Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 - was passiert direkt nach der Anmeldung eines Users ?

Frage Microsoft Windows 7

Mitglied: ZacMcKracken

ZacMcKracken (Level 1) - Jetzt verbinden

26.07.2014 um 08:42 Uhr, 1911 Aufrufe, 17 Kommentare

moin moin,
mein Windows 7 SP1 friert direkt nach der benutzeranmeldung ein, dass nur noch ausschalten mit powerknopp geht.
der desktop baut sich auf, dann kommen noch ein paar meldungen diverser programme, nix besonderes.
wenn der startvorgang beendet ist (mousezeiger da, keine eieruhr mehr) passierts, und zwar IMMER
der rechner ist komplett weg, auf ein ping reagiert er auch nicht mehr.

die ereignisanzeige ist "unauffaellig", direkt vorm einfrieren keine erkennbaren auffaelligkeiten.

melde ich mich mit einem anderen benutzer an, funktioniert die kiste besten, ebenso im abgesicherten modus.

also gehe ich davon aus, dass direkt nach der anmeldung irgendetwas gestartet wird, was zum einfrieren fuehrt.

den autostartordner habe ich bereits komplett geleert, keine aenderung
unter "run" und "runonce" nix verdaechtiges.

auch keinerlei aenderungen an der hard- oder software in den letzten Monaten
(ist ein Asus G72 Laptop)
das ging vor 3 tagen los und ist seitdem bei jeder Anmeldung so.

nun wuesste ich gerne, was bei einem bestimmten user nach dem login abgearbeitet wird und wo ich das in der registrierung finde , damit ich den uebeltaeter entlarven kann.

TIA !!!





Mitglied: wiesi200
26.07.2014 um 08:58 Uhr
Hallo,

Um den Übeltäter zu finden sieht man in der Regel am besten im Eventlog nach. Was steht da drinnen?
Bitte warten ..
Mitglied: departure69
26.07.2014 um 09:05 Uhr
Hallo.

Diese Suche, die Du da vorhast, klingt recht aufwendig. Wenn das nur ein Profil betrifft (also Deines), und Du in letzter Zeit bewußt nichts installiert und auch sonst nichts geändert hast, hast Du Dir scheinbar trotzdem irgendeinen Mist eingefangen, der nur Dein Profil betrifft (wahrscheinlich beim Surfen).

Wäre das mein Rechner, würde ich nicht allzuviel Zeit darin investieren. Meine Vorgehensweise wäre so:

- Du hast zwar die Run- und RunOnce-Schlüssel angesehen und nichts auffälliges gefunden, trotzdem würde ich nochmal msconfig aufrufen und das Register "Systemstart" durchsehen, da sind wirklich alle Sachen aufgelistet, die beim Start so passieren

- Virenvollscan (von dem anderen Account aus, der nicht einfriert)

- Vollscan auf Spy- und Adware (möglicherweise brauchst Du dazu ein Extra-Tool, wenn Deine AV-Software das nicht schon mitmacht) - ebenfalls von dem funktionierenden Account aus

- danach hiervon booten und nochmals suchen: http://windows.microsoft.com/de-de/windows/what-is-windows-defender-off ...

- wird nichts gefunden bzw. ergibt sich keine Besserung, würde ich von dem anderen Account aus (der hoffentlich ein administrativer ist) die Daten in Deinem "Einfrier"-Profil sichern, das "Einfrier"-Profil löschen, den "Einfrier"-Account löschen und neu anlegen

- wenn Du danach immer noch irgendwie merkst oder meinst, daß irgendetwas nicht stimmt, würde ich auf Nummer sicher gehen und die Kiste neu aufsetzen (vorheriges Backup versteht sich von selbst, hoffe ich)


Viele Grüße

von

departure
Bitte warten ..
Mitglied: departure69
26.07.2014 um 09:06 Uhr
@wiesi200:

Hallo.

Er schreibt doch, daß die Ereignisanzeige "unauffällig" ist.

Grüße

von

departure69
Bitte warten ..
Mitglied: Lochkartenstanzer
26.07.2014, aktualisiert um 09:13 Uhr
Ciao,

Du könntest auch mit autoruns schauen, was alles bei dem User automatisch gestartet wird. Der Autostart Ordner allein ist nur eines von vielen Möglichkeiten, bei der Benutzeranmeldung automatisch Programme zu starten

lks

PS: vermutlich iest es aber einfach nur ein kaputtes Userprofil. ich würde einfach die Daten sichern und ein neues Profil anlegen.
Bitte warten ..
Mitglied: lisaluft
26.07.2014 um 10:49 Uhr
Wenn der Computer mit anderem Profil funktioniert tippe ich auch auf ein Profilproblem beim genannten "Problemuser".

