Rechner fährt plötzlich ´runter

#1 Nach einem erfolglosen Posten in einer anderen Rubrik, will ich es hier noch einmal versuchen.

Seit ca. einem Jahr schaltet sich mein Rechner einfach unvorhergesehen aus und fährt wieder hoch. Manchmal sehe ich kurz einen Hinweis, daß er sich abschaltet oder erhalte eine Meldung, die etwas von einem „Autoritätsproblem“ besagt, und weiter sinngemäß, „speichern sie alle Dateien, der Rechner muß jetzt heruntergefahren werden“, mit einem bei 60 Sekunden beginnenden Countdown, der in dieser Meldung herunterzählt. Das alles hatte auch eine komplette Neuinstallation nicht geändert. Bzw. das „Problem“ wurde wieder neu mitinstalliert.

Der PC läßt sich nicht mit „herunterfahren“ ausschalten, er fährt zwar `runter, startet aber immer wieder neu.

Ich habe zufällig diese Datei unter „Systemprozesse“ entdeckt, die offenbar nicht immer aktiv ist: c:/windows/system32/lsass.exe. Was bedeutet die? Nachdem ich sie über Prozeß beendet deaktiviert hatte, erschien die oben genannte Meldung mit Countdown.

Offenbar hängt mit dem plötzlichen Abschalten auch das Abspielen von avi-Dateien, also mit Videos, zusammen, wobei es öfter passierte.

Habe die Programme „Antisasser-EN.exe“, „FxSasser.exe“ durchlaufen lassen, ohne daß ein Wurm gefunden wurde

Wie könnte man das Problem beheben?

Wäre dankbar für Hilfe, nette Grüße, Dirk
__________
Win 11 22H2

#2 Hi,

lsass.exe ist der lokale Sicherheitsdienst von Windows und ist Ziel von Sasser oder Beagle.

Wie hast Du den Rechner neu aufgesetzt?
Backup eingespielt oder komplett formatiert, alles aufgespielt und dann mit Firewall update (Windows) gefahren?

Ein nicht geschützter Rechner (ungepached und ohne Firewall) überlebt nicht einmal 10 Minuten passiv im Internet, dann machen sich nette kleine Gäste breit!

"shutdown -a" sollte das Runterfahren aufhalten (Start, Ausführen);

Schau mal hier:
http://sasser.klaffke.de/

Wenn Du nichts findest, dann bitte wie folgt vorgehen:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

#3 Vielen Dank.

<<<<<<Wie hast Du den Rechner neu aufgesetzt?
<<<<<<Backup eingespielt oder komplett formatiert, alles aufgespielt und dann mit Firewall <<<<<<update (Windows) gefahren?

Hat jemand anderes: komplett formatiert, alles aufgespielt, mit seinerzeit, also im letzten Jahr, aktuellem Service Pack 2. Nein, Firewall verwende ich nicht, bis vor einigen Tagen jedenfalls, seit dem habe ich Zone Alarm, die Win Firewall habe ich nie (bewußt) benutzt.

Alte Daten wurde wieder `raufgespielt, ich glaube aber nach einem Virenscan, so daß alte Viren nicht mit ´raufgekommen sein sollten.


Ein nicht geschützter Rechner (ungepached und ohne Firewall) überlebt nicht einmal 10 Minuten passiv im Internet, dann machen sich nette kleine Gäste breit!

<<<<<<< Ist ja unglaublich! Werde also nachher mal Kaspersky installieren, habe hier eine Version mit Lizenz, so daß die neuesten Viren etc. wohl upgedated werden können.

<<<<"shutdown -a" sollte das Runterfahren aufhalten (Start, Ausführen);

Das Hinweisfenster mit dem von 60 Sekunden abwärtszählenden Countdown, sehe ich in den meisten Fällen nicht, da schaltet sich der Rechner einfach aus von einer Sekunde zur anderen.


<<<<Schau mal hier:
<<<<http://sasser.klaffke.de/

Habe ich getan, danke.



