Trojaner-Board - PC fährt rauf und runter

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - PC fährt rauf und runter (https://www.trojaner-board.de/27991-pc-faehrt-rauf-runter.html)

PC fährt rauf und runter

hallo,
habe auch mal eine frage.
unter dem gerätemanager taucht unter der rubrik- andere geräte ein teil auf mit dem namen thtcj00249mx70, steht wohl im zusammenhang mit der nvidia grafikkarte ?!!!!???
war früher nie da und nun fährt der pc rauf und runter, erst runter sofort wieder rauf und ich kriege diese teil nicht mehr weg. deaktivieren hilft auch nicht. shutdown -a eingeben auch nicht . ist nicht nur, wenn ich im internet bin sondern auch so.

hat jemand eine idee ??

Hallo,

hast Du in letzter Zeit neue Treiber installiert? Deinstalliere die Grafikkarte komplett, boote den Rechner dann neu. Bei der Treiber Abfrage den neusten verfügbaren auswählen.
Andere Fehlerquellen sind auszuschließen, Viren etc?

Gruß

Schrulli

hallo schrulli,
die idee hatte ich auch. aber das war es nicht . habe den fehler gefunden. es war der doofe monitor. allerdings fliege ich immer noch oft raus und kriege das tolle blaue bild mit dem hinweis - irql-not-less-or-equal. habe meinen pc schon wieder halbwegs hingekriegt. es liefen nicht mal die antiviren-programme, das funktioniert aber wieder, sofern ich nicht gleich wieder rausfliege. woran kann der absturz denn liegen ? also einen virus habe ich mit sicherheit, den suche ich aber noch.

gruß mona und vorab danke.:)

Hallo,

poste doch mal die genaue Fehlermeldung.

Gruß

Schrulli

hier ist sie:
irql_Not_Less_Or_EQUAL
0x0000000A
0x8005767c
0x00000002
0x00000000
0x804d8f6f

doch Grafiktreiber ? Monitortreiber habe ich neu installiert, seither fährt der rechner nicht mehr rauf und runter, aber ab und zu das blaue bildchen. nein, getrunken habe ich nix.:juul:

lade grad den neuen treiber runter.

gruß mona

Hallo,

installier mal den neuen Treiber. Gibt es bei der Fehlermeldung eine Datei die diese Verursacht? Ansonsten ist sie sehr allgemein und es gibt da viele Möglichkeiten :rolleyes:

Gruß

Schrulli

bekam bevor der bildschirm "blau" wurde immer beim starten des pc´s die meldung nvcpl.dll fehlt. ist doch die für den nvidia-grafiktreiber ??? ich bin blond :lach:

gruß mona

Hallo,

ja die Datei gehört zum Nvidia Treiber Paket, Link.
Also mal einen neuen Treiber installieren.

Zitat:

Zitat von morama

ich bin blond :lach:

Na da musst Du Dir schon ne bessere Ausrede einfallen lassen. :rolleyes:

Gruß

Schrulli

wieso bessere ausrede ? :dummguck:

Hallo,

weil blond != dumm , daher :)

Gruß

Schrulli

meinst du, so dumm blond bin ich garnicht ?:lach:

Hallo,

wen das mit dem neuen Treiber noch klappt, mein ich genau das! :)

Gruß

Schrulli

das scheint zu klappen, aber..................
neues problem: antivirus personal edition scannt ca. die hälfte und dann hält er einfach an. ich kann keinen kompletten scan durchführen um den doofen virus zu beseitigen. seufz. wäre ja langweilig, wenn der pc funktioniert:mad:

Hallo,

Zitat:

Zitat von morama

um den doofen virus zu beseitigen.

Welchen denn?

Gruß

Schrulli

das weiß ich eben nicht, sonst wäre es ja einfach. als ich gestern im netz war wurde das system runtergefahren. es kam so ein graues bild und der hinweiß, dass der pc in so und so viel sekunden runtergefahren wird. das hatte ich damals, als mein pc verseucht war. zudem spinnt auch der internetexplorer. den mach ich auch mal neu.

ne, ne..........

Hallo,

okay, poste ein HiJackThis Logfile, Anleitung in meiner Signatur verlinkt.

Gruß

Schrulli

Logfile of HijackThis v1.99.1
Scan saved at 17:46:51, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Mona\Eigene Dateien\Unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll (file missing)
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MS Office1 Startup] OfficeGUI1.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [MS Office1 Startup] OfficeGUI1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MS Office1 Startup] OfficeGUI1.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135284417655
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135284398295
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1CBB147-6C16-49C7-BDC7-F3D8BFEBE2F3}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: Windows Disk Check (dskcheck) - Unknown owner - C:\WINDOWS\system32\dskcheck.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\programme\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

diese Dateien bei virustotal.com online scannen und das Ergbnis hier posten:

C:\WINDOWS\system32\Userinit.exe
WinDSL_MTU.exe (suchen wo sie liegt)
OfficeGUI1.exe (suchen wo sie liegt)

Wenn Du die Dateien nicht findest, in meiner Signatur ist Rene-Gad´s Anleitung zum sichtbarmachen von versteckten Datein.

