Systemstart msconfig

#0
15.05.2004, 11:35
Member

Beiträge: 12
#1 Hallo,
ich habe ein Problem mit Win XP.
Wenn ich meinen Rechner hochfahre, bricht er ständig ab und zeigt kurz einen blauen Bildschirm. Dann startet er wieder und wenn ich wieder normalstart bestätige, macht er das wieder. Nach dem 3 mal, startet er normal.
Kennt jemand das Problem?

Ich habe msconfig aufgerufen und da stehen in Systemstart 2 Programme bei denen ich nicht weis ob die da hin gehören.
HoldBait.exe und Nwiz.exe
Haben die was mit meinem Problem zu tun?
Ich Grüße alle im Board
Seitenanfang Seitenende
15.05.2004, 16:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Nimm die HoldBait.exe aud dem Systemstart.
Neustarten und mit deinem Antivirus im abgesicherten Modus scannen
(F8 beim Hochfahren druecken)

poste dein HijackThis, da koennen wir besser helfen.
http://board.protecus.de/t9391.htm
laden, scannen, save, den Text mit der Maus kopieren und ins Forum.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.05.2004 um 17:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.05.2004, 18:58
Member

Themenstarter

Beiträge: 12
#3 Hallo Sabina,
danke für deine schnelle Hilfe :o))
Nachtrag:
Ich kann meinen Rechner nicht im abgesicherten Modus starten.
Er fängt an zu Booten aber es bleibt ein blinkender Balken.
Wenn ich die letzte bekannte Konfig. starte, läuft alles.
Ich habe nur noch ??????? und fühle mich total getillt!!!!!!


Hier ist mein Hijack.
Logfile of HijackThis v1.97.7
Scan saved at 18:55:29, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Dieter1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {1D0AE239-4170-5D26-33B1-E33D90DFCD66} - C:\PROGRA~1\VGARDR~1\atom style.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: BowsCash - {C50544A3-EFAC-7AF1-6485-32F19286D64E} - C:\PROGRA~1\VGARDR~1\atom style.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 15.05.2004 um 19:32 Uhr von Hiob134 editiert.
Seitenanfang Seitenende
15.05.2004, 19:31
Member
Avatar Dafra

Beiträge: 1122
#4 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {1D0AE239-4170-5D26-33B1-E33D90DFCD66} - C:\PROGRA~1\VGARDR~1\atom style.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: BowsCash - {C50544A3-EFAC-7AF1-6485-32F19286D64E} - C:\PROGRA~1\VGARDR~1\atom style.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe

MFG
DAFRA
Seitenanfang Seitenende
15.05.2004, 19:40
Member

Themenstarter

Beiträge: 12
#5 Hallo Dafra,
Was ist den Fixen? ich bin kein Junkie. :o))
gruß
Dieter
Seitenanfang Seitenende
15.05.2004, 20:09
Member
Avatar Dafra

Beiträge: 1122
#6 Makier die Einträge und klick auf den Button Fix Check.
MFG
DAFRA
Seitenanfang Seitenende
15.05.2004, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Fixe bitte auch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {1D0AE239-4170-5D26-33B1-E33D90DFCD66} - C:\PROGRA~1\VGARDR~1\atom style.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab


neustarten


0) Search&Destroy...aktualisieren !
http://www.safer-networking.org/index.php?page=download

1) AdAware laden, updaten (aktualisieren) und scannen.(suche dir free-version)
http://lavasoft.element5.com/german/support/download/

2)...Und von dieser Seite laedst du den CWShredder und scannst ebenfalls deinen Comp.
http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0


3...Dann laedst du dieses Tool und scannst ebenfalls(save to disc.....dann laden....dann die mwav.exe suchen....scannen, loesche dann MANUELL , alles was er dir als<bad< anzeigt.
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm



4)...Nun laedst du ClearProg und saeuberst deinen IE
http://www.clearprog.de/

5)..Dann stellst du unter Internet-Optionen die Startseite neu ein.

6.)...Zum Schluss laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php

7) OnlineScann mit Pestpatrol
http://www.pestscan.com/Scan.asp

Mache noch einen Onlinescann
http://housecall.trendmicro.com/


dann poste das Log noch mal
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.05.2004 um 23:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 13:11
Member

Themenstarter

Beiträge: 12
#8 Hallo Sabina,
wie geht es dir heute?
Erstmal ganz lieben Dank, auch an Dafra.

