Ich habe wegen meinem Problem schon ewig gegoogelt, komme aber immer nur auf Foreneinträge von 2004 oder 2005 über irgendwelche Sasser oder Blaster. Die dürfte es mit SP2 gar nicht geben und mein neuer Bitdefender IS 10 hätte sie auch längst finden sollen.
Angefangen hat das ganze als ich aus einem pdf (von seriöser Quelle) heraus einen Link angeklickt habe. Der Rechner wollte Firefox starten, stattdessen kam aber ein Fenster mit dem weißen X auf rotem Grund:
„Das System wird heruntergefahren. Speichern Sie alle Daten…Das Herunterfahren wurde von NT-Authorität\System ausgelöst.
Der Systemprozess \System32\lsass.exe wurde unerwartet mit dem Statuscode -1073741819 beendet. Das System wird heruntergefahren.“
Mein System wurde immer mit WindowsUpdate aktualisiert und mein Bitdefender war auch immer aktuell.
Ich habe mittlerweile mein System mit folgenden Programmen untersucht:
Bitdefender Internet Security 10
Kaspersky Online-Scanner
Symantec Online-Scanner
AVG Antivirus
Avast 4
Stinger
SasserClean (oder so ähnlich) von Eset
Antisasser von Bitdefender
Es wurde absolut nichts gefunden.
Ich kann eigentlich die wichtigsten Programme auf meinem Rechner verwenden, wenn ich zum entsprechenden Zeitpunkt den Befehl ‚shutdown –a’ ausführe. Seltsam ist aber, dass im WindowsTaskManager unter ‚Prozesse’ als Benutzername ‚unbekannt’ steht, obwohl es nur einen Benutzer gibt. Außerdem ist merkwürdig, dass ich im Startmenü nicht die normale Auswahl zum Herunterfahren habe, sondern nur den Button ‚Abmelden’. Über den komme ich dann zwar zum Bildschirm, an dem sich normalerweise ein anderer Benutzer anmelden kann, aber mit diesem Bildschirm hab ich sonst nichts zu tun, weil ja nur ein Benutzer eingerichtet ist. Von diesem Bildschirm aus kann ich dann die Option ‚Ausschalten’ nutzen, allerdings kommt immer der Hinweis: „Andere Benutzer sind zur Zeit an diesem Computer angemeldet. Ein Herunterfahren kann zu Datenverlust führen.“
Was läuft da schief?
Vielen Dank für Eure Hilfe.
Gruß
Philipp
Hi Philipp,
kannst du beim Starten des PC außer deinem bisher benutzten Account noch einen zweiten sehen, an den du dich anmelden könntest?
Kommst du (hast du Administratorrechte) in der Systemsteuerung auf Benutzerverwaltung, siehst du dort einen zweiten Benutzer?
Wenn das alles nichts hilft, besorge dir eine zweite Festplatte, baue sie statt deiner in den PC ein, installiere darauf dein Betriebssystem incl. sämtlicher Viren-&Trojaner-Killer, mach dann die bisherige Platte als zweite rein (statt des CD-ROM-LWs z.B.) und scanne von dem neune System aus diese alte Platte.
Vielleicht findest du dann was?!
Gruß
WB
Hallo Wadlbeisser,
vielen Dank für die schnelle Antwort.
Kommst du (hast du Administratorrechte) in der Systemsteuerung
auf Benutzerverwaltung, siehst du dort einen zweiten Benutzer?
Ich habe nur eine kurze Zeit lang Administratorrechte. Nach einem Neustart kann ich z. B. die Benutzerkonten einsehen oder Programme installieren. Nach einer gewissen Zeit (ich habe da noch kein System entdeckt - erscheint mir völlig willkürlich) habe ich dann keine Rechte mehr und kann z. B. in den Soundeinstellungen nichts mehr ändern oder die (für manche gefundenen Tipps interessante) Systemwiederherstellung nicht ausschalten. Dann kann ich auch das Benutzerkonto-Menü nicht mehr öffnen bzw. bekomme eine Fehlermeldung.
