Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Automatischer Neustart bei Benutzeranmeldung (https://www.trojaner-board.de/31616-automatischer-neustart-benutzeranmeldung.html)

li-chan 23.08.2006 10:42
Automatischer Neustart bei Benutzeranmeldung
 
Hallo!

Ich hoffe, es ist in Ordnung, dass ich einen neuen Thread erstelle. Ich habe lange gesucht, ob ich einen Thread finde, in dem mein Problem behandelt wird, aber die Probleme dort schienen immer wo anders zu liegen.


Das Problem:

Seit einiger Zeit startet mein PC neu, sobald ich mich nach dem Hochfahren als Benutzer anmelden will (Windows XP). Manchmal auch gleich nach dem Hochfahren, manchmal kurz nachdem ich mich angemeldet habe.


Was bisher geschah:

Heute ist er 3 mal neugestartet, vor einigen Tagen habe ich ihn gar nicht hochgefahren bekommen, erst nachdem ich alles ausgesteckt und wieder eingesteckt hatte.

Zudem habe ich heute diese Fehlermeldung bekommen:
"Eine der Dateien mit der Registrierung des Systems musste mit einem Protokoll oder einer Sicherungskopie wiederhergestellt werden. Die Wiederherstellung war erfolgreich."
Jetzt sind z.B. meine Einstellungen der Start- und Taskleiste gelöscht worden und so, wie nach der Installation des Betriebssystems.

Zudem bekomme ich regelmäßig die Fehlermeldung nach dem Hochfahren:
"Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt."

Irgendwann hatte ich mal zwischendurch eine Fehlermeldung mit "LSA-Shell (Export Version)", "NT-Autorität\System" und "(RPC) Remoteprozeduraufruf". (An den genauen Wortlaut kann ich mich leider nicht mehr erinnern.) Als ich im Internet nach diesen Stichwörtern gesucht habe, bin ich darauf gestoßen, dass dies von einem Wurm verursacht wird, der durch eine Sicherheitslücke in Windows reinkommt. Als ich versucht habe, das Patch dafür zu installieren, bekam ich die Fehlermeldung, dass bereits eine aktuellere Version installiert ist.

Im Internet habe ich auch schon bereits gefunden, wie ich eine Neustart verhindern kann, indem ich bei den Einstellungen einstelle, dass bei einem Fehler nicht der ganze PC neustartet. Das hat allerdings nur die ersten Male geklappt. Inzwischen startet er wieder neu und die Ursache des Problems ist damit auch nicht behoben.

Ich habe Ad-Aware suchen lassen und einige Dinge gelöscht, aber das Problem besteht noch immer.

Außerdem habe ich mir eine Testversion von Kaspersky runtergeladen. Aber da es anscheinend eine Beta-Version ist, kann ich die Testversion nicht richtig aktivieren.

Ich weiß nicht mehr was ich tun soll. Ich weiß nicht mal, woran es genau liegt. Ich frage mich, ob ich formatieren muss, was ich nur ungern tun würde...


Ich hoffe, das ihr mir weiterhelfen könnt und bin für jede Hilfe dankbar!


Ich habe auch bereits mit Hijack ein Log erstellt:


Logfile of HijackThis v1.99.1
Scan saved at 11:21:13, on 23.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06

\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

/P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0

\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =

C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2

\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky

Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2

\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http:**update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145024442049
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky

Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION -

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

li-chan 23.08.2006 16:59
Habe das Logfile jetzt im Internet ausgewertet, aber das hat nichts ergeben.
Nur von Intervideo wurde so ein Manager als gefährlich eingestuft, der mich sowieso nur nervt, aber von dem ich nicht glaube, dass er gefährlich ist.

Also liegt es vielleicht doch nicht an einem Virus?

li-chan 26.08.2006 10:29
Heute kam beim Hochfahren wieder die Meldung, dass es einen schwerwiegenden Fehler gab und der PC neugestartet wird.
Das Herunterfahren wurde von NT-Autorität\System ausgelöst.

Gibt es hier denn keinen der mir weiterhelfen kann? Ich weiß gar nicht mehr, an welcher Stelle ich weitermachen soll.
Muss ich hier in ein anderes Forum?

MightyMarc 26.08.2006 15:24
Zitat:
Zitat von li-chan
Das Herunterfahren wurde von NT-Autorität\System ausgelöst.
Das deutet darauf hin, dass ein Dienst den Dienst verweigert und die Fehlerbehandlung greift. Als letzte Instanz ist wohl Shutdown eingetragen.
Sollte es dir möglich sein, so schalte die Fehlerbehandlung von "Remoteprozeduraufruf RPC" um und deaktiviere "Netlogon" (vorausgesetzt Du meldest Dich nicht an einer Domäne an).

1. Start > Ausführen> services.msc
2. Netlogon

Dienst suchen, rechter Mausklick > Eigenschaften > Starttyp "deaktviert"

3. RPC

Dienst suchen, rechter Mausklick > Eigenschaften > Karteireiter "Wiederherstellen"

1. Fehlschlag: Dienst neustarten
2. Fehlschlag: Dienst neustarten
3. Fehlschlag: keine Aktion

Eventuell reicht das schon.

Gruß

Marc

li-chan 14.09.2006 12:06
Vielen Dank für die Tipps!

Aber das Netlogon konnte ich leider nicht finden...
Und "Dienst neustarten" hatte ich schon vorher eingestellt.

Nachdem ich jetzt in Urlaub war läuft der PC auch erst mal wieder fehlerfrei. o_O
Ich versteh's nicht. ._.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131