|
Seltsame Anwendung wollte bei Thunderbird-Setup Administratorrechte Servus Trojanerboard, ich befürchte es hat mich erwischt. Ich bin normalerweise sehr vorsichtig und lade nur Software auf vertrauenswürdigen Quellen wie Heise Software oder den Herstellerseiten herunter. Heute wollte ich nach langer "Rechner-Abstinenz" (habe mit Laptop gearbeitet) aus einer Laune heraus von Mozilla die aktuelle Version von Thunderbird heruntergeladen. Als ich das Setup durch einen Doppelklick startete, wollte eine Anwendung mit dem Namen (in etwa) "Windows-Hausprozess (rundil)" Administratorrechte. Das Fenster war "vertrauenswürdig" blau, der Herausgeber war verifiziert (irgendwas mit Microsoft) und in diesem Moment war der Finger schneller als das Hirn. :-( Ich habe das Setup (das sich danach normal öffnete) aus Panik sofort beendet (aber nicht gelöscht). Zwar hat Microsoft Security Essentials bei dem vollständigen Suchlauf nichts gefunden, aber ich hatte trotzdem ein ungutes Gefühl. Deswegen habe ich einen Freund aus der IT telefonisch um Hilfe gebeten. Der hat mich zu euch geschickt, um zu prüfen ob das System wirklich sauber ist. Auf dem Rechner wurde Online-Banking betrieben, das letzte Mal vor zwei Tagen. Weil weder Microsoft Security Essentials noch MBAM (die anderen Logs sind etwas kryptisch) etwas gefunden hat, habe ich diesen Zugang noch nicht bei der Bank gesperrt. Ich habe so ein externes TAN-Generator-Ding, wo man die Karte reinsteckt und eine PIN eingibt. Das sollte doch in jedem Fall sicher sein, oder? Hier die vier Logs von defogger, FRST und GMER, ich habe auch noch (auf Rat des Kollegen) MBAM in dieser Reihenfolge ausgeführt. Ich hoffe das hat nicht geschadet. Defogger: Code: defogger_disable by jpshortstuff (23.02.10.1)FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 27-04-2015--- --- --- --- --- --- FRST Additional: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 27-04-2015Code: GMER 2.1.19357 - hxxp://www.gmer.netCode: Malwarebytes Anti-MalwareViele, viele Grüße Thomas |
hi, sieht eigentlich gut aus. Warst Du Admin als du den Installer gestartet hast? |
Servus Schrauber, puh, das freut mich! :-) Ja, ich war als Admin angemeldet. Ich habe die Datei einfach aus dem Download-Ordner (halt nicht über den Firefox und auch nicht über "Als Administrator ausführen") mit Doppelklick gestartet. Ich habe jetzt testweise das Setup nochmal ausgeführt - wieder eine Abfrage, jetzt scheint aber alles normal zu sein. Thunderbird Setup als Programm und Mozilla als Herausgeber. :-) Viele Grüße! Thomas |
Liste der Anhänge anzeigen (Anzahl: 1) Servus Schrauber, ich befürchte, ich brauche doch noch deine Hilfe. Ist es normal, dass Windows bei "Herunterfahren erzwingen" mit einem Bluescreen abstürzt? Das ist jedes Mal reproduzierbar - öffne ich irgendetwas, was das Beenden von Windows behindert (Firefox, Editor) und drücke ich in den "Folgende Anwendungen müssen noch geschlossen werden"-Dialog den Knopf "Herunterfahren erzwingen" aus, stürzt Windows sofort ab. Ein schlampiges Handyfoto (der Rechner startet sich ja sofort wieder neu) im Anhang. Das ist der erste Bluescreen, den ich unter Windows 7 je hatte. Google spuckt zu dem Fehlercode "0x000000F4" u.A. Hardwareprobleme wie ein zu schwaches Netzteil aus. Aber warum sollte das Netzteil gerade in diesem Moment und nur dann (über)gefordert sein? :-( Ich habe keine Treiber installiert oder deinstalliert. Das Thunderbird-Setup habe ich auch nicht durchlaufen lassen, sondern bei der Anfrage der Adminrechte beendet ("Nein" gedrückt). Viele Grüße Thomas |
hi, bitte mal einen Bericht mit Bluescreenview erstellen: Windows Bluescreen Absturz analysieren und beheben - so geht's - Anleitungen |
Servus Schrauber, Code: ==================================================Thomas |
http://www.deeprybka.trojaner-board....r/wraioneu.PNG
|
Servus Schrauber, das Programm hat viele Logdateien ("Repair_Windows_Firewall", "Repair_Windows_Update", etc.) angelegt, ich gehe davon aus du brauchst folgendes: Code: Tweaking.com - Windows Repair v3.0.0Code: ==================================================Zitat:
