Blackscreen mit ICQ Lite
 

Hi folks,

ich bin relativ neu hier und lange überlegt, ob ich mit meinem Problem hier richtig bin. Ich habe ein sehr merkwürdiges Problem mit dem Messenger ICQ-Lite, das sich wie folgt äußert: sobald ich das Programm öffne, habe ich einen kurzen Blackscreen und der Rechner friert ein. Dieses Verhalten kann ich 100%ig dem ICQ Client zuordnen. Sporadisch ist das Problem auch im Web beim surfen auf einigen Seiten aufgetreten, wo ich es aber nicht konkret zordnen kann. Ich habe das System deshalb neu aufgesetzt, was die Sache jedoch nicht behoben hat. Der Rechner läuft an sich optimal. Extrem schnell, schneller Bootvorgang, alle Spiele laufen perfekt und schnell und meine Anti-Malware Programme zeigen nicht den Hauch eines Befundes. Wirklich nichts, aber auch gar nichts, was mich ratlos macht, denn ICQ kann ich defacto nicht mehr benutzen, obwohl ich dringend brauche. Zur Sicherung meines Systems verwende ich:

Kaspersky Personal Pro (v5)
Trojan Hunter v4.5

die parallel laufen, dazu untersuche ich den PC wöchentlich mit AdAware und Spybot. Betriebssystem ist XP Pro @ Service Pack 2, alle wichtigen Sicherheitsupdates sind installiert. Ein Scan mit eScan erübrigt sich in meinen Augen, da ich die erweiterten Optionen von Kasperky nutze. Hier habe ich auch schon einige Einstellungen im Bereich des Programms versucht. Laut Info in den Kaspersky Foren verursacht der Stealth-Modus Probleme mit allen Messengern (ICQ, MSN). Der Blackscreen taucht aber auch auf, wenn der Netzwerkschutz deaktiviert bzw. Kasperky ganz aus ist.

Weil ich naturgemäß paranoid veranlagt bin, habe ich dann noch Rootkit Revealer über das System laufen lassen, der in den Systemfiles auf einer meiner sekundären Platten einen ganzen Haufen versteckte Dateien gefunden hat. Alle unter:

E:\System Volume Information\_restore{85D6C4E6-4337-4861-AF1B-F238CB440D32}\RP49\

Nach meinem jetzigen Stand also alles Teil der Systemwiederherstellung. Das ist aber bisher auch der einzige Ansatzpunkt, den ich habe. Die Files darin waren alle durchnummeriert:

Start: A0039791
Ende: A0044036

darunter Anwendungen und .dlls, die ich bei der Suche mit Google dann auch einigen Trojanern zuorden konnte. Zumindest auf infizierten Systemen aus diesen Berichten setzten sich die Schädlinge auch in diesem Bereich (immer in A00XXXX.exe Dateien) fest. Ich habe deshalb die Systemwiederherstellung deaktiviert und den ganzen Ordner nach einer Anleitung von Windows Tweaks gelöscht. Vor allem, weil sich dort definitiv Dateien befunden haben, die Daten von vor der Formatierung (vor drei Tagen) getragen haben. Genau genommen verstehe ich nicht, wie sich dort überhaupt Daten von 2005 befinden konnten, da ich das System vor gut fünf Monaten einmal generalüberholt habe: alle Daten gesichert und die Platten mir Maxblast komplett neu formatiert. Theoretisch können Einträge wie dieser:

E:\System Volume Information\_restore{85D6C4E6-4337-4861-AF1B-F238CB440D32}\RP49\A0039915.exe 26.03.2005 08:22 78.78 MB Visible in Windows API, but not in MFT or directory index.