Jetzt gerade hab ich mal nachgeschaut und es ist ein Konto ‚Gast‘ eingerichtet. Das hab ich aber nie eingerichtet - oder ist das standardmäßig eingebaut?
kannst du beim Starten des PC außer deinem bisher benutzten
Account noch einen zweiten sehen, an den du dich anmelden
könntest?
Ich bekomme beim Start von Windows eben nicht diesen Auswahlbildschirm zu sehen. Den kenn ich nur von Bekannten. Daher kenn ich mich mit den Benutzerkonten auch nicht wirklich aus. Kann und soll ich denn dieses Gastkonto löschen? Ich habe keine entsprechende Funktion gefunden.
Vielleicht hast Du ja noch eine Idee, wie man das unterwandern kann, dass sich irgendwas anderes anmeldet. Ein normales Gastkonto könnte ja auch eigentlich dem Administrator nicht einfach die Rechte nehmen. Das wär ja einigermaßen sinnfrei.
Bevor ich den Trick mit der zweiten Festplatte anwende, würde ich aber wohl die hier einfach platt machen und alles neu installieren. Meine nächste Frage wäre dann, inwieweit ich Thunderbird-Profile u. ä. mitnehmen kann oder ob ich davon ausgehen kann, das das alles verseucht ist. Vor allem meine ganzen Sicherungskopien auf der externen Festplatte: kann ich wirklich davon ausgehen, dass die sauber ist, wenn Bitdefender das sagt, er aber noch nicht mal den/die/das VerantwortlicheN für die Spinnereien meines Rechners findet?
Gruß
Philipp
Hallo nochmal,
ich hab im ‚Abgesicherten Modus‘ mal ein bisschen rumprobiert. Sonderlich viel kam bei den Läufen der Antivirensoftware auch hier nicht rum, aber dafür war der Start umso interessanter. Im ‚Abgesicherten Modus‘ kommt nämlich sehr wohl der Bildschirm mit der Auswahl des Benutzers. Und hier gibt es neben meinem Konto noch eins mit dem Namen Administrator. Das taucht in der Sytemsteuerung -> Benutzerkonto aber nicht auf. Hat jemand einen Tipp, wie ich das loswerde? In der Computerverwaltung (Start -> Arbeitsplatz verwalten) hab ich komischerweise unter ‚System‘ keine Option, die etwas mit Benutzerkonten zu tun hat. Sowas hab ich da aber mal gesehen.
Gruß
Philipp
Hi Philipp,
ganz offensichtlich ist dein System kompromittiert / befallen / verseucht …
Das Alles Plattmachen ist natürlich ultima ratio.
Um unverseuchte Datensicherungen zu haben, solltest du dir doch überlegen das mit der neuen Platte und dem neuen System darauf zu machen, dann kannst du davon auch die Datensicherungsplatte prüfen.
Gruß
WB
Hallo Philipp
Und hier gibt es neben meinem Konto noch eins mit dem Namen Administrator.
Das ist normal. Der ist von Windows fix vorgegeben.
Das taucht in der Sytemsteuerung -> Benutzerkonto aber nicht
auf.
Stimmt. Aber geh mal auf ‚Start - Ausführen‘ und gib ‚control userpasswords2‘ ein. Da solltest Du auch den ‚Administrator‘ sehen.
Hat jemand einen Tipp, wie ich das loswerde?
Am besten: Gar nicht. Der ist von Windows vorgegeben und lässt sich AFAIK nicht löschen. Ist auch nicht sinnvoll. Vergib ihm lieber ein fixes Kennwort, so dass Du Dich in Notfällen Du Dich damit noch anmelden kannst.
Eigentlich sollte das der einzige Benutzer sein, der Admin-Rechte hat. Alle anderen sollten sinnvollerweise nur eingeschränkte Rechte haben.
