und wenn ich ein Programm im Vollbildmodus geöffnet habe, erscheint die versteckte Taskleiste nicht mehr, wenn ich mit dem Cursor an den unteren Bildrand fahre. Erst wenn ich die Windows-Taste verwende oder auf dem zweiten Bildschirm auf eine freie Stelle klicke, geht's wieder.

In der Ereignisanzeige habe ich auch schon nach einer Ursache gesucht. Dort finde ich zwar den Hinweis: "Fehlerhafte Anwendung svchost.exe, Version 6.0.6001.18000", kann damit aber nicht viel anfangen. Danach zu googeln hat nichts gebracht, außer dass ich auf einen Threat auf Eurer Web-Side gestoßen bin. Ich habe die Konversation "Trojaner Exploit.Java.Agent.cs" zwischen Swisstreasure und Special100 soweit verfolgt, wie ich konnte. Der Eset-Scan hat auch einige Viren gefunden und entfernt. Kaspersky hat weitere 9 Viren o.ä. gefunden. Die Log-Datei füge ich bei.

KASPERSKY ONLINE SCANNER 7....pdf

Danach wurden aber Programme angewandt, vor deren Nutzung ohne Anleitung gewarnt wurde und es sind Befehlszeilen genannt worden, die speziell für das Problem von special100 zugeschnitten waren. Da bin ich auf der Strecke geblieben und habe mich entschlossen, ein eigenes Thema aufzumachen. Die Programme für einen Neuling habe ich laufen lassen. Malewarebytes hat nichs mehr gefunden. Die Log- und info-Dateien der anderen Programme füge ich bei.

Anhang 8346

Anhang 8347

Anhang 8349

Es wäre einfach toll, wenn mir jemand von Euch helfen könnte, meinen Rechner wieder sauber zu bekommen. Da ich einige Programme drauf habe, die nur mit Hilfe des Hersteller-Supports wieder eingerichtet werden können, ist eine Neuinstallation für ich nur der aller letzte Ausweg!

Gruß
Seeär

Hallo und

Zitat:

Der Eset-Scan hat auch einige Viren gefunden und entfernt.

Was genau wurde gefunden? Bitte alle Schädlingnamen und komplette Pfade posten.
Die anderen Logs schau ich mir danach an.

Hallo Arne,

erstmal danke für die schnelle Reaktion. Es ist wirklich prima, dass es Leute wie Dich gibt, die Deppen wie mir unter die Arme greifen!

Leider hatte ich die Logdatei nach dem Eset-Scan nicht bewusst gespeichert. Zu dem Zeitpunkt hatte ich ja noch nicht vor, mich hier selbst zu Wort zu melden. Ich habe aber im Verzeichnis, das Eset angelegt hat, folgende Log-Datei gefunden. Vielleicht ist das ja, was Du suchst.

Anhang 8382

Gruß
Thomas

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo Arne,

hier die Log-Datei des Scanns mit Malwarebytes.

Anhang 8405

MfG
Thomas

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50318
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\AutoRun\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{19bee6f5-5de4-11df-a8dc-001a8055c491}\Shell\menu1\command - "" = pccompanion\Startme.exe
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell00\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell01\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{38983926-0f3c-11de-90f1-806e6f6e6963}\Shell\Shell02\Command - "" = G:\Autorun.exe -- File not found
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell - "" = AutoRun
O33 - MountPoints2\{fbda370e-ea76-11de-98c9-f37ae88802b9}\Shell\AutoRun\command - "" = H:\Startme.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Erledigt. Hier das Log-file.

Gruß
Thoams

Anhang 8406

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

CCleaner und ComboFix habe ich wie angegeben ausgeführt. ComboFix hat festgestellt, dass Rootprozesse aktiv sind und wollte Windows neu booten. Der Neustart hat dann unendlich lange gedauert (>1 h) bevor der Scan angefangen hat. Danach musste wieder ein Neustart erfolgen, damit bestimmte Dateien gelöscht werden konnten. Der sollte aber unbedingt von ComboFix und auf keinen Fall manuell ausgeführt werden. Windows wurde bis zur Anzeige "Abmeldung" runter gefahren. Dann ist der Aktivitätskringel eingefroren und die Festplatte hat keinen Zucker mehr gemacht. Das habe ich mir im Büro ca. eine 3/4 Stunde angesehen und dann Feierabend gemacht. Den Rechner habe so stehen gelassen, in der Hoffnung, dass er sich bis morgen früh wieder gefangen hat. Übrigens hat sich noch hin und wieder der Bildschirmschoner eingeschaltet und die Tastatur hat auch noch reagiert (Kontrollleuchte für NUM und Shift Lock gingen noch aus und an).