<<<<Wenn Du nichts findest, dann bitte wie folgt vorgehen:

Nichts gefunden (winlogon.exe, die gehört wohl nicht zu den schädlichen)



http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Kommen hier:

xxx
Logfile of HijackThis v1.99.1
Scan saved at 17:01:45, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Eigene Dateien\Software\Copy Handler\ch128\ch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\freeCommander2005\FreeCommander.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office\FRONTPG.EXE
D:\Eigene Dateien\Software\protecus - viren - wümer\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Copy Handler] D:\Eigene Dateien\Software\Copy Handler\ch128\ch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [PhraseExpress] C:\Programme\PhraseExpress\phraseexpress.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE




xxx
Combofix

ComboFix 07-06-13.3 - D:\Eigene Dateien\Software\protecus - viren - w�mer\ComboFix.exe
"Administrator" - 2007-06-18 17:13:09 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NM
-------\nm


((((((((((((((((((((((((( Files Created from 2007-05-18 to 2007-06-18 )))))))))))))))))))))))))))))))


2007-06-18 17:03 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-17 00:16 151,696 --a------ C:\FxSasser.exe
2007-06-15 13:52 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-06-15 13:52 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-06-15 13:52 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-06-15 13:52 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-06-15 13:52 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-06-15 13:52 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-06-15 13:52 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-06-15 13:51 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-06-15 13:51 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-06-15 13:50 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-06-15 13:47 <DIR> d-------- C:\Programme\NT Registry Optimizer
2007-06-12 20:39 77,824 --a------ C:\WINDOWS\system32\DriveInfo.dll
2007-06-12 20:39 32,768 --a------ C:\WINDOWS\system32\chipxum.dll
2007-06-12 20:39 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2007-06-12 20:39 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-12 20:39 <DIR> d-------- C:\Programme\CHIP System-Check-Tool
2007-06-12 01:36 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-06-10 17:04 <DIR> d-------- C:\Programme\Xenu
2007-06-10 13:35 <DIR> d-------- C:\Programme\WinPcap
2007-06-10 13:35 <DIR> d-------- C:\Programme\ShowTraf
2007-06-10 13:32 <DIR> d-------- C:\Programme\DRKSpider
2007-06-09 14:45 368,912 --a------ C:\WINDOWS\system32\VBAR332.DLL
2007-06-09 14:45 330,000 --a------ C:\WINDOWS\system32\MSEXCH35.DLL
2007-06-09 14:45 287,504 --a------ C:\WINDOWS\system32\MSXBSE35.DLL
2007-06-09 14:45 250,128 --a------ C:\WINDOWS\system32\MSPDOX35.DLL
2007-06-09 14:45 166,160 --a------ C:\WINDOWS\system32\MSLTUS35.DLL
2007-06-09 14:45 165,648 --a------ C:\WINDOWS\system32\MSTEXT35.DLL
2007-06-09 14:45 <DIR> d-------- C:\WINDOWS\system32\AIM
2007-06-09 14:45 <DIR> d-------- C:\Program Files
2007-06-09 14:44 <DIR> d-------- C:\Programme\Systhema
2007-06-08 10:58 <DIR> d-------- C:\Programme\Microsoft Press
2007-06-04 01:06 <DIR> d-------- C:\Programme\FileZilla
2007-06-02 12:02 <DIR> d-------- C:\Programme\seRapid
2007-06-01 00:11 <DIR> d-------- C:\Programme\A Real Validator
2007-05-31 00:22 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\FreeCommander
2007-05-26 01:35 <DIR> d-------- C:\Programme\ImageSkill
2007-05-26 01:11 <DIR> d-------- C:\Programme\Little Ink Pot
2007-05-25 15:41 <DIR> d-------- C:\Programme\WinHTTrack
2007-05-20 09:01 <DIR> d-------- C:\My PageManager
2007-05-20 08:57 49,152 -ra------ C:\WINDOWS\AutoSet.dll
2007-05-20 08:57 45,056 -ra------ C:\WINDOWS\system32\micdrv.dll
2007-05-20 08:54 311,808 --a------ C:\WINDOWS\system32\CAMSDKR.DLL
2007-05-20 08:54 <DIR> d-------- C:\WINDOWS\NewSoft
2007-05-20 08:53 <DIR> d-------- C:\Programme\ScannerU
2007-05-19 12:44 <DIR> d-------- C:\Programme\ABBYY FineReader 6.0 Sprint
2007-05-19 12:26 7,680 --a------ C:\WINDOWS\system32\drivers\Onsreged.sys
2007-05-19 12:26 60,928 --a------ C:\WINDOWS\system32\drivers\Smplscsi.sys
2007-05-19 12:26 30,565 --a------ C:\WINDOWS\system32\MSMWUD13.dll
2007-05-19 12:26 30,557 --a------ C:\WINDOWS\system32\MSMWUD17.dll
2007-05-19 12:26 285,216 --a------ C:\WINDOWS\system32\drivers\Onsio.sys
2007-05-19 12:26 212,992 --a------ C:\WINDOWS\system32\MSM23w.dll
2007-05-19 12:26 208,896 --a------ C:\WINDOWS\system32\MSM08w.dll
2007-05-19 12:26 200,704 --a------ C:\WINDOWS\system32\MSM21w.dll
2007-05-19 12:26 184,320 --a------ C:\WINDOWS\system32\MSM22w.dll
2007-05-19 12:26 15,396 --a------ C:\WINDOWS\system32\Msmusd5.dll
2007-05-19 12:26 13,962 --a------ C:\WINDOWS\system32\Msmusd6.dll
2007-05-19 12:26 12,499 --a------ C:\WINDOWS\system32\Msmusd7.dll
2007-05-19 12:26 118,784 --a------ C:\WINDOWS\system32\MiiRTS8822.dll
2007-05-19 12:26 <DIR> d-------- C:\Programme\ScanWizard 5
2007-05-19 12:26 <DIR> d-------- C:\Kpcms


