zacmckracken
Goto Top

Windows 7 - was passiert direkt nach der Anmeldung eines Users ?

moin moin,
mein Windows 7 SP1 friert direkt nach der benutzeranmeldung ein, dass nur noch ausschalten mit powerknopp geht.
der desktop baut sich auf, dann kommen noch ein paar meldungen diverser programme, nix besonderes.
wenn der startvorgang beendet ist (mousezeiger da, keine eieruhr mehr) passierts, und zwar IMMER
der rechner ist komplett weg, auf ein ping reagiert er auch nicht mehr.

die ereignisanzeige ist "unauffaellig", direkt vorm einfrieren keine erkennbaren auffaelligkeiten.

melde ich mich mit einem anderen benutzer an, funktioniert die kiste besten, ebenso im abgesicherten modus.

also gehe ich davon aus, dass direkt nach der anmeldung irgendetwas gestartet wird, was zum einfrieren fuehrt.

den autostartordner habe ich bereits komplett geleert, keine aenderung
unter "run" und "runonce" nix verdaechtiges.

auch keinerlei aenderungen an der hard- oder software in den letzten Monaten
(ist ein Asus G72 Laptop)
das ging vor 3 tagen los und ist seitdem bei jeder Anmeldung so.

nun wuesste ich gerne, was bei einem bestimmten user nach dem login abgearbeitet wird und wo ich das in der registrierung finde , damit ich den uebeltaeter entlarven kann.

TIA !!!

Content-ID: 244759

Url: https://administrator.de/forum/windows-7-was-passiert-direkt-nach-der-anmeldung-eines-users-244759.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

wiesi200
wiesi200 26.07.2014 um 08:58:31 Uhr
Goto Top
Hallo,

Um den Übeltäter zu finden sieht man in der Regel am besten im Eventlog nach. Was steht da drinnen?
departure69
departure69 26.07.2014 um 09:05:20 Uhr
Goto Top
Hallo.

Diese Suche, die Du da vorhast, klingt recht aufwendig. Wenn das nur ein Profil betrifft (also Deines), und Du in letzter Zeit bewußt nichts installiert und auch sonst nichts geändert hast, hast Du Dir scheinbar trotzdem irgendeinen Mist eingefangen, der nur Dein Profil betrifft (wahrscheinlich beim Surfen).

Wäre das mein Rechner, würde ich nicht allzuviel Zeit darin investieren. Meine Vorgehensweise wäre so:

- Du hast zwar die Run- und RunOnce-Schlüssel angesehen und nichts auffälliges gefunden, trotzdem würde ich nochmal msconfig aufrufen und das Register "Systemstart" durchsehen, da sind wirklich alle Sachen aufgelistet, die beim Start so passieren

- Virenvollscan (von dem anderen Account aus, der nicht einfriert)

- Vollscan auf Spy- und Adware (möglicherweise brauchst Du dazu ein Extra-Tool, wenn Deine AV-Software das nicht schon mitmacht) - ebenfalls von dem funktionierenden Account aus

- danach hiervon booten und nochmals suchen: http://windows.microsoft.com/de-de/windows/what-is-windows-defender-off ...

- wird nichts gefunden bzw. ergibt sich keine Besserung, würde ich von dem anderen Account aus (der hoffentlich ein administrativer ist) die Daten in Deinem "Einfrier"-Profil sichern, das "Einfrier"-Profil löschen, den "Einfrier"-Account löschen und neu anlegen

- wenn Du danach immer noch irgendwie merkst oder meinst, daß irgendetwas nicht stimmt, würde ich auf Nummer sicher gehen und die Kiste neu aufsetzen (vorheriges Backup versteht sich von selbst, hoffe ich)


Viele Grüße

von

departure
departure69
departure69 26.07.2014 um 09:06:34 Uhr
Goto Top
@wiesi200:

Hallo.

Er schreibt doch, daß die Ereignisanzeige "unauffällig" ist.

Grüße

von

departure69
Lochkartenstanzer
Lochkartenstanzer 26.07.2014 aktualisiert um 09:13:19 Uhr
Goto Top
Ciao,

Du könntest auch mit autoruns schauen, was alles bei dem User automatisch gestartet wird. Der Autostart Ordner allein ist nur eines von vielen Möglichkeiten, bei der Benutzeranmeldung automatisch Programme zu starten

lks

PS: vermutlich iest es aber einfach nur ein kaputtes Userprofil. ich würde einfach die Daten sichern und ein neues Profil anlegen.
chp879
chp879 26.07.2014 um 10:49:45 Uhr
Goto Top
Wenn der Computer mit anderem Profil funktioniert tippe ich auch auf ein Profilproblem beim genannten "Problemuser".

-> Sicherung benötigter Dateien vom "defekten Profil" machen
-> mit funktonierenden Benutzer unter "C:\Users" den gesamten Profilordner des "defekten Profils" löschen
-> In der Registry unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Profile List" den dazugehörigen Eintrag entfernen (Eintrag kann unter ProfileImagePath im Ordner identifiziert werden
-> Rechner neu starten und den vermutlich defekten Benutzer neu einloggen

