Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PC Fährt ständig runter! (https://www.trojaner-board.de/60419-pc-faehrt-staendig-runter.html)

X0n3 21.09.2008 22:56

PC Fährt ständig runter!
 
hallo liebe Community

ich habe folgendes problem, mein PC geht ständig ohne vorwarnung aus (ohne fehler meldung etc.)....ich habe meinen PC auch schon formatiert aber das problem besteht immer noch!

ich habe auch schon bereits AntiVir und Ad-Ware von Lavasoft durchlaufen lassen, beide programme haben infizierte dateien gefunden. ich habe alle infizierte dateien die gefunden wurden gelöscht aber der PC geht immer noch ohne vorwarnung aus!

im abgesicherten modus allerdings passiert dies nicht, woran könnte es liegen?

EDIT: daten zu meinem PC:

Win XP Home Edition
512mb DDR
Nvidia GForce 6600GT 256mb
Pentium 4 2.8Ghz

SystemPro 22.09.2008 01:04

Checke den Eventlogger von Windows, ist der Computer am Netz beim Hochfahren?

myrtille 22.09.2008 01:09

Wie wärs wenn du uns mal die Logs von Avira und Adaware postest um uns überhaupt ne Chance zu geben zu erkennen, was deine Abstürze verursachen kann.

Geht der Rechner aus oder startet er neu? Wie lange ist der Rechner an bevor er abstürzt? Wie lange hast du es im abgesicherten Modus getestet?

Welches Service Pack ist installiert?

X0n3 22.09.2008 09:44

also zu der 1. frage

ja mein PC is beim hochfahren bereits online

zu frage Nr. 2, 3, 4 & 5:

2. der rechner fährt nicht runter, er schaltet sich einfach aus.
3. der rechner schaltet sich unterschiedlich ab, manchmal bleibt er 5 minuten stabil manchmal aber auch nur 2 minuten.
4. im abgesicherten modus war ich schon bereits 7 stunden online.
5. ich habe service pack 2 installiert.

X0n3 22.09.2008 09:57

alles was Ad-Ware gefunden hat (AntiVir läuft noch):

Infections Found
===========================
Family Id: 725 Name: Tracking Cookie Category: DataMiner TAI:3
Item Id: 600000447 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat apmebf.com S /
Item Id: 600000234 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat tradedoubler.com TD_POOL /
Item Id: 600000234 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat tradedoubler.com TD_UNIQUE_IMP /
Item Id: 600000234 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat tradedoubler.com TD_PIC /
Item Id: 600000234 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat tradedoubler.com TradeDoublerGUID /
Item Id: 600000234 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat tradedoubler.com TD_EH_0 /
Item Id: 600000276 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat www.etracker.de etcamp[0] /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat adserver.trojaner-info.de OAID /
Item Id: 600000212 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat msnportal.112.2o7.net s_vi /
Item Id: 600000459 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat adfarm1.adition.com UserID1 /
Item Id: 600000263 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat mediaplex.com svid /
Item Id: 600000542 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat ivwbox.de i00 /
Item Id: 600000225 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat weborama.fr oo153004 /
Item Id: 600000225 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat weborama.fr AFFICHE_W /
Item Id: 600000179 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat atdmt.com AA002 /
Item Id: 600000144 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat doubleclick.net id /
Item Id: 600000295 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat adtech.de JEB2 /
Item Id: 600000295 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat adtech.de nugghimeprof /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat adserver.71i.de NGUserID /
Item Id: 600000142 Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Xone\Cookies\index.dat de.sitestat.com s1 /idgcom-de/pcwelt/
Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0
Item Id: 1 Value: MRU Path: C:\Dokumente und Einstellungen\Xone\Recent Count: 2
Item Id: 3 Value: MRU Registry Key: S-1-5-21-57989841-115176313-725345543-1004\Software\Microsoft\Internet Explorer\TypedURLs Count: 6

X0n3 22.09.2008 10:05

und hier von AntiVir, hab ich aus dem Protokol von AntiVir kopiert.

Beginn des Suchlaufs: Sonntag, 21. September 2008 17:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '16' Prozesse mit '16' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Xone\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKF453AW\3001-8022_4-10844457[1].htm
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Sonntag, 21. September 2008 18:51
Benötigte Zeit: 1:27:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

4583 Verzeichnisse wurden überprüft
211748 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
211746 Dateien ohne Befall
1973 Archive wurden durchsucht
1 Warnungen
1 Hinweise

ich hoffe ihr könnt damit etwas anfangen:)

X0n3 22.09.2008 16:53

Zitat:

Zitat von SystemPro (Beitrag 376092)
Checke den Eventlogger von Windows, ist der Computer am Netz beim Hochfahren?

wie mach ich das?

