Plötzlich zahlreiche Programme geöffnet. Fullscreen, keine Fehlermeldung.

[AccountPasswort]

Ich habe gerade etwas ganz komisches erlebt.

Firefox ist an (versch. Seiten offen)
Internet ist connected
Ich mache gerade einen Track mit Musikprogramm

Aber wie aus heiterem Himmel haben sich plötzlich ganz viel Programme geöffnet...
- Rechner
- Grafikarten Oberfläche
- irgendwas mit NI$...
- FreeAlarmClock

Das vorderste Fenster war weiß mit einer kleinen Uhr unten links... (Auch die FreeAlarmClock war im Fullscreen plötzlich offen)
Aber es war kein Fenster zum ausschalten.

Mit Win+Tab konnte ich die offenen Fenster durchschalten, einge Fenster warennur weiß ohne was drin, mit einem der F- Tasten konnte ich einige Progrmme schließen.

Der Prozess-Manager zeigte aber keinen neuen geöffneten Proramme an.

Der Taskmanager mit STRG+Alt+Entf. führte wieder zu dem weißen Fullscreen mit der kleinen Uhr. Quasi hat sich dieses immer vorgedrängelt.

Habe kein Neustart gemacht nur, Internet gekappt.

Jetzt weiß ich nicht weiter hat jemand sowas schon gehabt?
Ich mach jetzt offline diverse Scans und schaue gleich nochmal rein.

 

[mykoma]

Seltsames Phänomen, bisher so noch nicht erlebt.
Berichte mal, was die Scans ergeben haben, wobei ich mir da die Frage stelle: wenn es Malware/Schadsoftware ist: warum macht die eine handvoll Programme auf?
Viren/Trojaner/Würmer/etc. sind ja eher darauf ausgelegt verborgen zu bleiben.

Ist das evtl. nur eine sehr aufdringliche Internetseite?
Habe vor 2 oder 3 Jahren mal eine erlebt, die sich in einem separaten Fenster im Vollbild als Ransomware ausgegeben hat (also auch ohne Taskleiste, etc).

 

[AccountPasswort]

Avast sagt nix
Malewarebytes sagt nix
Highjackthis hab ich auch aber nichts auffälliges

Die Grafikeinstellung war verändert.
Die Ereignissanzeige könnten was ergeben.

Beim Starten der Sitzung "Circular Kernel Context Logger" ist der folgende Fehler aufgetreten: 0xC0000035.

-> Mehrmals aufgetreten (2-3 mal pro Sekunde)

Dem Computer wurde (vom DHCP-Server) keine Adresse aus dem Netzwerk für die Netzwerkkarte mit der Netzwerkadresse 0x60E32713D0CB zugewiesen. Fehler: 0x79. Der Computer versucht, weiterhin selbständig eine Adresse vom Netzwerkadressserver (DHCP-Server) abzurufen.

Der Desktopfenster-Manager wurde mit dem Code (0x40010004) abgebrochen.

Die Beschreibung für die Ereignis-ID "0" aus der Quelle "igfxCUIService1.0.0.0" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Logoff: Test

Mehr hab ich nichts an Infos...diese waren in etwa dem Zeitraum

ProcessHacker und Prozess-Explorer zeigen aktuell keine mir unbekannten Prozesse.

___

Als bemerkte das nichts mehr ging habe ich mich abgemeldet.
Nach der Neuanmeldung war alles wie beim alten.
Winlogon passt auch zum Ereigniss

 

[Sebbi]

1. ein gut gemachter Virus versteckt sich sofort vor AV / Malware Scannern bzw macht diese unschädlich
2. Neuinstallation wird sa das beste sein

 

[AccountPasswort]

Ist es denn ein Virus?
Bedenke dass wir hier Windows haben dass auch ohne Virus eine Make haben könnte.
Glaube kaum dass ich einen bisher "unbekannten" Virus hätte...möglich ist es trotzdem.

 

[mykoma]

Die Frage kann dir keiner mit 100%iger Sicherheit beantworten.

Wie schon geschrieben, für einen Virus/Wurm/Trojaner ein sehr untypisches Verhalten, die tendieren zum Verstecken.

 

[AccountPasswort]

Ja dann lasst ihn uns finden?

 

[Joker775]

Dann fange doch schonmal an, wir kommen dann später dazu

 

[Madman1209]

Hi,

ganz doofe Frage, aber dass auf deiner Tastatur irgendwie eine Taste verklemmt war und deswegen irgendwas die Programme geöffnet hat kann nicht sein? Festplatte und Speicher sind in Ordnung? Irgendwelche "Optimier"-Tools installiert?

Ja dann lasst ihn uns finden?

Schadsoftware sucht man nicht, Schadsoftware entfernt man. Und zwar idealerweise mit dem Einspielen eines Backups oder dem sauberen Neuaufsetzen. Ein kompromittiertes System frickelt man nicht wieder irgendwie hin.

VG,
Mad

 

[chrigu]

hast du vor dem phänomen ein programm/tool neu installiert? solche fenster-aufmach-von-selber ist typisch für ein fern-zugriff (remote desktop)... bei der installation eines "nicht gekauften tools" oder cräck kann das windows remote aktiviert werden ohne das ein virenschutz anspringt... ist ja von windows selber..

 

[alxtraxxx]

Abgesicherten Modus probiert/Autostarts deaktiviert und dann mal getestet ob es immer noch auftritt?

solche fenster-aufmach-von-selber ist typisch für ein fern-zugriff (remote desktop)...

Echt? Welcher Trojaner verrät sich denn selbst so offensichtlich? Standardmässig kann mit RDP immer nur 1 Benutzer angemeldet sein,
also würde lokal nur der Loginscreen zu sehen sein

 

[chrigu]

aber mit rdp kannst du ein script starten, z.b. programme starten oder webbroswer fenster öffnen usw... so zum spass.

 

[acidarchangel]

Hatte evtl. jemand anderes in letzter Zeit Zugang zu deinem Rechner? Vielleicht hat sich ein Bekannter nur einen schlechten Scherz erlaubt und irgendwo ein entsprechendes Script versteckt Wäre die "angenehmste" Lösung.

 

[alxtraxxx]

Oder vielleicht ausversehen (wenn möglich) auf Maus oder Tastatur ein Makro aufgenommen wäre theoretisch auch noch ne Lösung

 

[AccountPasswort]

Ich muss das hier kurz einfrieren, weil Crossposting...
Melde mich später mit gewünschten Infos.

 

[AccountPasswort]

Der Grund is weiterhin ungeklärt, war bisher einmaliges Ereignis. Have Avast entfernt und bisschen geputzt.
Keine Ahnung.

Denke ich selbst habe das nicht verursacht.