17
Windows 7 - was passiert direkt nach der Anmeldung eines Users ?
moin moin,
mein Windows 7 SP1 friert direkt nach der benutzeranmeldung ein, dass nur noch ausschalten mit powerknopp geht.
der desktop baut sich auf, dann kommen noch ein paar meldungen diverser programme, nix besonderes.
wenn der startvorgang beendet ist (mousezeiger da, keine eieruhr mehr) passierts, und zwar IMMER
der rechner ist komplett weg, auf ein ping reagiert er auch nicht mehr.
die ereignisanzeige ist "unauffaellig", direkt vorm einfrieren keine erkennbaren auffaelligkeiten.
melde ich mich mit einem anderen benutzer an, funktioniert die kiste besten, ebenso im abgesicherten modus.
also gehe ich davon aus, dass direkt nach der anmeldung irgendetwas gestartet wird, was zum einfrieren fuehrt.
den autostartordner habe ich bereits komplett geleert, keine aenderung
unter "run" und "runonce" nix verdaechtiges.
auch keinerlei aenderungen an der hard- oder software in den letzten Monaten
(ist ein Asus G72 Laptop)
das ging vor 3 tagen los und ist seitdem bei jeder Anmeldung so.
nun wuesste ich gerne, was bei einem bestimmten user nach dem login abgearbeitet wird und wo ich das in der registrierung finde , damit ich den uebeltaeter entlarven kann.
TIA !!!
mein Windows 7 SP1 friert direkt nach der benutzeranmeldung ein, dass nur noch ausschalten mit powerknopp geht.
der desktop baut sich auf, dann kommen noch ein paar meldungen diverser programme, nix besonderes.
wenn der startvorgang beendet ist (mousezeiger da, keine eieruhr mehr) passierts, und zwar IMMER
der rechner ist komplett weg, auf ein ping reagiert er auch nicht mehr.
die ereignisanzeige ist "unauffaellig", direkt vorm einfrieren keine erkennbaren auffaelligkeiten.
melde ich mich mit einem anderen benutzer an, funktioniert die kiste besten, ebenso im abgesicherten modus.
also gehe ich davon aus, dass direkt nach der anmeldung irgendetwas gestartet wird, was zum einfrieren fuehrt.
den autostartordner habe ich bereits komplett geleert, keine aenderung
unter "run" und "runonce" nix verdaechtiges.
auch keinerlei aenderungen an der hard- oder software in den letzten Monaten
(ist ein Asus G72 Laptop)
das ging vor 3 tagen los und ist seitdem bei jeder Anmeldung so.
nun wuesste ich gerne, was bei einem bestimmten user nach dem login abgearbeitet wird und wo ich das in der registrierung finde , damit ich den uebeltaeter entlarven kann.
TIA !!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 244759
Url: https://administrator.de/contentid/244759
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Um den Übeltäter zu finden sieht man in der Regel am besten im Eventlog nach. Was steht da drinnen?
Um den Übeltäter zu finden sieht man in der Regel am besten im Eventlog nach. Was steht da drinnen?
Hallo.
Diese Suche, die Du da vorhast, klingt recht aufwendig. Wenn das nur ein Profil betrifft (also Deines), und Du in letzter Zeit bewußt nichts installiert und auch sonst nichts geändert hast, hast Du Dir scheinbar trotzdem irgendeinen Mist eingefangen, der nur Dein Profil betrifft (wahrscheinlich beim Surfen).
Wäre das mein Rechner, würde ich nicht allzuviel Zeit darin investieren. Meine Vorgehensweise wäre so:
- Du hast zwar die Run- und RunOnce-Schlüssel angesehen und nichts auffälliges gefunden, trotzdem würde ich nochmal msconfig aufrufen und das Register "Systemstart" durchsehen, da sind wirklich alle Sachen aufgelistet, die beim Start so passieren
- Virenvollscan (von dem anderen Account aus, der nicht einfriert)
- Vollscan auf Spy- und Adware (möglicherweise brauchst Du dazu ein Extra-Tool, wenn Deine AV-Software das nicht schon mitmacht) - ebenfalls von dem funktionierenden Account aus
- danach hiervon booten und nochmals suchen: http://windows.microsoft.com/de-de/windows/what-is-windows-defender-off ...
- wird nichts gefunden bzw. ergibt sich keine Besserung, würde ich von dem anderen Account aus (der hoffentlich ein administrativer ist) die Daten in Deinem "Einfrier"-Profil sichern, das "Einfrier"-Profil löschen, den "Einfrier"-Account löschen und neu anlegen
- wenn Du danach immer noch irgendwie merkst oder meinst, daß irgendetwas nicht stimmt, würde ich auf Nummer sicher gehen und die Kiste neu aufsetzen (vorheriges Backup versteht sich von selbst, hoffe ich)
Viele Grüße
von
departure
Diese Suche, die Du da vorhast, klingt recht aufwendig. Wenn das nur ein Profil betrifft (also Deines), und Du in letzter Zeit bewußt nichts installiert und auch sonst nichts geändert hast, hast Du Dir scheinbar trotzdem irgendeinen Mist eingefangen, der nur Dein Profil betrifft (wahrscheinlich beim Surfen).
Wäre das mein Rechner, würde ich nicht allzuviel Zeit darin investieren. Meine Vorgehensweise wäre so:
- Du hast zwar die Run- und RunOnce-Schlüssel angesehen und nichts auffälliges gefunden, trotzdem würde ich nochmal msconfig aufrufen und das Register "Systemstart" durchsehen, da sind wirklich alle Sachen aufgelistet, die beim Start so passieren
- Virenvollscan (von dem anderen Account aus, der nicht einfriert)
- Vollscan auf Spy- und Adware (möglicherweise brauchst Du dazu ein Extra-Tool, wenn Deine AV-Software das nicht schon mitmacht) - ebenfalls von dem funktionierenden Account aus
- danach hiervon booten und nochmals suchen: http://windows.microsoft.com/de-de/windows/what-is-windows-defender-off ...
- wird nichts gefunden bzw. ergibt sich keine Besserung, würde ich von dem anderen Account aus (der hoffentlich ein administrativer ist) die Daten in Deinem "Einfrier"-Profil sichern, das "Einfrier"-Profil löschen, den "Einfrier"-Account löschen und neu anlegen
- wenn Du danach immer noch irgendwie merkst oder meinst, daß irgendetwas nicht stimmt, würde ich auf Nummer sicher gehen und die Kiste neu aufsetzen (vorheriges Backup versteht sich von selbst, hoffe ich)
Viele Grüße
von
departure
Ciao,
Du könntest auch mit autoruns schauen, was alles bei dem User automatisch gestartet wird. Der Autostart Ordner allein ist nur eines von vielen Möglichkeiten, bei der Benutzeranmeldung automatisch Programme zu starten
lks
PS: vermutlich iest es aber einfach nur ein kaputtes Userprofil. ich würde einfach die Daten sichern und ein neues Profil anlegen.
Du könntest auch mit autoruns schauen, was alles bei dem User automatisch gestartet wird. Der Autostart Ordner allein ist nur eines von vielen Möglichkeiten, bei der Benutzeranmeldung automatisch Programme zu starten
lks
PS: vermutlich iest es aber einfach nur ein kaputtes Userprofil. ich würde einfach die Daten sichern und ein neues Profil anlegen.
Wenn der Computer mit anderem Profil funktioniert tippe ich auch auf ein Profilproblem beim genannten "Problemuser".
-> Sicherung benötigter Dateien vom "defekten Profil" machen
-> mit funktonierenden Benutzer unter "C:\Users" den gesamten Profilordner des "defekten Profils" löschen
-> In der Registry unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Profile List" den dazugehörigen Eintrag entfernen (Eintrag kann unter ProfileImagePath im Ordner identifiziert werden
-> Rechner neu starten und den vermutlich defekten Benutzer neu einloggen
Sollte funktonieren, wenn nicht ist es kein Problem am Profil.
-> Sicherung benötigter Dateien vom "defekten Profil" machen
-> mit funktonierenden Benutzer unter "C:\Users" den gesamten Profilordner des "defekten Profils" löschen
-> In der Registry unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Profile List" den dazugehörigen Eintrag entfernen (Eintrag kann unter ProfileImagePath im Ordner identifiziert werden
-> Rechner neu starten und den vermutlich defekten Benutzer neu einloggen
Sollte funktonieren, wenn nicht ist es kein Problem am Profil.
lege die windows cd ein und führe eine startrepatur durch!hast du das getan und es funktioniert wieder lade dir den ccleaner herunter und reinige dein system
hey, danke fuer die tips !
an's loeschen des profils habe ich natuerlich auch schon gedacht, ist nur ziemlich viel angepasst worden, was somit weg waere...
der andere acount ist administrator (konnte im abgesicherten modus den admin-account aktivieren) somit komme ich ueberall ran
werde dann mal "autoruns" und "msconfig" befragen (mit tuneup hatte ich schon gesucht) und die defender scheibe toasten, wenn ich da auch nichts finde, fliegt der user raus !
ich verzettle mich schon lange nicht mehr in endlosen reparaturversuchen, die meist eh damit enden, dass es nur noch schlimmer wird, man tage verschwendet und am ende doch alles platt macht
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
an's loeschen des profils habe ich natuerlich auch schon gedacht, ist nur ziemlich viel angepasst worden, was somit weg waere...
der andere acount ist administrator (konnte im abgesicherten modus den admin-account aktivieren) somit komme ich ueberall ran
werde dann mal "autoruns" und "msconfig" befragen (mit tuneup hatte ich schon gesucht) und die defender scheibe toasten, wenn ich da auch nichts finde, fliegt der user raus !
ich verzettle mich schon lange nicht mehr in endlosen reparaturversuchen, die meist eh damit enden, dass es nur noch schlimmer wird, man tage verschwendet und am ende doch alles platt macht
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
die Windows-cd findet nicht "reparaturwuerdiges", ccleaner war das erste, was ich gemacht habe 
Er hat keine Startprobleme, das nützt bei diesem problem üebrhaupt nichts.
hast du das getan und es funktioniert wieder lade dir den ccleaner
herunter und reinige dein system
herunter und reinige dein system
CCleaner ist für diese problem ungeeignet.
lks
Zitat von @ZacMcKracken:
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten
websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten
websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
Öhm, auch spiegel.de, wetter.com und Andere haben schon Schadcode ausgeliefert...
Lonesome Walker
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....
wie sieht es mit deiner festplatte aus, weil es kann sein dass einige sektoren defekt bzw. beschädigt sind und deshalb der pc so lahm ist
Zitat von @ZacMcKracken:
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....
Blödsinn.
Solange die externe Werbepartner benutzen, handelt man sich bei diesen Seiten mit 100% Wahrscheinlichkeit irgendwann Malware ein.
lks
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge, wenn ich mich an den rechner begebe ....
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber 20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen", was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !
...btt...
saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows ...
@Motherboard33
defekte platte ist es mit ziemlicher sicherheit nicht, keinerlei S.M.A.R.T.-meldungen, und ich hatte den PC im aufgehaengten zustand auch mal 'nen halben tag stehen lassen, damit er mal "in ruhe" drueber nachdenken kann, ob er nicht doch noch weitermachen will
danke an alle fuer die zahlreichen tips !
gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge, wenn ich mich an den rechner begebe ....
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber 20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen", was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !
...btt...
saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows ...
@Motherboard33
defekte platte ist es mit ziemlicher sicherheit nicht, keinerlei S.M.A.R.T.-meldungen, und ich hatte den PC im aufgehaengten zustand auch mal 'nen halben tag stehen lassen, damit er mal "in ruhe" drueber nachdenken kann, ob er nicht doch noch weitermachen will
danke an alle fuer die zahlreichen tips !
gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
Zitat von @ZacMcKracken:
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit
OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber
zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den
ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge,
wenn ich mich an den rechner begebe ....
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit
OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber
zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den
ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge,
wenn ich mich an den rechner begebe ....
Obwohl mein Blödsinn nciht darauf bezog, hast Du absolut glück gehabt. Denn driveby-Infektionen benötigen keine Klick und man merkt das nciht sofort. Die sind seltener udn wenn die gut gemacht sind, braucht man medhrere Wochen, bis man die Infektion gemerkt hat, wenn man sie üebrhaupt bemerkt.
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber
20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen",
was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen",
was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
Meine 100% Aussage bezog sich darauf, daß "vertrauenswürdige Seiten" mit "an Sicherheit grenzender Wahrscheinlichkeit" keine Malware verteiln. Was definitiv falsch ist. Über solceh Seiten wird imemr wieder malware verbreitet, und die Leute bekommen das nciht einmal mit. Die Malwre-verbreiter sind inzwischen schlau genug, die Werbung per script so zu gestallten, daß die Kisten, denen die malware "präsentiert" werden sehr gezielt ausgesucht werden.
Daher heitß mit 100% Wahrscheinlichektz, daß diese Netzwerker immer wieder malware den Kisten anbieten. Du kannst natürlich das Glück haben, nie zu den Kisten zu gehören, die das abbekommen.
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !
Auch Addblocker sind fehlbar.
saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen
aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy
transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows
aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy
transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows
Beachte das halteproblem: malwarescanner könen imme rnur sicher Aussagen, daß man sich etwas eingefangen hat. Die können aber nice zweofelsfrei bestätigen, daß man sich nichts eingefangen hat. das evrstehen aber nur die wenigsten.
lks
Zitat von @ZacMcKracken:
gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
F8 beim booten und Systemstart protokollieren anwählen. Zumindest bei windows.
Unter Unix und Linux kann man einafch den loglevel hochsetzen, wenn die Meldungen im syslog nicht ausreichen.
lks
ah ja - da war ja was
allerdings wage ich fast zu bezweifeln, dass da was hilfreiches zu finden gewesen waere ...
was soll's - haken dran, geht ja wieder
allerdings wage ich fast zu bezweifeln, dass da was hilfreiches zu finden gewesen waere ...
was soll's - haken dran, geht ja wieder