X0n3 23.09.2008 23:15

Hilfeeee!!!!!

myrtille 24.09.2008 01:46

Hi,

den Eventmanager findest du unter Start->Systemsteuerung->Verwaltung->Ereignisanzeige

Vergleiche Fehlermeldungen mit den Uhrzeiten der Abstürze. Wenn du wiederkehrende Fehlermeldungen findest, könnten diese Ursache für dein Problem sein.

(manchmal soll bei solchen fragen ja google helfen. :p )

lg myrtille

X0n3 26.09.2008 12:33

also es werden mir dort viele warnungen mit folgendem inhalt gezeigt

Quelle: WinMgmt
ereignis kennung: 5603
Typ: Warnung
"Ein Anbieter NcsCoreImp wurde im WMI-Namespace Root\IntelNCS registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie"


Quelle: WinMgmt
Ereigniss kennung: 63
Typ: Warnung

"Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

Quelle: UserNV
Ereigniss kennung: 1517
Typ: Warnung

"Die Registrierung des Benutzers "CHRISTIA-C231FF\Xone" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie"

und als letztes

Quelle: EventSystem
Ereignis kennung: 4356
Typ: Warnung

"Das COM+-Ereignissystem konnte keine Instanz des Abonnenten partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} erstellen. CoGetObject gab HRESULT 80070422 zurück.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

X0n3 26.09.2008 12:52

Quelle:Service Control Manager
Ereignis kennung: 7026
Typ: Fehler

"Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
Fips
intelppm
IPSec
MRxSmb
NetBIOS
NetBT
RasAcd
Rdbss
Tcpip

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie"


Quelle: Service Control Manager
Ereignis kennung: 7001
Typ: Fehler

"Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Ein an das System angeschlossenes Gerät funktioniert nicht.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

Quelle: DCOM
Ereigniss kennung: 1005
Typ: Fehler

"Bei DCOM ist der Fehler "Der Dienst kann nicht im abgesicherten Modus gestartet werden. " aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

Quelle: Ntfs
Ereignis kennung:55
Typ: Fehler

"Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie chkdsk auf Volume "D:" aus.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

ich versteh da nur bahnhof :heulen:

aber dieses "chkdsk" auf Volume "D:" macht er schon automatisch beim hochfahren?!

myrtille 26.09.2008 13:00

Hi,

ja, du solltest bei einem chkdsk aufgefordert werden neuzustarten, allerdings nur wenn es sich um deine Systemplatte handelt.
Ansonsten kann der Scan auch direkt ausgeführt werden.


lg myrtille

Dr. TripleX 26.09.2008 21:19

Wenn ich mich da mal einhaken darf ... habe dasselbe Problem, nur mit einer anderen Fehlermeldung. :( Dachte erst an eine Wiederkehr von Sasser&Co, aber die Lücken sind ja seit 2004 gepatcht.
Dank Eurer Hinweise hab ich den Übeltäter in der Ereignisanzeige ausmachen können:

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7031
Datum: 26.09.2008
Zeit: 21:37:43
Benutzer: Nicht zutreffend
Computer: ####
Beschreibung:
Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu..

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

---------------------------------------------------------

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7031
Datum: 26.09.2008
Zeit: 20:34:34
Benutzer: Nicht zutreffend
Computer: ####
Beschreibung:
Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu..

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

D.h. mein Pc startet jetzt stündlich neu. :twak: Bei Microsoft fand ich unter dem Ereignis den hilfreichen Hinweis dass ich das aktuellste Windows 2000 SP installieren soll! :uglyhammer: (habe XP Prof mit SP3)

Ich kann den Fehler leider nicht weiter eingrenzen, erkenne nicht welcher Hard-/Softwarefehler vorliegt und wie ich das fixen kann. :(

Ist zwar evtl. nicht ganz Euer Spezialgebiet, aber manchmal helfen ja auch kleine Einfälle weiter ...

Danke!


PS: Hier noch der Link zur MS-"Hilfe"seite: http://support.microsoft.com/kb/327148/en-us


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131