Sollte funktonieren, wenn nicht ist es kein Problem am Profil.
Motherboard33
Motherboard33 26.07.2014 um 11:33:53 Uhr
Goto Top
lege die windows cd ein und führe eine startrepatur durch!hast du das getan und es funktioniert wieder lade dir den ccleaner herunter und reinige dein system
ZacMcKracken
ZacMcKracken 26.07.2014 um 11:37:42 Uhr
Goto Top
hey, danke fuer die tips !
an's loeschen des profils habe ich natuerlich auch schon gedacht, ist nur ziemlich viel angepasst worden, was somit weg waere...
der andere acount ist administrator (konnte im abgesicherten modus den admin-account aktivieren) somit komme ich ueberall ran face-smile

werde dann mal "autoruns" und "msconfig" befragen (mit tuneup hatte ich schon gesucht) und die defender scheibe toasten, wenn ich da auch nichts finde, fliegt der user raus !
ich verzettle mich schon lange nicht mehr in endlosen reparaturversuchen, die meist eh damit enden, dass es nur noch schlimmer wird, man tage verschwendet und am ende doch alles platt macht face-wink

nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
ZacMcKracken
ZacMcKracken 26.07.2014 aktualisiert um 11:44:16 Uhr
Goto Top
die Windows-cd findet nicht "reparaturwuerdiges", ccleaner war das erste, was ich gemacht habe face-sad
Lochkartenstanzer
Lochkartenstanzer 26.07.2014 um 12:08:58 Uhr
Goto Top
Zitat von @Motherboard33:

lege die windows cd ein und führe eine startrepatur durch!>

Er hat keine Startprobleme, das nützt bei diesem problem üebrhaupt nichts.

hast du das getan und es funktioniert wieder lade dir den ccleaner
herunter und reinige dein system

CCleaner ist für diese problem ungeeignet.


lks
16568
16568 27.07.2014 um 13:52:51 Uhr
Goto Top
Zitat von @ZacMcKracken:
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten
websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....

Öhm, auch spiegel.de, wetter.com und Andere haben schon Schadcode ausgeliefert...


Lonesome Walker
ZacMcKracken
ZacMcKracken 27.07.2014 um 13:55:30 Uhr
Goto Top
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% .... face-wink
Motherboard33
Motherboard33 27.07.2014 um 18:38:55 Uhr
Goto Top
wie sieht es mit deiner festplatte aus, weil es kann sein dass einige sektoren defekt bzw. beschädigt sind und deshalb der pc so lahm ist
Lochkartenstanzer
Lochkartenstanzer 27.07.2014 um 20:53:05 Uhr
Goto Top
Zitat von @ZacMcKracken:

haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% .... face-wink

Blödsinn.

Solange die externe Werbepartner benutzen, handelt man sich bei diesen Seiten mit 100% Wahrscheinlichkeit irgendwann Malware ein.

lks
ZacMcKracken
ZacMcKracken 27.07.2014 um 23:14:47 Uhr
Goto Top
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge, wenn ich mich an den rechner begebe ....
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber 20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen", was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte face-wink
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

...btt...

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows ...

@Motherboard33
defekte platte ist es mit ziemlicher sicherheit nicht, keinerlei S.M.A.R.T.-meldungen, und ich hatte den PC im aufgehaengten zustand auch mal 'nen halben tag stehen lassen, damit er mal "in ruhe" drueber nachdenken kann, ob er nicht doch noch weitermachen will face-smile

danke an alle fuer die zahlreichen tips !

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
Lochkartenstanzer
Lochkartenstanzer 28.07.2014 aktualisiert um 08:47:12 Uhr
Goto Top
Zitat von @ZacMcKracken:

ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit
OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber
zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den
ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge,
wenn ich mich an den rechner begebe ....

Obwohl mein Blödsinn nciht darauf bezog, hast Du absolut glück gehabt. Denn driveby-Infektionen benötigen keine Klick und man merkt das nciht sofort. Die sind seltener udn wenn die gut gemacht sind, braucht man medhrere Wochen, bis man die Infektion gemerkt hat, wenn man sie üebrhaupt bemerkt.

natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber
20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen",
was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte face-wink
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN

Meine 100% Aussage bezog sich darauf, daß "vertrauenswürdige Seiten" mit "an Sicherheit grenzender Wahrscheinlichkeit" keine Malware verteiln. Was definitiv falsch ist. Über solceh Seiten wird imemr wieder malware verbreitet, und die Leute bekommen das nciht einmal mit. Die Malwre-verbreiter sind inzwischen schlau genug, die Werbung per script so zu gestallten, daß die Kisten, denen die malware "präsentiert" werden sehr gezielt ausgesucht werden.

Daher heitß mit 100% Wahrscheinlichektz, daß diese Netzwerker immer wieder malware den Kisten anbieten. Du kannst natürlich das Glück haben, nie zu den Kisten zu gehören, die das abbekommen.

das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

Auch Addblocker sind fehlbar.

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen
aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy
transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows

Beachte das halteproblem: malwarescanner könen imme rnur sicher Aussagen, daß man sich etwas eingefangen hat. Die können aber nice zweofelsfrei bestätigen, daß man sich nichts eingefangen hat. das evrstehen aber nur die wenigsten.

lks
Lochkartenstanzer
Lochkartenstanzer 28.07.2014 um 08:48:47 Uhr
Goto Top
Zitat von @ZacMcKracken:

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?

F8 beim booten und Systemstart protokollieren anwählen. Zumindest bei windows.

Unter Unix und Linux kann man einafch den loglevel hochsetzen, wenn die Meldungen im syslog nicht ausreichen.

lks
ZacMcKracken
ZacMcKracken 28.07.2014 um 09:19:58 Uhr
Goto Top
ah ja - da war ja was face-wink
allerdings wage ich fast zu bezweifeln, dass da was hilfreiches zu finden gewesen waere ...
was soll's - haken dran, geht ja wieder