Trojaner-Board - Nach WMP11 Start fährt der PC in 60s runter

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Nach WMP11 Start fährt der PC in 60s runter (https://www.trojaner-board.de/48762-wmp11-start-faehrt-pc-60s-runter.html)

Nach WMP11 Start fährt der PC in 60s runter

Hi Leute!

Wie es die Überschrift schon verrät, fährt nachdem ich den Windows Media Player 11 starte, mein PC nach 60s runter.

Habe Kaspersky und HijackThis drüberlaufen lassen, aber nichts verdächtiges wurde gefunden.

Vielleicht kennt ja jemand das Problem?
Leider habe ich über google nichts darüber gefunden.

Bin für jede Hilfe dankbar.

Lg

Kommt da eine Meldung, bevor der PC herunterfährt?
Mach am besten mal einen Hijackthis Log und poste ihn hier. http://www.trojaner-board.de/17493-a...ijackthis.html

Zitat:

Zitat von -SilverDragon-

Das mit dem Herunterfahren ist eigendlich Typisch für den W32 Sasser, ich weiß es aber nicht genau.

Warum postest Du es dann? Der Sasser hat zwar auch die Eigenschaft befallene Rechner runterfahren zu lassen aber da mußte man nicht den MP starten vorher :D

@MG60: Mach auch mal zusätzlich nen scrennshot hier von der Fehlermeldung hierrein. Ich will wissen welcher Dienst da abgeschossen wird. :kloppen:

Zitat:

Zitat von root24 (Beitrag 318647)

Mach auch mal zusätzlich nen scrennshot hier von der Fehlermeldung hierrein.

Spräche etwas dagegen, die Fehlermeldung aus dem Eventlog zu kopieren?

Zitat:

Zitat von MightyMarc (Beitrag 318686)

Spräche etwas dagegen, die Fehlermeldung aus dem Eventlog zu kopieren?

Wenn er das denn kann...:confused:
Nur die Zockerjugend kennt nur noch screenshots :party: :aplaus:

Danke für die Antworten. Sitze gerade am Rechner vom Schwager und weiß noch, das das Runterfahren durch das RPC/NT-AUTORITÄT\SYSTEM ausgelöst wird.
Falls dann doch bedarf am HijackThis-Log besteht, werde ich diesen in 1-2 std posten können. Kenne mich ja auch mittlerweile mit HijackThis aus und meine das dort nichts verdächtiges mitläuft. Poste es aber dennoch.

Screenshot mache ich dann auch noch(als Zocker weiß ich glücklicherweise, wie man sowas macht^^).

Zitat:

Zitat von MG60 (Beitrag 318887)

Kenne mich ja auch mittlerweile mit HijackThis aus .... als Zocker weiß ich glücklicherweise, wie man sowas macht...

Dann wird es Zeit für was Neues:

Start > Ausführen > eventvwr.msc

Dann klicke "1", "2" (entsprechend dem gesuchten Fehlereintrag) und dann "3"
Mit Strg + V hier einfügen. Fertig.

http://www.i-imagehost.com/uploads/6a1c437934.jpg

Gruß

Marc

So hier der Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:25, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-583907252-1592454029-839522115-1004\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-1592454029-839522115-1004\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" (User '?')
O4 - HKUS\S-1-5-21-583907252-1592454029-839522115-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

--
End of file - 3539 bytes

http://i-imagehost.com/uploads/1b3620b040.jpg

Keine eine Ahnung was das sein könnte? :heulen:

Wo ist der Eintrag aus dem Eventlog?

Hallo und Guten Abend,

will mich mal einmischen in die gute Runde. Autorität System der Rechner wird nur im 60sek. Shutdown runtergefahren wenn wichtige Systemproßesse beendet wurden.
Wenn du meinst das dies nicht der Fall ist dann Deinst. WMP und überprüfe per Skandisk die Main.
Ich denke da ist dir mehr geholfen als immer wieder die Leier mit Sasser.

Sag was pasiert, dauert ja net lang.

MFG
Freeman

Zitat:

Zitat von Freeman24 (Beitrag 319315)

...Systemproßesse beendet wurden.

bei Diensten...

Zitat:

Ich denke da ist dir mehr geholfen als immer wieder die Leier mit Sasser.

Von Sasser hat hier niemand geredet. RPC wurde abgeschossen, weshalb erfahren wir uU erst wenn der TO endlich die Fehlermeldung aus dem Eventlog beibringt.

Marc

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7031
Datum: 31.01.2008
Zeit: 11:10:19
Benutzer: Nicht zutreffend
Computer:
Beschreibung:
Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu..

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Hm viel schlauer wird man durch die tollen Ereignisanzeigen auch nicht wirklich :mad:

Ursachen wie ich meine könnten sein:

- verfrickeltes Windows (abgesehen davon daß Windows eh schon versemmelt ist :D)
- Plattenfehler
- Speicherfehler

Mit geeigneten Programmen bitte die Hardware testen. :teufel3:

Zitat:

Zitat von root24 (Beitrag 319521)

Hm viel schlauer wird man durch die tollen Ereignisanzeigen auch nicht wirklich

Da in diesem Fall die EventID nicht weiterhilft, könnte man die zum WMP korrespondierenden Eventlogeinträge suchen und schauen, was dort steht.

Marc