Zum Inhalt wechseln


Foto

Win7 fährt ungewünscht herunter und speichert keine geöffnete Datei


  • Bitte melde dich an um zu Antworten
32 Antworten in diesem Thema

#1 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 27. Januar 2017 - 14:17

Hallo Freunde,

Mein w7 hab ich sogar deswegen komplett neu installiert.
1. os installiert
2. Eset Antivirus
3. malwarebytes
4. ALLE Windows updates
5. vollscan (nix gefunden)

System fuhr 2 mal herunter - einfach so.
Nach Office 2016, Visio 2016 und Project 2013 fährt er häufiger runter.
Manchmal steht da eine msgbox "trojan. .... Decrypt...." (kann es nicht lesen, weil er zu schnell runterfährt.


Frage:
Wie kann ich anhand des Protokolls feststellen, welcher Prozess meine Maschine ausschaltet?

Da steht aktuell nichts, was darüber Aufschluss gibt

Danke im Voraus

#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.791 Beiträge

 

Geschrieben 27. Januar 2017 - 15:40

Moin,

 

erste Anlaufstelle ist die Ereignisanzeige.

 

War der Fehler vor der Neuinstalltion auch schon?

 

Defekte Hardware ist auszuschließen?

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#3 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.294 Beiträge

 

Geschrieben 27. Januar 2017 - 15:53

Manchmal steht da eine msgbox "trojan. .... Decrypt...." (kann es nicht lesen, weil er zu schnell runterfährt.

Ich würde auf einen Verschlüsselungstrojaner tippen...

 

Rechner NICHT mehr einschalten (im Zweifel verschlüsselt er munter deine Dateien während du versuchst herauszufinden was da passiert).

 

HDD Ausbauen, in anderen Sauberen Rechner einbauen. Daten wegsichern und anschließend den infizierten Rechner neu installieren.

 

Wie genau hast du ihn denn neu installiert? Inklusive Formatierung der Festplatte, währen dem Installationsvorgang?


Never argue with an idíot, they drag you down to their level and beat you with experience!

#4 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.791 Beiträge

 

Geschrieben 27. Januar 2017 - 16:45

Ich würde auf einen Verschlüsselungstrojaner tippen...

Den Satz mit dem Trojaner habe ich glatt übersehen.

 

Ich würde eine solche Platte auch NICHT an einen anderen Rechner anschließen, bei uns z.B. geht sowas direkt in den Shredde.

 

Zuhause hilft ein guter, schwerer Hammer ungemein.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#5 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 27. Januar 2017 - 17:09

Unmittelbar nach Installation der meisten updates hat er Rechner wieder damit angefangen

War aber vorher auch so - deshalb hab ichvihn neu installiert.

Vorher formatiert!!!!


Soldbuch denn immer noch ausgehen, dass da iwie ein Trojaner drauf ist?



Weder eset noch mslwarebytes erkennen etwas / auch nicht eset Boot-USB

#6 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 27. Januar 2017 - 18:00

Vermutlich ist deine OS-Installation schon verseucht, oder die Zusatzprogramme die Du uns verschwiegen hast, sind es.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#7 mba

mba

    Board Veteran

  • 892 Beiträge

 

Geschrieben 27. Januar 2017 - 18:07

Woher stammt das Win 7?

#8 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 27. Januar 2017 - 18:26

Win7 ist oem dvd des Rechners 2 Jahre alter pc.
Keine Tools -

os
direkt nach Installation eset
direkt danach malwarebytes
dann erst netzwerkkartentreiber und Anbindung and LAN
dann erst Windows updates direkt von von ms (nicht Wsus)

Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox)

trotzdem hab ich "gehofft", dass eset etwas findet. Negativ. Malwarebytes dito.
dann kamen erstmal keine Neustarts. Etwa 4 Stunden lang. Also Office und visio und Projekt installiert.
Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird)

Sonst ist da nix installiert.