Gruß

Schrulli

bin doch blond, fliege wieder ständig raus.
hier neuster fehler im blauen bild:
page_fault_in_nonpaged_aera.

ich versuchs nochmal.

gruß mona

gebe für heute auf. fliege nur raus und finde die officegui1.exe nicht.
neuer tag, neues glück. danke bis hierhin.

mona:party:

a
This is a report processed by VirusTotal on 04/02/2006 at 12:42:02 (CET) after scanning the file "Dateien_mit_Namen_userinit.ex.fnd" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.02.2006 no virus found
Avast 4.6.695.0 04.01.2006 no virus found
AVG 386 03.31.2006 no virus found
Avira 6.34.0.54 04.01.2006 no virus found
BitDefender 7.2 04.02.2006 no virus found
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 04.02.2006 no virus found
DrWeb 4.33 04.01.2006 no virus found
eTrust-InoculateIT 23.71.117 04.01.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 no virus found
Ewido 3.5 04.02.2006 no virus found
Fortinet 2.71.0.0 04.02.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.01.2006 no virus found
Kaspersky 4.0.2.24 04.02.2006 no virus found
McAfee 4731 03.31.2006 no virus found
NOD32v2 1.1467 04.02.2006 no virus found
Norman 5.70.10 03.31.2006 no virus found
Panda 9.0.0.4 04.01.2006 no virus found
Sophos 4.04.0 04.01.2006 no virus found
Symantec 8.0 04.02.2006 no virus found
TheHacker 5.9.7.123 04.01.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 04.02.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06 :: e-mail info@virustotal.com

a
This is a report processed by VirusTotal on 04/02/2006 at 12:47:05 (CET) after scanning the file "Dateien_mit_Namen_winDsl_MTU.exe.fnd" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.02.2006 no virus found
Avast 4.6.695.0 04.01.2006 no virus found
AVG 386 03.31.2006 no virus found
Avira 6.34.0.54 04.01.2006 no virus found
BitDefender 7.2 04.02.2006 no virus found
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 04.02.2006 no virus found
DrWeb 4.33 04.01.2006 no virus found
eTrust-InoculateIT 23.71.117 04.01.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 no virus found
Ewido 3.5 04.02.2006 no virus found
Fortinet 2.71.0.0 04.02.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.01.2006 no virus found
Kaspersky 4.0.2.24 04.02.2006 no virus found
McAfee 4731 03.31.2006 no virus found
NOD32v2 1.1467 04.02.2006 no virus found
Norman 5.70.10 03.31.2006 no virus found
Panda 9.0.0.4 04.01.2006 no virus found
Sophos 4.04.0 04.01.2006 no virus found
Symantec 8.0 04.02.2006 no virus found
TheHacker 5.9.7.123 04.01.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 04.02.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06 :: e-mail info@virustotal.com

Hallo,

Zitat:

Zitat von morama

"Dateien_mit_Namen_userinit.ex.fnd"

was hast Du da gescannt?

Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Gruß

Schrulli

Interessant wäre der Scanreport der officegui1.exe.
Und weil es nicht weh tut, gleich mal noch nen Rootkit Revealer Scan bitte durchführen (während des Scans blos nichts am Computer machen - NICHTS!)

http://www.sysinternals.com/Utilitie...tRevealer.html

hallo schrulli,
war das nicht richtig, was ich gescannt habe ? :headbang:
die officegui1.exe habe ich wohl versehentlich gelöscht. war aber ein bild von unserer digicam.
tja und nun ? bin ich doch zu blond ?

gruß mona

hi mightymarc,
mit dem rootkit revealer klappt auch nicht, genauso wenig wie ein virenscan bzw. kann die dateien downlaoden, aber beim installieren kommt immer eine meldung, das die installation vorzeitig abgebrochen wird usw. die officegui1.exe habe ich gelöscht. :headbang:

Hallo,

nun, mit solchen Einträgen

O4 - HKLM\..\Run: [MS Office1 Startup] OfficeGUI1.exe
O4 - HKLM\..\RunServices: [MS Office1 Startup] OfficeGUI1.exe
O4 - HKCU\..\Run: [MS Office1 Startup] OfficeGUI1.exe

tippe ich nicht auf ein Bild, sondern auf einen Backdoor, daher wollte ich den Scan.
Wenn ich das hier und hier unter der Nr. 4660 nachschau, muss ich Dir zum Neuaufsetzen Deines Systems raten.
Eine Anleitung dazu ist in meiner Signatur verlinkt. Infos, was Backdoors so machen können, findest Du hier.

Gruß

Schrulli

hi schrulli,
vielen dank bis hierhin. ich hatte eh vor den mist neu zu machen. ärger mich schließlich schon lange damit rum. habe gerade ein paar wichtige daten auf cd gebrannt. muss ich vorher noch was beachten ???

gruß mona:schmoll: