Hallo!

Ich hab schon länger Probleme mit meinem PC!
Und zwar schein ich irgendwas drauf zu haben, was einfach nicht mehr runter will

Habe den PC nun mittlerweile 6 mal formatiert und immer das gleiche Problem. Und zwar kriege ich nach ner Zeit ein Fenster in dem steht: "lsass.exe wurde unerwartet beendet"... Naja und dann startet der PC automatisch neu in 60 sekunden.
AntiVir und AdAware finden überhaupt nix! ComboFix habe auch auch durchlaufen lassen, der hat schon was gefunden und gelöscht hat das Problem an sich aber nicht beseitig. Hier mal mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:52, on 26.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slvcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\mrofinu.exe
C:\Dokumente und Einstellungen\Benutzer\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [slvcm.exe] C:\WINDOWS\system32\slvcm.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E6FD967002BA754E2C28323133A9D26033AAC
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: wmsncs.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{34E158EE-3AFE-4915-A303-76B4FAF2AE1C}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - slserv.exe (file missing)

--
End of file - 3731 bytes

Findet jemand den Übeltäter?:/
Bin langsam echt nur noch am verzweifeln, da selbst formatieren nix gebracht hat!

Achja ich kann auch nicht bei Ausführen regedit anwenden and zum Taskmanager komm ich auch nicht. Da heißt es wurde vom Adminstrator deaktiviert!

Klingt irgendwie nach dem Wurm Sasser.

keine Ahnug, obs den noch gibt.

Aber hier ist jedenfalls ein Fixtool für Sasser

http://securityresponse.symantec.com/avcenter/FxSasser.exe

Mhh hab ich mal durchlaufen lassen, sagt aber dass er Sasser auf dem Computer nicht gefunden hat

Hab jetzte nochmal paar mal ComboFix durchlaufen lassen der löscht mir immer wieder die folgende Datei:
C:\WINDOWS\mrofinu1001186.exe
Was genau ist das? Und wie genau krieg ich die runter
Problem besteht nach wir vor dass Rechner sich immer mit dem Fehler ausschaltet!

Deine Schritte, die du machen solltest:
- Neuaufsetzen
- Vor dem Online-Gang, SP2 offline aufspielen
- Andere Updates durchführen

Dein System ist zu veraltet um da eine Bereinigung vorzunehmen.
Das mit dem Sasser würd mich allerdings bei deinem Systemstand überhaupt nicht wundern.

mfg

Hallo!

Naja das Problem ist ja ich habe schon 6x den PC komplett formatiert!
D.h. von CD aus die Patitionen gelöscht und neu raufgebracht.
Hat aber einfach nicht das Problem selber behoben! Und Ad Aware und Co finden ja nix mehr. Nur Combo Fix löscht das selbe immer.

Und das System ist so veraltet weil der PC veraltet ist.
Hab grad nur SP1 drauf weil ich auf der reboot cd nur 1 drauf hab! Habe es aber auch schon mit SP2 versucht, hat nix gebracht. Problem bliebt, formatieren brachte nix..wie immer

1.) ComboFix solltest du nie auf eigene Hand benutzen!
2.) SP2 kannst du per Zweitrechner oder von einem Bekannten auf CD brennen

Zitat:

Habe es aber auch schon mit SP2 versucht, hat nix gebracht.

So wie du das hier beschreibst, könnte man meinen du denkst es sei ein Wunder-Tool.
Wenn du nach der Anleitung hier formatierst, kann kein Schädling es überleben.
Anscheinend, wenn dein System infiziert bleibt muss eine deiner Backups oder Programme die du aufspielst infiziert sein.

mfg