Aber was mache ich, wenn er morgen immer noch so dasteht? Ich muss morgen mit dem Ding wieder arbeiten. ComboFix hat vor dem Scan einen Wiederherstellungspunkt angelegt. Kann ich Windows damit wieder zum Laufen kriegen, falls ich den Rechner manuell abschalten muss?

Gruß
Thomas

Zitat:

Das habe ich mir im Büro ca. eine 3/4 Stunde angesehen

Im Büro??
Sag nicht dass das ein Firmen-/Bürorechner ist, dafür sind Deine Kollegen aus der EDV zuständig!
Wenn ich erfahren würde, dass einer meiner Kollegen selbst am System schraubt, ja dann

Ja, ein Frimen-Notebook. Aber die Frima ist nicht so riesig, dass wir für die Systemadministration extra Spezialisten haben. Mit denen habe ich das Problem schon durch gekaut. Die sind aber auch ganz schnell an die Grenzen gelangt und haben mir geraten, mal in Internet zu suchen. Bitte schmeiß mich hier jetzt nicht raus!

Gruß
Thomas

Zitat:

Die sind aber auch ganz schnell an die Grenzen gelangt und haben mir geraten, mal in Internet zu suchen

ROFL

Jetzt sollst Du Deine Arbeitszeit verplempern, weil die ihren Job nicht machen können? Gib denen das Notebook, damit die das neu aufsetzen. Kurz und schmerzlos. Zeit ist der heutigen Arbeitswelt viel Geld

Das geht nicht. Ich brauche das Notebook jeden Tag. Wenn ich Urlaub habe, könnte ich das machen. Aber im Moment ist da nicht dran zu denken. Und was heißt hier "Arbeitszeit"? Bis auf den Scan heute nachmittag, der ja eigentlich fix gehen sollte, habe ich alles in meiner Freizeit von zu Hause aus gemacht.

Neu aufsetzen ist auch nicht so einfach. Ich habe ja schon eingangs erklärt, dass ich Programme auf dem Rechner habe, die nur mit Unterstützung des Herstellers wieder installiert werden können (komplizierte Datenbank-Geschichten). Das wollte ich mir nach Möglichkeit sparen. Ansonsten hätte ich das Teil schon längst getötet und neu zum Leben erweckt. Sowas mache ich übrigens auch selber. Bei unserm Systemadmin dauert mir das alles zu lange.

Gruß
Thomas

Auman, Desasterkonzept, Images etc. kennt Deine IT auch nicht??

Echt schwierig, da jetzt den genauen Fehler ausfindig zu machen. Als allererstes würd eich Dir zu einem Vollbackup raten, zB mit einem Imagingtool wie DriveSnapshot oder AcronisTrueImage. Das Image bzw. Abbild der Festplatte musst Du sicher wegspeichern, auf DVD oder ext. Platte. Danach kannst Du nach Herzenslust rumfrickeln.

Nach dem Vollbackup würde ich erstmal alle unnötigen Programme runterschmeißen, auch sowas wie Virenscanner etc. pp.

mach erstmal das und dann siehst Du weiter.

Zitat:

dass ich Programme auf dem Rechner habe, die nur mit Unterstützung des Herstellers wieder installiert werden können (komplizierte Datenbank-Geschichten).

Kann eigentlich nicht wirklich schwierig aber naja, ich kenn die genaue Konfig nicht. Ein echter DB-Server hat auf einem Notebook nichts zusuchen, wenn ist da nur ein Client drauf, der sich mit einem DB-Server verbindet.
Aber wie gesagt, mach das Image am besten mit Acronis und dann kann man gefahrlos rumfrickeln. Wenn was zerschossen wurde spielt man das Image einfach wieder zurück und es ist alles so wie es zum zeitpunkt der Erstellung des Images war.

Seit ich die Probleme mit diesem Hostfehler habe, mach ich regelmäßig Backups mit Acronis. Aber ich werde morgen erstmal ein neues anlegen.

Das Programm, das so problematisch ist, ist standardmäßige auch eine Client-Server-Anwendung. Es geht hier um ein Buchhaltungsprogramm. Wir haben vor einiger Zeit das System gewechselt und der Server musste abgeschaltet werden. Darum habe ich mir die Anwendung lokal installieren lassen, um weiter an die Daten ran zu kommen. Mit dem damaligen Anbieter haben wir nach dem Programmwechsel auch keinen Kontakt mehr, der Wartungsvertrag ist ausgelaufen. Daher meine Abneigung gegen eine Neuinstallation von Windows.

Zur Verteidigung meines Systemadministrators muss ich noch erklären, dass er eigentlich ein Softwareentwickler auf einem ganz anderen Gebiet als PC oder Microsoft ist. Zu dem Job ist er gekommen, wie die Jungfrau zum Kinde. Einer musste es tun und er war am nächsten an der Materie dran.

Aber zurück zu meiner ursprünglichen Frage. Kann ich den Rechner morgen zur Not ausschalten?

Gruß
Thomas