|
Häufige Systemabstürze nach diversen Malwarefunden Hallo Trojanerboarder, mein Rechner stürzt in den letzten Tagen immer häufiger und für mich völlig unberechenbar ab. Hier erstmal die Infos aus "msinfo32": Code: Betriebssystemname Microsoft Windows XP ProfessionalCode: Hier die relevanten Reports von Malwarebytes-Anti-Malware:Code: Logfile of HijackThis v1.99.1Teil 2 folgt, der Text war zu lange... |
Online Scans waren nicht durchführbar. Entweder wurde der IE einfach geschlossen nach wenigen Minuten (bei Panda) oder der Rechner stürzte nach spätestens 30 Minuten wieder ab. ________________________ Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot: Kategorie: Session Manager Änderung: Wert geändert Eintrag: Boot Execute Alte Daten: autocheck autochk*\SsiEfre.e Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\ Da mir das nichts sagt, hab ich das bisher immer verweigert. Antivir hat heute nichts gefunden. allerdings in früheren Scans. hier die Funde: Code: Falls ich was überlesen oder falsch gemacht habe bitte ich um Entschuldigung. Ich komme kaum zum Nachlesen auf Eurem Board, weil der PC dauernd neu hochfährt. Danke im Voraus!!! Christina |
Hi, stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her: Zitat:
Zitat:
Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann. Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen. Zitat:
Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SASW scannen. lg myrtille |
Hi myrtille, danke für die schnelle Antwort zu später Stunde! Zitat:
Hab ich das in meinem Reinigungswahn fälschlicherweise löschen können? Bzw. kann es sein, dass da was Wichtiges falsch erkannt und gelöscht wurde? Zitat:
Wir hatten ein ähhh... Gespräch darüber und ich bin mir ziemlich sicher, dass sowas nicht mehr auf unserem Rechner landet. :D Immerhin darf ich mir jetzt die Tage und Nächte um die Ohren schlagen mit der Beseitigung von diesem Mist! Zitat:
Zitat:
Und mach mich erstmal schlau, was SASW ist... :D |
Hi, hast du die Quarantäne selbst geleert? Wenn ja wär das ärgerlich. Hast du die Windows-CD greifbar? Wenn ja, diese bitte einlegen, dann unter start ->ausführen -> sfc /scannow eingeben. (auf das leerzeichen achten). Dann sollten alle Windowsdatein geprüft und fehlende ersetzt werden. lg myrtille EDIT: und gute nacht. :) |
CD verträgt er überhaupt nicht gerade, da schmiert er sofort ab. Naja, vielleicht gehts ja morgen weiter... danke nochmal und gute Nacht! |
Nachtrag: Vor ca. 1 Woche hat HJT immer Einträge dieser Art produziert mit verschiedenen DeletingD**** Nummern. Alle fanden sich unter 04-Einträgen. O4 - HKCU\..\RunOnce: [SpybotDeletingD8459] cmd /c del "C:\WINDOWS\SchedLgU.Txt" Ich hab das gefixt. Hoffentlich kein Fehler?! Aber vielleicht sagt Euch das noch mehr, wer da wütet im System. |
Da wütet ganz offensichtlich SpyBot. :blabla: Das wäre dann SpyBot wie er versucht Windowsdateien zu löschen: Die SchedLgu.txt gehört zum Taskplaner: Link (und ist nicht lebenswichtig, daher wird die wohl von SpyBot S&D gern gelöscht.) Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner? Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein. Es öffnet sich die Kommandozeile. Gib dort expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe bzw expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast. Theoretisch würde das auch von deiner Windows-CD aus gehen: expand [Laufwerksbuchsabe de CD]:\i386\mdm.ex_ C:\windows\system32\mdm.exe lg myrtille. |
Die Malware-Sachen überlasse ich mal myrtille, aber suche unter c:\minidump nach einer Datei mini*.dmp. Wenn du was findest, hänge sie bitte hier mit ran oder lade sie bei http://www.file-upload.net hoch. |
Zitat:
Ich hab Spybot inzwischen rausgeschmissen. Zitat:
Das Fenster, das sich nach "cmd" öffnet sieht aus wie ein Dos-Fenster. Da steht dann schon drin: C:\Dokumente und Einstellungen\***> Soll ich dahinter diese Zeile eintragen, oder was soll da genau stehen? @DaleCooper: Danke auch Dir für Deine Antwort Ich finde leider (oder Gott sei Dank?) nirgends C:\minidump |
Nachtrag: Ich hab das von Dir empfohlene SAS runtergeladen und laufenlassen und Folgendes hat er gefunden: Code: SUPERAntiSpyware Scan LogChristina |
Hi, lass die beiden Dateien: Zitat:
Das in dem Dosfenster etwas erscheint ist normal, einfach dahinter schreiben. lg myrtille |
Hallo myrtille, leider bin ich nicht sehr erfolgreich in der Umsetzung Deiner Anweisungen. Nach Eingabe des Befehls erscheint folgende Meldung: Fehler beim Öffnen der Eingabedatei: expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe Die Dateien, die ich scannen lassen soll, existieren angeblich nicht. Zu der SFTRUN.EXE existiert nur eine Textdatei und beim Tourenplaner gibt es nur dlls mit folgendem Namen: ....\borlandmm.dll ....\OLEDBPRV.DLL Zudem stürzt der Rechner gerade in einer Frequenz ab, dass ich kaum zum Posten hier komme. Hoffentlich krieg ich das noch eingestellt gleich, ich schreib das alles erstmal im Thunderbird und speichere dauernd, damit ich überhaupt eine Chance hab. Vielleicht hab ich ja auch ein Hardware-Problem??? Danke für Deine Hilfe! lg, Christina |
Hi, und von der Windows-CD aus kann das nicht klappen? Habt ihr einen anderen XP-Rechner von dem ihr die MDM.exe rüberkopieren könntet? Vielleicht würde das auch gehen. Hardware kann natürlich auch sein. Friert der Rechner ein oder stürzt er mit einem BSOD ab? Wenn BSOD, dann poste mal bitte einige der Fehlercodes, damit man sich ein Bild machen kann. Hast du die von SASW gefundenen Dateien löschen lassen? (Dann wäre es normal, dass du ise nicht mehr findest. ;) ) lg myrtille |
Hi myrtille Zitat:
Das hab ich jetzt also nochmal runtergeladen, da ich nicht weiß, ob ich eine solche CD habe und hab das gebrannt. Damit kann Windows aber offensichtlich nicht anfangen. Es wird gemeldet, es sei die falsche CD. :koch: Zitat:
Das könnte ich versuchen und werde das auch tun, wenn ich (s.o.) nicht weiterkomme. Zitat:
Eingefroren ist er vor ca. einer Woche dauernd. Er kann also alles! :) Wenn er nochmal mit Bluescreen abstürzt, poste ich die Fehlercodes. Zitat:
lg, Christina |
Hi, hast du dir das SP3 als ISO-Image gezogen um es auf CD zu brennen? ISO-Datei des SP3 die Datei runterladen und als ISO-Abbild auf CD brennen, dann sollte das mit dem expand auch klappen. lg myrtille |
Hm, selbes Ergebnis. Wahrscheinlich mach ich schon vor dem Brennen was falsch. Muss ich das erst entpacken vor dem Brennen? :o Danke! |
Nein, nur sichergehen, dass du es als ISO-Abbild brennst und nicht einfach als Daten-CD oder sowas. Wenn du nicht auf den anderen Rechner warten willst, kannst du evtl auch nochmal Folgendes versuchen: Wenn die Datei beim SP3 dabei ist, kannst du einfach das SP3 deinstallieren und danach erneut installieren. SP3 deinstallieren, dann Die Vorbereitungsmassnahmen zur Installation durchlesen (insbesondere der Teil über Antivirenprogramme) und SP3 installieren. Ist natürlich um einiges aufwendiger. Hast du sfc /scannow mal versucht laufen zu lassen? lg myrtille |
Zitat:
Ich schau nochmal, ob ich das auch wirklich als ISO gebrannt hab. lg, Christina |
Nix zu machen. Ich hab jetzt 3x gebrannt, immer krieg ich die Meldung, das sei nicht die richtige CD. :( Ich muss in diesem Punkt wohl doch auf das Laptop warten. Ist Dir eigentlich beim HJT-Log was Malignes aufgefallen? lg, Christina |
Abgesehen von der Tatsache, dass deine Hijackthisversion veraltet ist, ist das Log eigentlich sauber. lg myrtille |
Na, das ist ja ein Hoffnungsschimmer! :D Es ist nicht mehr möglich mit dem Rechner zu arbeiten. Jetzt stürzt er quasi im 5-Minutentakt ab. Wir versuchen das morgen mit dem Laptop und der MDM.exe Kann ich sonst noch irgendwelche Hausaufgaben erledigen bis morgen? Vielen Dank für die freundliche Unterstützung bis hierher! lg, Christina |
Hallo myrtille, ich hab die MDM.exe jetzt in das Verzeichnis C:\WINDOWS\ServicePackFiles\i386 kopiert. Ist das richtig, bzw. muss ich die noch ausführen, oder wie gehts weiter? lieben Dank! Christina PS: Heute vormittag gabs keinen einzigen Absturz, heute abend spinnt er wieder total. :koch: |
Hi, die Datei bitte nach C:\windows\system32 kopieren. :) lg myrtille |
soll ich sie aus dem anderen Ordner wieder entfernen? |
Hi, ja entferne die Datei dort bitte wieder. In dem Ordner liegen komprimierte Backups der Dateien aus verschiedenen Patchs und Updates. Die "normale" Datei kann dort nicht viel anrichten. ;) lg myrtille |
Ok, ist erledigt! Was kann ich denn noch machen für die Kiste? Hast Du noch was Auffälliges entdeckt, oder weitere Ideen, was ich tun kann? lg, Christina |
Hi, wenn der Rechner weiterhin abstürzt wären Fehlermeldungen wichtig. Unter Start -> Systemsteuerung -> System -> Erweitert > Starten und Wiederherstellen > die Option "Automatisch Neustart durchführen" deaktivieren, damit man die Fehlermeldung bei einem Absturz auch lesen kann. In den gleichen Einstellungen kann man auch das Verzeichnis für das kleine Speicherabbild einstellen: %SystemRoot%\Minidump entspricht bei einer Standard Installation c:\windows\minidump Der Ordner wird erst angelegt, wenn das erste DumpFile abgespeichert wird. Wenn nach dem nächsten Absturz ein solches File angelegt wird, dann diese bitte anhängen oder hochladen, dann schaut sich Dale das mal an. Ansonsten evtl mal Hardware testen, aber das ist wirklich nicht mein Fachgebiet. lg myrtille |
Hi myrtille, ich hab mal im Ereignisprotokoll nachgeschaut, ob da was zu finden ist und es finden sich u.a. immer die folgenden Einträge im Zusammenhang mit den Abstürzen: Ein aufgetretener Zustand zeigt an, dass die COM+-Anwendung einen instabilen Status hat oder nicht ordnungsgemäß funktioniert. Assertionsfehler: SUCCEEDED(hr) Serveranwendungs-ID: {02D4B3F1-FD88-11D1-960D-00805FC79235} Serveranwendungsinstanz-ID: {943BD93E-612F-4736-8A23-99775717C389} Serveranwendungsname: System Application Da ein schwerwiegender Fehler vorliegt, wurde der Prozess beendet. Fehlercode = 0x8000ffff: Schwerwiegender Fehler COM+-Dienste - interne Informationen: Datei: f:\xpsp3\com\com1x\src\comsvcs\tracker\trksvr\trksvrimpl.cpp, Zeile: 3000 Dateiversion von 'Comsvcs.dll': ENU 2001.12.4414.702 shp ----------------- Es wurde eine leere CRM-Protokolldatei erkannt. Sie wurde neu initialisiert. Falls diese Warnung bei der Erstellung der CRM-Protokolldatei angezeigt wird, ist keine weitere Aktion erforderlich. Serveranwendungs-ID: {02D4B3F1-FD88-11D1-960D-00805FC79235} Serveranwendungsinstanz-ID: {943BD93E-612F-4736-8A23-99775717C389} Serveranwendungsname: System Application Dateiversion von 'Comsvcs.dll': ENU 2001.12.4414.702 shp ------------------- Zudem stand auf dem Bluescreen beim letzten Mal, das Ereignis hänge möglicherweise mit der Datei SNISMDRV.SYS im Zusammenhang ich habe jetzt den automatischen Neustart deaktiviert, aber merkwürdigerweise fährt er trotzdem einfach wieder hoch. lg, Christina |
Hi, die sys-Datei die du nennst gehört zur Fujitsu-Software. Eventuell hilft es, wenn du diese deaktivierst/deinstallierst. Die Fehlermeldung für COM+ ist leider recht kompliziert zu analysieren und weißt (mich) auf keine genaue Ursache hin. Eventuell hilft dir diese Microsoftseite weiter: Link lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board