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2014-12-16 22:08:38 -------- d-----w C:\Programme\Recolored
2007-06-18 15:14:50 -------- d-----w C:\Programme\Eraser
2007-06-18 15:12:44 -------- d-----w C:\Programme\freeCommander2005
2007-06-18 12:12:09 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\SolidDocuments
2007-06-16 21:27:24 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\XnView
2007-06-13 07:04:40 74,996 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-13 07:04:40 415,470 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-12 20:17:56 -------- d-----w C:\Programme\Idoswin Free
2007-06-12 20:17:56 -------- d-----w C:\Programme\Exif Viewer
2007-06-12 20:17:56 -------- d-----w C:\Programme\Easy2Sync
2007-06-12 20:17:56 -------- d-----w C:\Programme\Dkill95
2007-06-12 20:17:14 -------- d-----w C:\Programme\translate9
2007-06-12 20:17:14 -------- d-----w C:\Programme\OW
2007-06-12 20:17:14 -------- d-----w C:\Programme\Operation Center 2005
2007-06-12 20:17:14 -------- d-----w C:\Programme\DirectoryMirror
2007-06-12 20:17:14 -------- d-----w C:\Programme\BTRWiz
2007-06-12 14:28:24 -------- d-----w C:\Programme\GameJack 5
2007-06-12 14:13:35 158,160 ----a-w C:\DOKUME~1\ADMINI~1\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-06-07 14:15:35 -------- d-----w C:\Programme\Allway Sync
2007-06-02 09:18:10 -------- d-----w C:\Programme\WinMerge
2007-05-31 22:07:27 -------- d-----w C:\Programme\XnView
2007-05-31 10:38:28 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2007-05-20 07:01:34 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-27 08:54:51 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\foobar2000
2007-04-24 07:22:07 -------- d-----w C:\Programme\PhraseExpress
2007-04-20 19:21:39 -------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-04-20 19:21:38 -------- d-----w C:\Programme\Gemeinsame Dateien\mapserv
2007-04-20 19:19:58 -------- d-----w C:\Programme\D
2007-04-18 09:18:30 -------- d-----w C:\Programme\Ulead FantasyWarp.Plugin


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2005-12-07 16:06]
{259F616C-A300-44F5-B04A-ED001A26C85C}=C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll [2004-07-06 20:20]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 14:22]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar3.dll [2007-01-19 23:55]
{C451C08A-EC37-45DF-AAAD-18B51AB5E837}=C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll [2006-12-17 17:11]
{CC7E636D-39AA-49b6-B511-65413DA137A1}=C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll [2006-03-18 06:38]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 13:43 C:\WINDOWS\Dit.exe]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-17 15:11 C:\WINDOWS\system32\WFXSNT40.EXE]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2003-12-01 12:38]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"Copy Handler"="D:\Eigene Dateien\Software\Copy Handler\ch128\ch.exe" [2005-01-31 11:18]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2000-07-18 09:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 23:07]
"PhraseExpress"="C:\Programme\PhraseExpress\phraseexpress.exe" [2007-04-10 01:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-27 00:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"="C:\Programme\Symantec\WinFax\WfxSeh32.Dll" [1998-07-27 04:54]


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-18 17:16:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-18 17:17:32 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-18 17:17

--- E O F ---


xxx
datfind:



