Windows Vista bootet nicht mehr -> "deleting ..rprotect.dll" und rprotect.exe läuft auf dem Bildschirm
 

Liebe Helfer,

ich bin gerade absolut überfordert und auf meinem Rechner funktioniert gar nichts mehr.

Ich wollte heute ein Java 7 Update 25 durchführen, was sich jedoch aufgehängt hatte, so dass ich meinen Rechner neu gestartet habe, bzw. dies wollte.

Dann kam im schwarzen Hintergrund anstelle des Vista Starts nur folgende Meldung, die unaufhörlich den Bildschirm von oben nach unten runterlief:
"deleting ..rprotect.dll"
"deleting ..rprotect.exe"

Das jeweils im unregelmäßigen Wechsel, also mal das eine 1,2 oder dreimal nacheinander oder auch nur einzeln. Der Bildschirm war jedenfalls voll davon.

Ich habe dann den Rechner mittels Startschalter (nicht der von Windows, sondern Power) ausgeschaltet und neu gestartet, mit gleichem Resultat.

Dann habe ich versucht, die Systemwiederherstellung (verschiedene Wiederherstellungspunkte ausprobiert) durchzuführen, was aber mit folgender Fehlermeldung scheiterte:
"The System cannot find the file specified (0x80070002)

Auch kam bei der automatischen Wiederherstellung folgende Fehlermeldung:

Problem Signature:
Problem Event Name: StartupRepairV2
Problem Signature 01: AutoFailover
02: 6.0.6000.16386.6.0.6001.18000
03: 5
04: 196611
05: NoRootCause
06: No RootCause
07: 0
08: 2
09: WrpRepair
10: 0
OS Version: 6.0.6000.2.0.0.2561
Locale ID: 1033

Ich kann also auf meinem Rechner gerade überhaupt nichts machen, also auch keine Dateien installieren, um Scans durchzuführen (schreibe vom Laptop meiner Freundin).

Hat jemand eine Idee, was ich versuchen könnte? Besten Dank im Voraus!

PS: Ich hatte schon länger den Verdacht, das irgendetwas nicht wirklich stimmt, da mein Rechner sehr langsam lief und sich regelmäßig kurz aufhing. Ging dann aber eigentlich immer wieder von alleine. Da er auch 5 Jahre alt ist, habe ich das darauf geschoben...

ÄHm also wir schauen mal, aber versprechen kann ich da nix.



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo ryder,

schon mal danke, dass du dich meines Problems annimmst!

Habe den Scan durchgeführt und folgende txt Datei erhalten:

FRST Logfile:
--- --- ---

Also das sieht sehr seltsam aus. Wir entfernen mal was und dann sagst du mir ob du wieder ins System kommst. Dann räumen wir richtig auf.

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

HKU\Administrator\...\Run: [PROXYADMIN] "C:\ProgramData\Viewoozeooze.adipr" [x]
HKU\Administrator\...\Run: [style cool 2 city] "C:\ProgramData\bend lite keep.q3pp5xg" [x]
C:\ProgramData\Viewoozeooze.adipr
C:\ProgramData\bend lite keep.q3pp5xg
C:\ProgramData\nvModes.dat

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Der Rechner meiner Freundin ist ein MAC und sie weiß auch nicht, wie ich den Text als txt Datei speichern kann. kannst du da helfen?

Ganz klare Antwort: Nein. Notfalls abtippen.

Sch... Macs :-) Habe es aber doch noch hinbekommen. Hier das log:

Nun?

Nope. Problem besteht unverändert. Beim Start kommt direkt nachdem ganz kurz das grüne Ladesymbol (bewegender Balken) von Microsoft erschien die Meldung mit "deleting ..rprotect.dll und .exe

Es könnte sich gaaaanz vielleicht um "Acerprotect" oder sowas handeln, das durch die ".." abgekürzt wird. Ich meine, ich hätte das irgendwann schon mal gesehen, als der Rechner noch lief. Aber das ist bloß eine Vermutung...

