PC fährt automatisch herunter "lsass.exe"
 

hi,
seit neustem kommt in unregelmäßigen abstand dieses fenster, welches von 1 min auf 0 sekunden herunterzählt und dann wird der pc neugestartet :koch:
ich habe win xp mit dem service pack 2
blaster ist es wohl nicht, habe von symantec das anti blast durchlaufen lassen, nix gefunden.
kann es sasser sein? wenn ja wie konnt ich mir den holen? normalerweise schließt doch das sp2 alle sicherheitslücken was sasser bzw. blaster betrifft und diesen verwaltungsdienst "lsass.exe" ausnutzt...

help :heulen:

Hallo,

poste bitte ein HijackThis-Logfile.

Den "Herunterfahren-Dialog" solltest du eigentlich so beenden können: Start -> Ausführen-> "shutdown -a" -> Eingabetaste

Seit wann tritt das Problem auf? Rechner neu aufgesetzt? Irgendetwas am System verändert, z.B. neue Software installiert etc.?

ne hijackthis bringt nix, hab schon gescannt mit neuster version, nix böses gefunden alles grün bzw. schild
ja shcon klar dass ich mit shutdown -a das beenden kann wenns kommt, aber ich bin nicht dauernd am pc, ich mach den an, dann emule an und geh dann weg, komm ich wieder hat der pc rebootet :headbang:

verändert habe ich nichts, ich war auf LAN, daher hab ich das ding auch bestimmt, aber ich dachte mit sp2 ist man davor sicher :koch:

Ich kann ja nicht wissen, dass du den Befahl shutdown.exe -a kennst. Du hast es ja nicht geschrieben. ;)

Aber was sollen wir ohne Infos machen?

Ein paar Möglichkeiten, ich weiß natürlich nicht ob du das schon gemacht hast:
Laufende Prozesse kontrollieren, z.B. mit
http://www.sysinternals.com/Utilitie...sExplorer.html oder mit http://www.neuber.com/taskmanager/

Autostarteinträge kontrollieren, z.B. mit http://www.sysinternals.com/utilities/autoruns.html oder mit http://www.niksoft.at/download/startdreck.htm

Einsatz eines Malwarescanners, vorzugsweise eScan.

Hast du alle Updates, die nach SP2 kamen installiert?
War dein PC irgendwann unbeaufsichtigt? Hast du unbekannte Dateien ausgeführt?

im autostart ist nix (msconfig)
und laufende prozesse hat ja hijackthis überprüft
eScan findet auch nix :headbang:
habe alle updates und nein es war keiner an meinem pc, pc war aus wenn ich nicht da war (nur anschaltbar mit einem schlüssel)

was fehlt euch denn an infos?

sue

ich glaub dass es wohl doch kein virus ist, da weder blaster noch sasser auffindbar ist, oder sonstirgendwas :koch:

@Sue
nichts für ungut, aber ein HJT logfile wäre mal einen Anfang, da du mit "dann emule an"arbeitest.
Kann es sein das ein deiner downloads schuldig ist?
chaosman

hm kA, glaube nicht...

nochmal zum logfile, ich hab den doch schon gescanned und es wurde nichts gefunden aber bitte hier nochmal ;)

Logfile of HijackThis v1.99.1
Scan saved at 00:42:43, on 28.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Full Appz\Desktop\YzDock\YzDock\YzDock.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\DAP\DAP.EXE
G:\Steam\Steam.exe
C:\Programme\ICQ Lite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Full Appz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ Lite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit YzDock.exe.lnk = E:\Full Appz\Desktop\YzDock\YzDock\YzDock.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{495726B1-08E2-4D83-8FE2-3C5062186ED1}: NameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE67AEB-BF2F-45C5-8A18-28771FCC3C27}: NameServer = 205.188.146.145
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

hf :)