-> Sicherung benötigter Dateien vom "defekten Profil" machen
-> mit funktonierenden Benutzer unter "C:\Users" den gesamten Profilordner des "defekten Profils" löschen
-> In der Registry unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Profile List" den dazugehörigen Eintrag entfernen (Eintrag kann unter ProfileImagePath im Ordner identifiziert werden
-> Rechner neu starten und den vermutlich defekten Benutzer neu einloggen

Sollte funktonieren, wenn nicht ist es kein Problem am Profil.
Bitte warten ..
Mitglied: Motherboard33
26.07.2014 um 11:33 Uhr
lege die windows cd ein und führe eine startrepatur durch!hast du das getan und es funktioniert wieder lade dir den ccleaner herunter und reinige dein system
Bitte warten ..
Mitglied: ZacMcKracken
26.07.2014 um 11:37 Uhr
hey, danke fuer die tips !
an's loeschen des profils habe ich natuerlich auch schon gedacht, ist nur ziemlich viel angepasst worden, was somit weg waere...
der andere acount ist administrator (konnte im abgesicherten modus den admin-account aktivieren) somit komme ich ueberall ran

werde dann mal "autoruns" und "msconfig" befragen (mit tuneup hatte ich schon gesucht) und die defender scheibe toasten, wenn ich da auch nichts finde, fliegt der user raus !
ich verzettle mich schon lange nicht mehr in endlosen reparaturversuchen, die meist eh damit enden, dass es nur noch schlimmer wird, man tage verschwendet und am ende doch alles platt macht

nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
Bitte warten ..
Mitglied: ZacMcKracken
26.07.2014, aktualisiert um 11:44 Uhr
die Windows-cd findet nicht "reparaturwuerdiges", ccleaner war das erste, was ich gemacht habe
Bitte warten ..
Mitglied: Lochkartenstanzer
26.07.2014 um 12:08 Uhr
Zitat von Motherboard33:

lege die windows cd ein und führe eine startrepatur durch!>

Er hat keine Startprobleme, das nützt bei diesem problem üebrhaupt nichts.

hast du das getan und es funktioniert wieder lade dir den ccleaner
herunter und reinige dein system

CCleaner ist für diese problem ungeeignet.


lks
Bitte warten ..
Mitglied: 16568
27.07.2014 um 13:52 Uhr
Zitat von ZacMcKracken:
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten
websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....

Öhm, auch spiegel.de, wetter.com und Andere haben schon Schadcode ausgeliefert...


Lonesome Walker
Bitte warten ..
Mitglied: ZacMcKracken
27.07.2014 um 13:55 Uhr
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....
Bitte warten ..
Mitglied: Motherboard33
27.07.2014 um 18:38 Uhr
wie sieht es mit deiner festplatte aus, weil es kann sein dass einige sektoren defekt bzw. beschädigt sind und deshalb der pc so lahm ist
Bitte warten ..
Mitglied: Lochkartenstanzer
27.07.2014 um 20:53 Uhr
Zitat von ZacMcKracken:

haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....

Blödsinn.

Solange die externe Werbepartner benutzen, handelt man sich bei diesen Seiten mit 100% Wahrscheinlichkeit irgendwann Malware ein.

lks
Bitte warten ..
Mitglied: ZacMcKracken
27.07.2014 um 23:14 Uhr
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge, wenn ich mich an den rechner begebe ....
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber 20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen", was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

...btt...

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows ...

@Motherboard33
defekte platte ist es mit ziemlicher sicherheit nicht, keinerlei S.M.A.R.T.-meldungen, und ich hatte den PC im aufgehaengten zustand auch mal 'nen halben tag stehen lassen, damit er mal "in ruhe" drueber nachdenken kann, ob er nicht doch noch weitermachen will

danke an alle fuer die zahlreichen tips !

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2014, aktualisiert um 08:47 Uhr
Zitat von ZacMcKracken:

ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit
OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber
zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den
ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge,
wenn ich mich an den rechner begebe ....

Obwohl mein Blödsinn nciht darauf bezog, hast Du absolut glück gehabt. Denn driveby-Infektionen benötigen keine Klick und man merkt das nciht sofort. Die sind seltener udn wenn die gut gemacht sind, braucht man medhrere Wochen, bis man die Infektion gemerkt hat, wenn man sie üebrhaupt bemerkt.

natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber
20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen",
was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN

Meine 100% Aussage bezog sich darauf, daß "vertrauenswürdige Seiten" mit "an Sicherheit grenzender Wahrscheinlichkeit" keine Malware verteiln. Was definitiv falsch ist. Über solceh Seiten wird imemr wieder malware verbreitet, und die Leute bekommen das nciht einmal mit. Die Malwre-verbreiter sind inzwischen schlau genug, die Werbung per script so zu gestallten, daß die Kisten, denen die malware "präsentiert" werden sehr gezielt ausgesucht werden.

Daher heitß mit 100% Wahrscheinlichektz, daß diese Netzwerker immer wieder malware den Kisten anbieten. Du kannst natürlich das Glück haben, nie zu den Kisten zu gehören, die das abbekommen.

das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

Auch Addblocker sind fehlbar.

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen
aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy
transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows

Beachte das halteproblem: malwarescanner könen imme rnur sicher Aussagen, daß man sich etwas eingefangen hat. Die können aber nice zweofelsfrei bestätigen, daß man sich nichts eingefangen hat. das evrstehen aber nur die wenigsten.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2014 um 08:48 Uhr
Zitat von ZacMcKracken:

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?

F8 beim booten und Systemstart protokollieren anwählen. Zumindest bei windows.

Unter Unix und Linux kann man einafch den loglevel hochsetzen, wenn die Meldungen im syslog nicht ausreichen.

lks
Bitte warten ..
Mitglied: ZacMcKracken
28.07.2014 um 09:19 Uhr
ah ja - da war ja was
allerdings wage ich fast zu bezweifeln, dass da was hilfreiches zu finden gewesen waere ...
was soll's - haken dran, geht ja wieder
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...