Ich habe alles durchgeführt, aber die Startprobleme sind immer noch da.
Wenn ich den Rechner neu starte, funktioniert es zu 90% beim ersten mal.
Wenn ich den Rechner ausgeschaltet habe, geht es erst nach dem 3 mal oder nur mit der letzten bekannten Konfiguration.
Was ich vergaß zu erwähnen, ich habe win xp und win 2k auf meinem Rechner.
Win xp auf C und win 2k auf G.
Win 2k läuft immer, da verändert sich nur die Startseite des IE immer.

Logfile of HijackThis v1.97.7
Scan saved at 13:11:21, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Dieter1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich wünsche allen einen schönen Sonntag
Dieter
Seitenanfang Seitenende
16.05.2004, 14:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Du hast 2 C:\WINDOWS\Explorer.EXE auf dem System.

beide auf C\
Ueberpruefe das mal bitte mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

------------------------------------------------------
was "sagt denn dieses Tool ???
...Dann laedst du dieses Tool und scannst ebenfalls(save to disc.....dann laden....dann die mwav.exe suchen....scannen, loesche dann MANUELL , alles was er dir als<bad< anzeigt.
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

hast du schon den Firefox geladen ???
Zum Schluss laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php


----------------------------------------------------------------
im abgesicherten Modus (F8 beim Hochfahren druecken)
Loesche :
HoldBait.exe
und O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
mit der Suchfunktion von Windows und auch in der Registry(Start<ausfuehren<regedit) , falls es da noch ist.
Lade den neusten CWShredder und scanne
http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0

scanne dann ebenfalls im abgesicherten Modus mit dem Antivir.
(vorher aktualisieren)
Und berichte dann (hoffentlich positives....;)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 14:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 16:52
Member

Themenstarter

Beiträge: 12
#10 Ich habe alles noch einmal gemacht.
Außerdem habe ich xpclean laufen lassen und den Datenmüll beseitigt.

Sorry, ich habe noch ein anderes Problem: Mein Netzwerk läuft nicht mehr.
Ich habe eine Lan verbindung über einen Router zu meinem Schwager.
Arbeitsgruppe HOME
Wie kann ich das wieder herstellen?
Hoffentlich Nerve ich euch nicht, hab schon ein schlechtes Gewissen. :o))

Im Augenblick qualmt mir die Birne, ich werde Mogen den Rest testen.

Jetzt wünsche ich allen, besonders meiner beiden Helfern, einen schönen Sonntagabend.
Ich Danke euch.
Bis dann
Dieter
Seitenanfang Seitenende
16.05.2004, 18:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 http://kiz.uni-ulm.de/services/it/netzwerk/hilfe/hilfe.lan.html
http://www.rz.uni-freiburg.de/pc/net/lan/index.php
http://www.uni-konstanz.de/RZ/wlan/funk/w2k/w2kvpn/

Hier wird einiges erklaert, allerdings fuer den Uniserver.
Die Tips helfen jedoch bestimmt, mit DEINEN Daten die Netverbindung wieder aufzubauen.

Und vielleicht findet sich jemand im Forum, der nicht (wie ich Sites empfehlen muss), sondern ruck di zuck, die richtigen Tipps gibt......

;)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 18:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 18:57
Member

Beiträge: 17
#12 Moin,

Die Arbeitsgruppe kannst du unter *Rechtsklick* "Arbeitsplatz" => "Computername" => "Ändern", ändern.

Falls das denn das problem sein sollte ;)

Ansonsten schau mal nach deinen TCP/IP Einstellungen: DHCP (ja/nein - kommt auf deine Routerconfig an)...
Seitenanfang Seitenende
16.05.2004, 20:02
Member

Themenstarter

Beiträge: 12
#13 Hallo DSX,
Rechtklick "Arbeitsplatz"=> " Computername" existiert bei mir nicht.
Netzlaufwerk verbinden oder trennen, das ist das einzige was bei mir steht, außer die ander Obtionen.
Ich habe DHCP eingestellt, darunter lief es immer.
:-)
Dieser Beitrag wurde am 16.05.2004 um 20:02 Uhr von Hiob134 editiert.
Seitenanfang Seitenende