überhaupt nicht drinnen stehen. Woher hat das System diese Info, wenn ich es erst vor drei Tagen aufgesetzt habe? Hier zugegeben ohne die zusätzlichen Platten D: und E: mit zu formatieren, weil dort wichtige Projekte und Daten liegen, für die ich sicher 20 DVDs benötigen würde. Und nur falls nun jemand nach Filesharing-Clients fragen möchte:ich betreue eine Website zu einer Computerspielserie und die Menge an Daten ergibt sich aus meinem Archiv aus dieser Arbeit (Modifikationen, Level, Tools, etc.) Da sammelt sich in vier Jahren einiges an :) Soweit zu meinem kleinen Monolog. Weiter gebracht haben mich alle diese Aktionen nicht. Start ICQ -> Blackscreen und Freeze. Ich dachte, ich beschreibe die Sache lieber ausführlicher, weil ich schon ein paar Tage auf der Fehlersuche bin. Ob ein HJT-Log noch Sinn macht, weiß ich nicht, ich poste es aber dennoch einmal:

Logfile of HijackThis v1.99.1
Scan saved at 12:16:20, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.5\THGuard.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BFFEF89-21FD-4008-8DBC-44F1A9CC7BF9}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo "onliner",

das nenne ich mal eine ordentliche Problem- und Systembeschreibung! Hut ab :aplaus:
Es gibt nur noch wenige die ihr Problem so akkorat und verständich beschrieben.

Leider kann ich dir zu deinem Log nicht viel sagen, da es meiner Ansicht keine Infizierungen aufweist.

Um die "restlichen" Daten daraus zu löschen, gehe wie folgt vor:
Systemwiederherstllung deaktivieren, Neustart, Systemwiederherstellung kann wieder aktiviert werden. (dann sollte aus dem Ordner alles gelöscht werden!)

Ansonsten vermute ich mal das Kaspersky an deinem Problem mit ICQ Schuld ist. (wie du ja auch schon festgestellt hast!) Kann aber auch sein das ICQ einen Speicherfehler hervorruft. Hast du den "automatischen Start" ausgeschaltet, also sprich erscheind annährend eine Fehlermeldung oder "blue screen"?

Hi Sunny,

vielen Dank für die schnelle Antwort. Die Systemwiederherstellung habe ich auf dem beschriebenen Weg deaktiviert und wieder aktiviert. Neustart bei Fehlern habe ich schon seit einigen Tagen aus, allerdings erhalte ich keine Meldung. Kein Bluescreen, keine Stopp-Meldung und leider auch kein Minidump oder etwas ähnliches. Einfach nur der Blackscreen bei dieser einen Anwendung, die vorher einwandfrei gelaufen ist.

Die Idee mit dem Speicher ist mir gestern auch gekommen. Vor allem weil es erst wenige Blackscreens waren und sie sich nun wirklich häufen. Vielleicht sollte ich mal Memtest laufen lassen?

"Blackscreen", evtl. defekte HDD?
Hast du ICQ neu installiert?

Ich denke es kann sich fast nur um einen Hardwaredefekt handeln :crazy:
Softwarefehler werden im schlimmsten Fall immer mit Bluescreens verbunden, und auch nur, wenn diese schwerwiegend sind (systemdateien/treiber).

Versuche doch mal einen alternativen Klienten für das ICQ-Netzwerk zu benutzen, wie z.B. Miranda oder Trillian :daumenhoc

mfg,
Markus

Durchaus möglich, aber ich erhalte bei Tests keine fehlerhaften Sektoren angezeigt und wirklich alle anderen Anwendungen laufen wie geschmiert. Surfen, Multi-Tasking mit Schnellklicken von Proggis in der Taskleiste um die Maschine schön zu stressen und nicht zuletzt Spiele. Das Ding läuft perfekt, bis auf das Problem mit ICQ. An den Programmen (Verseuchung) an sich liegt es meiner Meinung nach nicht. Habe hier testweise aus denselben Downloads (ICQ, MSN, verschiedene andere Software) einen zweiten Rechner ausgestattet und der verhält sich völlig normal. Werde über Nacht mal MemTest laufen lassen.

Nur kurz zur Info: Habe alle Daten gesichert und formatiere dieses Mal alle Platten und zwar gründlich mit einer Neuaufteilung der Sektoren und vorheriger kompletter Löschung aller Daten. Vorher habe ich Maxblast benutzt, was die Formatierung in ca. 20 Sekunden erledigt hat. Also Quickformat und deshalb hingen in den Systemfiles auch noch die alten Daten. Bis Donnerstag/Freitag sollte das neue System stehen (20DVDs brennen war echt ätzend) und wenn die Blackscreens dann immer noch auftauchen, wechsele ich die Hardware Komponenten aus...