EDIT: Mit diesem viewoozeooze hatte ich vor Monaten schon mal Schwierigkeiten. Da kam immer beim Start eine Fehlermeldung und ich wollte das runterschmeißen, was aber meiner Erinnerung nach nicht zu 100% gelungen ist. Jedenfalls kam aber besagte Fehlermeldung damals dann nicht mehr.

Schau mal bitte ob du in "abgesichert mit Eingabe" booten kannst

Leider nein, soweit komme ich gar nicht. Wenn ich starte, kommt die Fehlermeldung und ich muss den Rechner mittels gedrücktem Powerknopf ausschalten. Bei erneutem starten kommt dann nur

Starthilfe starten (empfohlen)
Windows normal starten

Wenn ich dann die Starthilfe starte, dann komme ich in entsprechendes Menü. Hier kann ich allerdings auch nur englisch als Sprache auswählen, was mir komisch vorkommt. Dann kommt ein Fenster, das mit "System Recovery Options" beschriftet ist. Habe ich das Keyboard ausgewählt, wird mein Rechner sodann auf Probleme untersucht, wo aber auch eine Fehlermeldung kommt, die ich oben bereits beschrieben habe.

Die Option, Windows im gesicherten Modus zu starten, erscheint nicht.

Na dann hast du einfach nur das F8 zum falschen Zeitpunkt gedrückt. Probier es bitte davor. Und probiere es auch wenn du auf "normal starten" gehst ganz kurz nach dem Enter.

Ok, das hat geklappt. War tatsächlich der falsche Zeitpunkt... Super! Ich musste mir mal vor Ewigkeiten ein Adminkonto anlegen. Soll ich nun besser über das reingehen oder über mein übliches Benutzerkonto?

es muss ein konto mit admin fähigkeiten sein.

Computer mit Combofix entsperren

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Erster Etappensieg!!! Poste jetzt wieder mit meinem eigenen Rechner! Schon mal ganz herzlichen Dank!

Habe alles wie beschriebe erledigt. Neustart wurde nach erfolgtem Scan durch combofix durchgeführt. Allerdings nicht im abgesicherten Modus. Zuvr kamen Fehlermeldungen/Warnungen, dass ich hätte Avira Antivirus und Lavasoft AdAware abschalten sollen, was mir aber nicht gelang. Habe den Scan dennoch durchgeführt.

Hier das Logfile
EDIT: Das Programm AVG habe ich nie wissentlich installiert. Das ging mir schon vor ein paar Wochen unglaublich auf die Nerven, da ich es nicht deinstalliert bekommen habe. Ich wäre froh, wenn das endgültig verschwinden könnte!

Ja da wundert mich auch gar nix mehr bei so viel Sicherheitssoftware - die bremsen sich alle gegenseitig aus.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstalliere soweit möglich AVG Reste und Lavasoft.


Schritt 2:
Deinstalliere Avira

Entferne Avira über die Systemsteuerung. Danach führe den Avira Registry Cleaner aus.

Schritt 3:
Entferne die Reste hier ein Link zu Tools:
Uninstallers (removal tools) for common antivirus software - ESET Knowledgebase

Danach


Schritt 4:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.

Schritt 5:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 6:
Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

So, habe alle empfohlenen Programme gelöscht und den adwcleaner laufen lassen. Hier das Logfile:
das Logfile von MBAR editiere ich gleich hierein.

EDIT:

Hier noch das Logfile von MBAR:

Meine Güte das ist ja schon heftig ...

Mach mir keine Angst!

Habe das Logfile von MBAR oben reineditiert...

Naja wenn du eben aggressive Werbung sammelst wie andere leute dreckige Socken, dann muss man sich nicht wundern. Bitte nochmal Malwarebytes, ich möchte ein Logfile mit Nullern sehen :)

Habe eben Malwarebytes nochmal durchlaufen lassen und es kam die Meldung: Congratulations, no cleanup is required. Scan finished: No Malware found.

Genug Nullen?

Auf jeden Fall schon mal ganz herzlichen Dank für deine Mühe!!! Genieß deinen freien Tag!

Sehr gut. Eine letzte Kontrolle und einen Blick auf deine Sicherheit brauchen wir noch:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Nochmals ein Kontrollscan mit DDS.


Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen