windows startet und schaltet gleich ab

Hallo,

Mein Laptop fährt normal hoch, Windows XP Pro startet - der Hintergrund ist auf dem Bildschirm, die Meldung "Benutzereinstellungen werden geladen" - und gleich darauf schaltet XP wieder ab ("Benutzereinstellungen werden gespeichert", usw.), ohne das der Explorer richtig in Gang gekommen ist (es erscheinen keine Icons, keine Taskleiste, einfach nix - nur leerer Bildschrim mit Hintergrund). Nach einiger Zeit (Minute oder so) wiederholt sich dieser Vorgang. Im abgesicherten Modus genau dasselbe, nur geht das Ab- und Anschalten dann sehr schnell ("Benutz.einst. werden geladen" wechselt sehr schnel ab mit "Benutz.einst. werden gespeichert").

Davor habe ich nichts besonderes gemacht; der Laptop lief o.k. (na ja). Allerdings war ich sicher, dass seit einiger Zeit schon diverse Malware drauf war. Bei jedem Virus-Scan gab's Warnmeldungen und obwohl ich die Trojaner usw. stets gelöscht habe, waren sie beim nächsten Start wieder da. Irgendwo muss sich eine Quelle befinden, die diese Dinge irgendwie generiert. Mit pandasecurity kam ich erst gar nicht weiter. Da lief der Scan so bis 12%, sprang dann auf 100% und Panda meldete mir fröhlich, dass ich komplett sauber wäre.

Wie denn auch, jetzt kann ich gar nix mehr machen. Ich habe mit der Avira-Notfall-CD einige Scans gemacht. Tatsächlich war einiges an Dreck drauf. Habe ich alles gelöscht. Avira meldet jetzt alles o.k. Habe auch chkdsk /p/r durchgeführt. Ich komme aber nach wie vor nicht in Windows rein, weder normal noch abgesichert.

Ein Hardware-Problem will ich nicht ausschliessen, scheint mir aber nicht vorzuliegen: Vom CD-Laufwerk kann ich ja stundenlang problemlos arbeiten.

Hat jemand eine konstruktive Idee, was hier los sein könnte (bitte nicht "windows neu installieren"!!!)?
Ist da irgendeine kaputte dll oder so verantwortlich?
Ich höre gerne eure Tipps.

Herzliche Grüße,
freewheel

 

>Windows XP Pro

Welches Servicepack ist installiert?

 

SP3 (damals sofort nach Herausgabe installiert).

Ich bin am "werkeln" im Repair-Modus der XP-CD und stelle fest, dass in /windows/system32 einige files(4 -5 Stück) mit abartig langen Namen kreiert werden. Beginnen alle mit "ovsth" und haben dann so 20 bis 30 willkürliche Buchstaben. Eins von denen wurde vom Virenscanner als Malware erkannt, habe sie daraufhin alle gelöscht.

Dann wieder versucht, den Rechner zu starten. Geht immer noch nicht, zurück in Repair-Modus - und siehe da - die Undinge sind wieder da. Das habe ich jetzt 3 mal gemacht. Kommen einfach immer wieder. Wie ich schon sagte, irgendwo muss ein "Malware-Generator" versteckt sitzen.

Gruß, freewheel

 

Das ist ein Dropper, der ständig Malware nach lädt.
http://de.wikipedia.org/wiki/Dropper

 

wunderbar, aber ... wo und wie find' ich den Hund?

 

Wahrscheinlich in c:\windows\system32\

 

Ich denk', ich hab' ihn - den Dropper.
Jedenfalls in ....\system32\drivers sassen ein ovfsth.sys und ein ovfsth.........wvpq.sys (mit ewig vielen Buchstaben). Habe beide gelöscht und ich habe keine neu generierten Dateien mehr.

Ich habe noch diverse anderen Dateien mit mir verdächtig erscheinenden Namen und neueren Datums gelöscht oder umbenannt (z.B. SelfDel.bat, uniq.tll, sf87.....43j.dll, usw. usw.).

Schön. Windows startet aber nach wie vor nicht. Damit bin ich am Ende meiner Fahnenstange.