Viele Grüße und Danke Thomas :-) |
Ja, das ist die Ursache. Deswegen das Repair Tool. Du hast im Zuge des Repair Tool zu Beginn (Step 2 oder so) die Systemdateien gecheckt. Wurde dabei ein Fehler gefunden? |
Servus Schrauber, nein, ich glaube er hat nichts gefunden. Die Rückmeldung war irgendetwas mit "keine Integritätsverletzung". Viele Grüße Thomas |
Bitte mal die Festplatte prüfen: Zustand der Festplatte herausfinden - so gehts - Anleitungen |
Servus Schrauber, Code: ----------------------------------------------------------------------------Viele Grüße Thomas |
Es kann natürlich immer noch was in Windows selbst sein. Windows DVD zur Hand damit wir ein Inplace Upgrade versuchen können? |
Servus Schrauber, du meinst die Windows 7 Installations-DVD? Ja, habe ich noch da. :-) Viele Grüße Thomas |
Dann mal bitte ein Inplace Upgrade machen :) Inplace Upgrade - Windows reparieren - Anleitungen |
Liste der Anhänge anzeigen (Anzahl: 1) Servus Schrauber, "Inplace Update" nach dieser Anleitung (hxxp://anleitung.trojaner-board.de/inplace-upgrade) ist durch. Und was soll ich sagen - es hat funktioniert! Kein Bluescreen mehr! Danke! :-) Aber das Problem aus dem ersten Post ist wieder da. Ich hatte Security Essentials vorher deinstalliert und wollte es jetzt wieder installieren. Doppelklick auf das Setup => "Windows Hostprozess (Rundll32)" (da hatte ich mich im ersten Post vertan) möchte Adminrechte. Das gilt auch für andere Setups (getestet an dem alten Thunderbirdsetup) und sogar für den normalen Editor, sobald ich ihn mit "als Admin ausführen" starte. Ich habe bisher sicherheitshalber die Adminrechte verweigert. Screenshot der Meldung im Anhang, da Anhänge offenbar ungern gesehen sind hier auch ein (hoffentlich korrektes) "Transkript": Code: Möchten Sie zulassen, dass durch das folgendeViele Grüße Thomas |
Da will was aus den Temps die Rechte. Hast Du den Installer auf dem PC gespeichert oder bist du direkt aus Ausführen gegangen? |
Servus Schrauber, ich habe es gespeichert und dann aus dem Downloadordner ausgeführt. Virustotal findet es harmlos: https://www.virustotal.com/de/file/b988f808c2e906c891f36638bf3f6be75c41793995f313fac30a67524c9f2000/analysis/1430840620/ Irgendwie wird scheinbar wirklich alles, was Adminrechte braucht oder freiwillig bekommen soll ("als Admin ausführen") als "Windows-Hostprozess (Rundll32)" angezeigt. Diese komischen Buchstabenkollonen in der letzten Zeile bei "Programmpfad" sind auch immer unterschiedlich. Viele Grüße Thomas |
Ja, weil der Installer in die Temps geladen wird. Schau mal in der Systemsteuerung > Benutzerkonten > Benutzerkontensteuerung, wie hoch die UAC bei Dir eingestellt ist. |
Servus Schrauber, wenn ich auf "Einstellungen der Benutzerkontensteuerung" gehe, werde ich ebenfalls von dem Windows-Hostprozess um Adminrechte gebeten. Soll ich die geben? Viele Grüße Thomas |
Ja klar. :) Aber das alles deutet schon darauf hin dass der Schieberegler gaaaaanz oben steht :) |
Servus Schrauber, gut, habe dem Rundll32-Ding jetzt Adminrechte gegeben. Der Regler steht und stand auf der zweiten Stellung "Standard". Das Problem hat sich dadurch offensichtlich gelöst, jetzt zeigt Windows bei der Adminrechteabfrage wieder die normalen Programmnamen ("Microsoft Security Essentials", "Editor") statt jedes Mal "Windows Hostprozess (Rundll)" an. :-) Viele Grüße! Thomas |
Gelöst durch den einfachen Aufruf der Benutzerkontensteuerung? :wtf: |
Servus Schrauber, offenbar? Ich habe diesen Dialog ja sogar mit "Abrechen" abgebrochen. Eventuell lag es auch daran, dass ich dabei dem "Windows-Hostprozess" Adminrechte gegeben hatte. Wie gesagt, jetzt zeigt er mir in diesem Adminrechte-Dialog auch wieder "Einstellungen der Benutzerkontensteuerung" als Programmname an statt "Windows-Hostprozess (Rundll32)". Als das ganze zum ersten Mal bei dem Thunderbirdsetup auftrat, war es ja auch vorbei als ich dem (damals ausversehen) Adminrechte gab. Viele Grüße :-) Thomas |
Ok, da hat dann anscheinend irgendwas gehangen. Auch gut :) Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren .
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: http://deeprybka.trojaner-board.de/b...ast/schild.pngAbsicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Empfehlung: http://filepony.de/icon/emsisoft_anti_malware.png Emsisoft Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Servus Schrauber, ich war wohl zu voreilig. :-( Das Problem mit den Bluescreens ist wieder da. Genau wie vorher -> "Herunterfahren Erzwingen" => Bluescreen mit Stopcode F4. Code: ==================================================Die einzige Installation war von Microsoft Security Essentials - das ist aber schon vorher Jahre auf dem Rechner gewesen und hat noch nie Probleme bereitet. Soll ich nochmal ein "Inplace Upgrade" durchführen? Viele Grüße und ein großes, großes Dankeschön Thomas |
Ja mach mal, und dann bei Abfragen dieser Art Adminrechte geben. |
Servus Schrauber, ich habe jetzt zwei Reparaturinstallationen durchlaufen lassen. Nach der ersten war wieder alles wie beim letzten Mal - keine Bluescreens, aber der "Windows Hostprozess" wollte Adminrechte. Die habe ich diesesmal sofort gegeben, beim Start des Security-Essentials-Setups. Danach kam diese Abfrage nicht mehr, bei keinem Programm. Und schon waren wieder die Bluescreens da. Danach sofort wieder ein Inplace Upgrade durchgeführt. Auch hier wieder keine Bluescreens, aber der Hostprozess will immer Adminrechte. Egal was ich starte, ob Setup, den normalen Editor oder die Systemsteuerung. Jedes Mal die gleiche Abfrage, auch wenn die Buchstabenkollone nach "C:\Users\Thomas\AppData\Local\Te" immer anders ist. Ich bin ratlos. :-( Viele Grüße Thomas |
Sehr merkwürdig. Poste bitte mal frische FRST logs. |
Servus Schrauber, ich musste dem Hostprozess wieder Adminrechte geben - sonst hätte ich FRST nicht starten können. Außerdem hat FRST sich geupdated. FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-05-2015Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 13-05-2015Viele Grüße Thomas |
Zitat:
Der ist neu. Ganz frisch dazu gekommen. Irgendwas grundlegendes passt da nicht. Sichere mal alle deine Daten. |
Servus Schrauber, Zitat:
Zitat:
Viele Grüße Thomas |
Keine Anwendungen, einfach nur persönliche Daten wie Mails, Texte, Musik und Videos. Dann müssen wir tiefer graben warum dieser neue Eintrag auf einmal da ist :) |
Servus Schrauber, ok, die wichtigen Daten sind gesichert. Das meiste hatte ich eh schon extern gespeichert. :-) Vielen, vielen Dank! Viele Grüße, Thomas |
hi, Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
Servus Schrauber, keiner meiner USB-Sticks wird von der gebooteten Windows-DVD erkannt. Ich habe daher den FRST64 von der normalen Festplatte genutzt. Ich hoffe, das ist nicht sehr schlimm. :-( FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-05-2015Viele Grüße! Thomas |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\Thomas\...\RunOnce: [h7BgsM2Ns] => rundll32 "C:\Users\Thomas\AppData\Local\Temp\hG7JnB4dsPnhj5Rqew6L\gwNWQ7HbhamP01AhBowAs.dll" NjRmN2U4YTgwNWQ4YzlhNmM5ZTc1ODAxMGFjOTNiOTBf <===== ATTENTIONSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Jetzt bitte nochmal FRST aus dem normalen Modus. |
Servus Schrauber, ok, hier das Fixlog: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-05-2015 02FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 16-05-2015 02Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 16-05-2015 02Viele Grüße Thomas |
Lade Dir bitte Bluescreenview und installiere es: BlueScreenView - Download - Filepony Öffnen und den aktuellsten Dump analysieren lassen (macht das Tool automatisch). Output hier posten. |
Analysieren lassen? Was meinst du damit? Welcher Output? Das hier? Code: ==================================================Code: ==================================================Thomas |
https://social.technet.microsoft.com...w7itprogeneral Bitte mal die Lösungsvorschläge hier abarbeiten :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board