CU
Peter
ganz offensichtlich ist dein System kompromittiert / befallen
/ verseucht …
Das sehe ich anders. Das System ist ganz offensichtlich kaputt, die Ursache dafür aus des Prinzen Ausführungen aber in keiner Weise ersichtlich. Hier kann genausogut eine Dienstekonflikt, verursacht durch eine mangelhafte. aber legitime Software vorliegen wie z. B. auch eine aufgrund eines Plattendefekts zerstörte DLL. Dafür, dass ein Schadprogramm zugeschlagen habe, gibt es keine Anhaltspunkte.
Lediglich deiner Schlussfolgerung, dass ein Neuaufsetzen des Systems die sinnvollste Lösung ist, stimme ich zu. Es spricht aber nichts dagegen, die Daten in ein neuaufgesetztes System zu übernehmen (und sie dann vom frischaufgesetzen Windows aus erneut einer Prüfung zu unterziehen).
Gruss
Schorsch
Hi Schorsch,
Philipp schrieb doch:
Ich habe nur eine kurze Zeit lang Administratorrechte.
Nach einem Neustart kann ich z. B. die Benutzerkonten einsehen oder
Programme installieren. Nach einer gewissen Zeit (ich habe da
noch kein System entdeckt - erscheint mir völlig willkürlich) habe
ich dann keine Rechte mehr und kann z. B. in den Soundeinstellungen
nichts mehr ändern oder die (für manche gefundenen Tipps interessante)
Systemwiederherstellung nicht ausschalten. Dann kann ich auch das
Benutzerkonto-Menü nicht mehr öffnen bzw. bekomme eine Fehlermeldung.
Daraus schließe ich, dass da „Etwas“ auf seinem System läuft, was er - aus diesem System heraus gestartet - nicht sieht und nicht beeinflussen kann.
„Etwas“ hat also seinen PC „übernommen“.
Gruß
WB
Philipp schrieb doch:
Ich habe nur eine kurze Zeit lang Administratorrechte.
Nach einem Neustart kann ich z. B. die Benutzerkonten einsehen oder
Programme installieren. Nach einer gewissen Zeit (ich habe da
noch kein System entdeckt - erscheint mir völlig willkürlich) habe
ich dann keine Rechte mehr und kann z. B. in den Soundeinstellungen
nichts mehr ändern oder die (für manche gefundenen Tipps interessante)
Systemwiederherstellung nicht ausschalten. Dann kann ich auch das
Benutzerkonto-Menü nicht mehr öffnen bzw. bekomme eine Fehlermeldung.Daraus schließe ich, dass da „Etwas“ auf seinem System läuft,
was er - aus diesem System heraus gestartet - nicht sieht und
nicht beeinflussen kann.
„Etwas“ hat also seinen PC „übernommen“.
Daraus schliesse ich lediglich, dass unter bestimmten Bedingungen der lsass-Dienst abstürzt. Was eben kein Indiz für eine erfolgreiche Übernahme ist, sondern schon unter Sasser und Blaster eine Fehlfunktion bei der versuchten (und gescheiterten) Übernahme war. Ich kann nicht ausschliessen, dass der Anlass für den Absturz dieses Dienstes von aussen kommt, halte dies aber für sehr unwahrscheinlich.
Gruss
Schorsch
Mein System wurde immer mit WindowsUpdate aktualisiert und
mein Bitdefender war auch immer aktuell.
Ich habe mittlerweile mein System mit folgenden Programmen
untersucht:
Bitdefender Internet Security 10
Kaspersky Online-Scanner
Symantec Online-Scanner
AVG Antivirus
Avast 4
Stinger
SasserClean (oder so ähnlich) von Eset
Antisasser von Bitdefender
Es wurde absolut nichts gefunden.
lass mal 1-2 antispy-programme durchlaufen…spybot und lavasoft oder so…
lass nicht haufenweise kostenlose online-virenscanner durch. die meinens auch net immer gut…
mfg:smile:
rené