Vor 1-2 Wochen fing so 'ne Art Instabilität an. Es kam immer wieder mal die Meldung "Internet Explorer hat ein Problem festgestellt und muss beendet werden". Dann auch dasselbe für den Explorer, ebenso für Wordpad. Auch da hatte ich Malware, die ich teilweise löschen konnte. Hat das Zeug etwa irgendwelche wichtige Prozessdateien "angefressen"? Dennoch kam das nicht-mehr-starten-wollen gestern doch sehr überraschend und plötzlich. Mittags lief noch alles prima (mehr oder weniger) und abends ging nichts mehr.

Was kann ich noch tun? Ich habe ja jetzt nur ein abgespecktes DOS (also XP Repair Modus) zur Hand. Es gibt kaum Diagnose- und Repariertools auf dieser Ebene. Was nun? Erbitte händeringend guten Rat (weil Neuinstallation - ich will verdammt sein - mir graut's davor).

Tschüß, freewheel

 

> ... wo find ich ich ...

Prinzipiell muss ein Generator gestartet werden, ergo suche ich nach verdächtigen Autostarts. Hilfreich ist hierbei AUTORUNS von SysInternals. Für den Anfang würde ich bei HKLM/HKCU..\RUN unbekannte Einträge suchen, deren Autostart deaktivieren + entspr. Dateien löschen (in dieser Reihenfolge). - Da Dropping grundsätzlich Binaries beschädigt, würde ich mit dem Sichern von Daten beginnen und neu aufsetzen...

-Ace- (und nächstes Mal wachsamer sein)

______________________

[1] http://www.heise.de/security/Autostarts-unter-Windows--/artikel/49573

 

Mal eine Frage: Was machst du, wenn Windows wieder startet?
Das System ist dann immer noch verseucht und eine vollständige Bereinigung ist nahezu unmöglich. Die Zeit, die dabei drauf geht, kann man auch für eine vollständige Neuinstallation aufbringen, wobei man dann auch sicher sein kann, dass der PC sauber ist, sofern man keine Software aus unsicheren Quellen mehr installiert und nur geprüfte Daten von der alten Installation übernimmt. Wenn ich höre, dass eine Neuinstallation unter allen Umständen vermieden werden soll, wird es sich kaum um unwichtige Daten handeln. Gerade da muss man ein Interesse daran haben, dass sie schnellstmöglich dem Zugriff von Malware entzogen wird und das heißt verseuchtes System nicht mehr starten und Neuaufsetzen.
Oder fehlen Datenträger, um Originalsoftware wieder herstellen zu können?
Das deutet dann auf Software aus unsicheren Quellen, womit ein Neuanfang in die gleiche Seuche führt.

 

Ich habe schon sooo oft eine Neuinstallation gemacht. Bis alles wieder so drauf ist, wie man's möchte, gehen Wochen ins Land. Gar nicht so einfach das alles. Gewisse Treiber muss man vor anderen installieren, muss man aber vorher wissen (weiss ich doch alles nicht so genau). Manche Geräte dürfen nur installiert werden, wenn sie angeschlossen sind, andere wieder nicht. Dann gibt Windows ständig irgendwelche Anweisungen, die man brav befolgt, um dann am Ende zu sagen, dass es nicht geht ("wenden Sie sich an den Hersteller" usw.).

Meine Daten sind nur für mich wichtig. Darum geht's nicht. Meine Erfahrung ist, dass eine Neuinstallation eine Irrsinnsarbeit ist. Dann geht man 2-3mal ins Netz, und schwuppdiwupp, da ist schon wieder Malware drauf, trotz aktiver Virenwächter, trotz aktiver Antispyware, usw., usw. Das geht allen Leute, die ich kenne, ebenso. Viele realisieren sich das nicht mal. Oder sagen "was, Neuinstallation ist doch easy" und dann fragt man "zeig doch mal dies oder jenes" und es heisst "oh, das läuft gerade nicht, und jenes auch nicht, brauch ich aber nicht". Na ja.

Also, da versuche ich doch lieber, das System einigermassen am Laufen zu halten.
Und was bedeutet "Software aus unsicheren Quellen"? Ich habe keine Möglichkeit, das wirklich zu prüfen. Ich hatte mal eine von PC-Welt heiss gerühmte Antispyware drauf. Da lief dann plötzlich einiges ducheinander. Es hat lange gedauert, bis ich die Ursache entdecken konnte.

Natürlich, wenn niemand weiss, wie ich mein Problem lösen könnte, bleibt mir wohl nichts anderes übrig, als XP neu aufzuziehen. Bis dahin hoffe ich noch.......

Gruß, freewheel