Aufällig: ist die Station gesperrt, fährt er nicht runter. Arbeite ich am pc, da in unregelmäßigen Abständen.

Und wenn ich per Browser online bin, viel häufiger.
Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste.

#9 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 27. Januar 2017 - 18:54

Moin,

 

fährt der Rechner tatsächlich runter, ist das sichtbar, wird das angezeigt (Windows wird heruntergefahren)? Oder stürzt er ab in einen BSoD und startet dann wiedert? Wurde der Neustart nach Fehler schon deaktiviert?


Bearbeitet von lefg, 27. Januar 2017 - 18:55.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#10 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 27. Januar 2017 - 18:57

'Sie werden heruntergefahren' steht da 'manchmal.

Es erfolgt KEIN REBOOT. Das Teil bleibt aus

#11 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 27. Januar 2017 - 19:13

'Sie werden heruntergefahren' steht da 'manchmal.

 

Das ist schon sehr ungewöhlich, "Sie werden heruntergefahren", das habe ich von Windows noch nie gesehen. Normale wäre "Windows wird heruntergefahren."

 

Die Platte wurde also formatiert? Ist klar, Formatieren löscht die Daten auf der Platte nicht wirklich? Falls der Verdacht einer Infektion besteht, man die feststellen will, muss der Rechner von einem anderen Startdatenträger mit OS gebootet werden, vorzugsweise ein Linux, dabei ein Virenscanner etc. Eine andere Möglichkeit wäre ein besonderes Programm zum Formatieren, eines das die Daten in allen Sektoren wirklich löscht, auch Bootsektor und Verwaltungssektoren.

 

Ich hatte das Glück, es mangelte mir nicht an kostengünstigen Platten, mit einer neuem aus dem Regal war das einfacher.

 

Es lag aber nicht immer an der Platte oder einer Infektion dieser, es kannte schon mal des Mainboard oder die BIOS-Batterie sein, oder das Board und die Batterie im Duett.

 

Es half schon mal im BIOS die Defaults zu laden. Eine weitere Möglichkeit, den Reset-Jumper zu benutzen.

 

Wurde an dem Board eventuell am OverClocking gefummelt?

 

Was gibt es sonst noch? Ahja, das Netzteil  wird oft vernachlässigt..

 

Ganz geile Fehler können von den RAM-Modulen kommen. Ob die wirklich fest stecken? Falls es mehrere sind, mal einzeln entfernen. Später einzeln testen an verschiedenen Steckplätzen.

 

Auch defekte Elektrolytkondensatoren können fiese Probleme hervorbringen.


Bearbeitet von lefg, 27. Januar 2017 - 19:47.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 littleStar

littleStar

    Newbie

  • 36 Beiträge

 

Geschrieben 27. Januar 2017 - 19:59

Das ist schon sehr ungewöhlich, "Sie werden heruntergefahren", das habe ich von Windows noch nie gesehen. Normale wäre "Windows wird heruntergefahren."

 

Hast du die Hardware schon mal überprüft - das Teil mit einer frischen Festplatte installiert?

 

Diese Meldung so, kenn ich auch nicht.

 

Ich würde als erstes mit einer neuen Festplatte installieren und beobachten....


a spark in the dark ;)


#13 mba

mba

    Board Veteran

  • 892 Beiträge

 

Geschrieben 27. Januar 2017 - 20:04

... Und ohne Netzwerkverbindung

Bearbeitet von mba, 27. Januar 2017 - 20:05.


#14 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 27. Januar 2017 - 20:22

 

Manchmal steht da eine msgbox "trojan. .... Decrypt....

 

 

Ob das nicht klar ist?


  • littleStar gefällt das

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#15 littleStar

littleStar

    Newbie

  • 36 Beiträge

 

Geschrieben 27. Januar 2017 - 20:36

@lefg 

 

das war mein erster Gedanke - Grusel - da hab ich was böses eingefangen ;)


a spark in the dark ;)