Anmeldung nur noch mit der klassischen Ansicht möglich!

Hi,
ich möchte zunächst betonen, dass der PC noch funktioniert.
Jetzt zum eigentlichen Thema:
Gestern ist mein Laptop abgestürtzt (ursache unbekannt), danach kam statt des Willkommensbildschirms nur noch die klassische Ansicht und das obwohl in der Systemsteuerung die Anmeldung per Willkommensbildschirm eingestellt ist.
Zunächst dachte ich es wäre irgendeine Art von Schadcode. Aber die Suche mit CA Security Center, Gmer und Avast Home Edition ergab keine Funde.
Jetzt bin ich ratlos . Hat irgendjemand eine Idee was ich noch tun könnte?

Auf dem Laptop läuft Win XP Home

Danke für eure Antworten.

 

Hallo Greacemonkey

Schau mal bei den Diensten nach, ob der Dienst "Designs" läuft.

Gruß
Nevok

 

...sonst noch was installiert?
Will heißen:
"Viele Köche verderben den Brei"

 

@ Nevok
Ja der Dienst läuft.
Und auch bei Systemeigenschaften -> Erweitert -> Systemleistung -> Einstellungen -> Visuelle Effekte -> "Visuelle Stile für Fenster und Schaltflächen verwenden" ist der Haken gesetzt.

@ mike_kilo
Nur CA Security Center ist fest installiert. Gmer und Avast Home habe ich nur temporär Installiert um zu schauen ob die was finden.

 

versuch folgendes:
Benutzerkonten
Start>Einstellungen>Systemsteuerung>Benutzerkonten, deines auswählen und ein Passwort vergeben.
In der Ausführen-Konsole: control userpasswords2 eingeben.
Markiere dein Konto, Checkbox leer lassen bei "Benutzer müssen Benutzernamen und...."
Wegen des Crashs schau in die Ereignisanzeige.

 

Hm eine automatische Anmeldung bringt mir nichts da mehrere Benutzer an dem Laptop sind. (Oder möchtest du auf was anderes hinaus?)
In der Ereignisanzeige habe ich nichts gefunden. Unter welchem Punkt wäre das wahrscheinlich zu finden?

Falls nachfolgendes falsch ist bitte ich um Nachsicht in der Kategorie kenne ich mich nicht so gut aus.
Irgendwo müsste ja die Dateien für die Willkommenseite gespeichert sein. Könnte es sein, dass diese durch den Systemabsturz gelöscht oder beschädigt wurden?

Kann man den Systemstart Protokollieren?

 

Ja, drück beim Hochfahren des PC's mehrmals die F8-Taste und wähle "protokollierter Systemstart" aus:

http://www.windows-tweaks.info/html/bootprotokoll.html

Gruß
Nevok

 

...plausiblerweise zum Zeitpunkt des Crashs.

...als "winlogon"-Werte des HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

...ja, wenn die Option aktiviert ist. Log ist versteckt, als NTbootlog.txt im %SystemRoot%. sichtbar mit > Ordneroptionen....
Vorab zu aktivieren mit Hilfe von msconfig -4 , checkbox "Bootlog", oder beim Booten das <F8> Menü aufrufen.
Und dort gibts u.a. noch die Option Letzte als funktionierend bekannte Konfiguration
und die SWH hast du wohl schon probiert?
und die Diagnosestarts...usw.?
und irgendwelche Tuning-/Systemverbiegeaktionen rückgängig gemacht, welche die Systemdateien vergewaltigen?

 

Ok alles was rausfinden konnte war, dass der Absturz durch einen kritischen Batteristatus ausgelöst wurde. Warum der PC nicht runtergefahren ist kann ich nicht genau sagen.
Zum Winlogon da ist der LogonType auf 1 gesetzt wie es sein soll vielleicht findet ja einer etwas das nich so sein sollte:

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001


"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
  00,00,00
"LogonType"=dword:00000001
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000001


"ChangePasswordUseKerberos"=dword:00000001
"Background"="0 0 0"
"AutoAdminLogon"="0"

Einige Pfad wurden gelöscht.

SWH funktioniert auch nicht.
Hier einmal die Treiber die beim hochfahren nicht gestartet wurden:

Code:

Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\lbrtfdc.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Fdc.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Flpydisk.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Sfloppy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\i2omgmt.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Changer.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Cdaudio.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\DRIVERS\kmxagent.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\VET-FILT.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\VETEFILE.SYS
Der Treiber wurde nicht geladen \SystemRoot\system32\drivers\Wbutton.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\kbdhid.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\PCIDump.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\mailKmd.SYS
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\M9207BDA.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\DRIVERS\kmxagent.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\rdbss.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\mrxsmb.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Serial.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\DRIVERS\kmxagent.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Fips.SYS
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\ipnat.sys

Vielleicht kann einer von euch was damit anfangen.

Und solche Verbiegeaktionen haben auf diesem Laptop nicht stattgefunden.

 

Ich habe gestern noch einen Bericht über Bootkits gelesen. Da das Virenprogramm nicht gefunden hat und auch sonst bisher nichts geholfen hatte habe ich einfach ein mal die Wiederherstellungskonsole ausprobiert.
Gesagt, getan doch jedes mal wenn ich den Befehl fixmbr in die Konsole eingebe geht der Laptop aus noch bevor ich [J] drücken kann.
Hat jemand Ideen dazu?

 

> http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1823.htm

Du meinst Rootkits; was veranlasst dich denn fixmbr auszuführen?
> http://www.free-av.de/de/tools/4/avira_antirootkit_tool.html
Das Abschalt-Verhalten des Notebooks kann ich von fern aus nicht nachvollziehen.
Wenn du zu Hause arbeitest, nimm den Akku raus, und arbeite über Netzanschluss.
Ansonst sorg immer für einen frisch geladenen Original-Akku bei längeren Sessions.
btw:
in dem Log ist nichts auffälliges, das Nichtladen von manchen Systemtreibern ist normal, je nach Hardware und Sys-Konfig.

 

Ich meine durchaus Bootkits: