Trojaner-Board - Windows 2000 macht unangekündigte Reset's

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows 2000 macht unangekündigte Reset's (https://www.trojaner-board.de/11193-windows-2000-macht-unangekuendigte-resets.html)

Windows 2000 macht unangekündigte Reset's

Hallo

Seit einiger Zeit habe ich das Problem, dass nach einiger Zeit mein Rechner einfach ohne Vorwarnung ein Reset macht. Ich habe einen Virencheck mit dem neuesten AntiVir gemacht, der nur ein Droper gefunden hat, und den natürlich beseitigt. Virenmeldung scheint es auch nicht in der Richtung zu geben...

Mein System:
Windows 2000 Professional SP4
Athlon 1800+; Temperatur: 60-65°C
ASRock K7S8XE; Temperatur: 30-25°C
Radeon 9600 XT FireBlade (scheint auch viel Wärme abzugeben)

Das Sasserproblem hatte auch mal, hab ihn aber am selben Tag noch beseitigt und Hotfix draufgespielt. Seitdem hatte ich damit keine Probleme mehr damit. W2k Nachrichtendienst ist abgeschaltet.

Grüße

Ortwin

@Ortwin1st
poste bitte ein Hijackthis logfile
download anleitung

chaosman

ok. Hier bitte:

Code:

Logfile of HijackThis v1.99.0

Scan saved at 15:59:48, on 25.12.2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINNT\System32\DRIVERS\CDANTSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINNT\htpatch.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\1&1 Programme\cFos1\cFosDNT.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Winamp\winampa.exe

C:\WINNT\system32\internat.exe

C:\programme\onlinebuddy\onlinetimer.exe

C:\Programme\Outlook Express\msimn.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe

O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos1\cFosDNT.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [OnlineBuddy] c:\programme\onlinebuddy\onlinetimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm

O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm

O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe

O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...known&unknown&

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) - 

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - 

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Hoffe, es hilft.

Ortwin

@ Ortwin1st

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\programme\onlinebuddy\onlinetimer.exe
C:\PROGRA~1\NetAnts\NetAnts.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

teile uns das Ergebnis der Überprüfung mit.

SD

onlinetimer: Das ist mein Gebührenzähler. Der gibt mir immer an, wieviele Freimunten ich habe und bei Überschreitung wieviel es kostet.

NetAnts: Das ist mein Downloadmanager. Einfach mal danach googlen. (verwende ich nur bei großen downloads, d. h. ist im Moment nicht ausgeführt)

Sony: Das dürfte NetMD sein. Dazu gehört noch Sonic-Music Stage. Damit überspiele ich Musik auf meinen Tragbaren MiniDisc.

Trotzdem noch überprüfen? :)

@ Ortwin1st

wenn diese Einträge bekannt sind und Du weisst, dass sie kein Malware enthalten, sind sie in Ordnung. Wenn ich alle unbekannten Einträge auf Systemen selbst nachgooglen soll, wird aus meinem Support hier am TB eine Lebensaufgabe, die etwas mehr Zeit kostet, als ich dafür einzusetzen bereit bin. Es ist Dein System, das Schwierigkeiten macht, also ist es auch Deine Aufgabe, selbst herauszufinden, was Schwierigkeiten verursacht. Ich kann Dir nur Tips geben, was eventuelle Schwachstellen betrifft.

Vielleicht lädst Du Dir den eScan runter, liest Dir die Anleitung genau durch und untersuchst Dein System damit in der vorgeschriebenen Weise.

SD

Ich hab mal das tool durchlaufen lassen, und dabei das entdeckt:

Code:

File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 

File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 

File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 

File C:\WINNT\system32\firewal1.dat infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
 

File C:\WINNT\system32\MSlti32.exe infected by "Backdoor.SdBot.ma" Virus. Action Taken: No Action Taken.
 

File C:\WINNT\system32\ssms.exe infected by "Backdoor.Rbot.l" Virus. Action Taken: No Action Taken.
 

File C:\WINNT\system32\wuamgrd.exe infected by "Backdoor.SdBot.jt" Virus. Action Taken: No Action Taken.
 

File C:\WINNT\system32\wupdate.dat infected by "Backdoor.SdBot.kn" Virus. Action Taken: No Action Taken.

Im Autostart (registry: ...\currentversion\run) sind keine einträge von dem zu finden.
Wie sollte ich am besten fortfahren?

Ortwin

Guck mal unter Arbeitsplatz->Eigenschaften->Erweitert->Starten und Wiederherstellen ob bei Systemfehler Automatisch neu starten aktiviert ist.
edit: Ich hatte dein gerade gepostetes Log nicht gesehen, damit sieht es sowieso anders aus.

WOW.

Danke danke danke!!! Du hast Recht. Das ist bei mir aktiviert.

BTW: Ich habe auf einer anderen Partition WinME laufen. (Halte ich vom Internet fern!) Diese Neutstarts kommen bei Win2000 meißstens dann, wenn der Prozessor ziemlich ausgelastet ist. Wenn der Prozessor bei WinME ziemlich ausgelastet ist, kommen dort Bluescreens.
Stimmt vielleicht etwas mit meiner Hardware nicht?

EDIT: Ich hatte früher immer ein Duron 800 drinnen. Dann habe ich von einem Kumpel ein AMD 1800+ geschenkt bekommen. Der war mal übertaktet, und habe ich vor dem Einbau von den Kontaktüberbruckungen gereinigt.
Würde vielleicht eine bessere Kühlung helfen? 65°C ist nicht hoch, aber vielleicht würde es die Fehleranfälligkeit reduzieren?

Mir ist einmal die Elektronik vom Ventilator kaputt gegangen, und habs nicht bemerkt. Der PC ist 3 Stunden gelaufen, bis W2k eingefroren ist. Der Duron hatte eine Temperatur von über 90°C, und das unglaubliche, er hat danach noch immer einwandfrei funktioniert!

Grüße

Ortwin

Aufgrund der Kompromittierung durch diverse Würmer mit Backdoor Funktionalität, wäre dies schnellstmöglich anzuraten: http://www.trojaner-board.de/showpos...28&postcount=2

Punkt 2 enfällt bei dir als Win 2k User.
Achte darauf, dass Punkt 1 und Punkt 4 VOR der ersten I-net Verbindung abgearbeitet sind, erst danach kannst du mit Punkt 3 weiter fortfahren und die Liste dementsprechend abarbeiten.