.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E468-85D2

Verzeichnis von C:\WINDOWS\system32

18.06.2007 10:02 55.080 vsconfig.xml
15.06.2007 13:53 4.212 zllictbl.dat
15.06.2007 13:43 2.278 wpa.dbl
13.06.2007 09:04 401.064 perfh009.dat
13.06.2007 09:04 62.344 perfc009.dat
13.06.2007 09:04 415.470 perfh007.dat
13.06.2007 09:04 966.250 PerfStringBackup.INI
13.06.2007 09:04 74.996 perfc007.dat
11.06.2007 09:11 435.760 FNTCACHE.DAT
19.05.2007 15:31 40 mscandc.ini
02.04.2007 14:21 428.032 swreg.exe
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
09.03.2007 00:01 796.312 libeay32_0.9.6l.dll
01.12.2006 05:20 212.480 swxcacls.exe
29.11.2006 17:21 370.688 swsc.exe
27.11.2006 02:34 49.152 vfind.exe
09.10.2006 15:02 15.887 PQ_DEBUG.TXT
03.10.2006 21:13 0 h323log.txt
03.10.2006 20:25 3.503 $winnt$.inf
03.10.2006 20:21 634 InstallUtil.InstallLog
03.10.2006 20:19 2.951 CONFIG.NT
03.10.2006 20:19 16.832 amcompat.tlb
03.10.2006 20:19 23.392 nscompat.tlb
03.10.2006 20:18 488 WindowsLogon.manifest
03.10.2006 20:18 488 logonui.exe.manifest
03.10.2006 20:18 749 nwc.cpl.manifest
03.10.2006 20:18 749 wuaucpl.cpl.manifest
03.10.2006 20:18 749 ncpa.cpl.manifest
03.10.2006 20:18 749 cdplayer.exe.manifest
03.10.2006 20:18 749 sapi.cpl.manifest
03.10.2006 20:16 21.740 emptyregdb.dat
29.09.2006 22:21 77.824 DriveInfo.dll
08.09.2006 23:23 77.824 mtFrame.ocx
29.08.2006 14:41 10.752 SysInDE.dll
29.08.2006 14:41 60.688 SYSINFO.OCX
29.08.2006 14:41 193.296 MCI32.OCX
29.08.2006 14:41 99.866 VB5DE.dll
29.08.2006 14:41 132.875 MSINET.OCX
29.08.2006 14:41 212.240 RICHTX32.OCX
29.08.2006 14:41 34.816 MCIDE.dll
29.08.2006 14:41 608.448 COMCTL32.OCX
29.08.2006 14:41 112.640 CmCtlDE.dll
29.08.2006 14:41 29.696 VB5StKit.dll
29.08.2006 14:41 223.744 BW5ZP36R.OCX
29.08.2006 14:41 1.286 bw5zp36r.DEP
07.08.2006 23:07 233.472 eraserl.exe
07.08.2006 23:07 282.624 erasext.dll
07.08.2006 23:07 610.304 eraser.dll
31.07.2006 10:06 61.440 mtProgressBar2.ocx
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 430.080 px.dll
25.04.2006 22:14 212.992 MSM23w.dll
23.02.2006 22:53 1.060.864 mfc71.dll
23.02.2006 22:53 1.047.552 mfc71u.dll
23.02.2006 22:53 348.160 msvcr71.dll
23.02.2006 22:53 499.712 msvcp71.dll
17.02.2006 09:16 268.048 dxtmeta2.dll
03.02.2006 17:46 32.768 chipxum.dll
10.11.2005 14:03 127.078 javaws.exe
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 83.456 dfshim.dll
10.08.2005 00:14 692.224 divxdec.ax
10.08.2005 00:13 4.276 divxsm.tlb
10.08.2005 00:13 524.288 DivXsm.exe
10.08.2005 00:13 692.736 DivX.dll
10.08.2005 00:13 688.128 divx_xx07.dll
10.08.2005 00:13 10.775 dsm_ja.qm
10.08.2005 00:13 15.351 dsm_de.qm
10.08.2005 00:13 15.153 dsm_fr.qm
10.08.2005 00:13 688.128 divx_xx0c.dll
10.08.2005 00:13 671.744 divx_xx11.dll
10.08.2005 00:13 831.488 libeay32.dll
10.08.2005 00:13 245.408 unicows.dll
10.08.2005 00:13 159.744 ssleay32.dll
10.08.2005 00:12 3.596.288 qt-dx331.dll
10.08.2005 00:12 8.523 dpude.qm
10.08.2005 00:12 86.016 dpl100.dll
10.08.2005 00:12 581.632 dpuGUI11.dll
10.08.2005 00:12 200.704 dtu100.dll
10.08.2005 00:12 303.104 dpus11.dll
10.08.2005 00:12 57.344 dpv11.dll
10.08.2005 00:12 245.760 dpu11.dll
10.08.2005 00:12 3.136 dtu_de.qm
10.08.2005 00:12 356.436 DivXMedia.ax
02.08.2005 23:24 53.299 pthreadVC.dll
02.08.2005 23:18 233.472 wpcap.dll
02.08.2005 23:08 81.920 Packet.dll
02.08.2005 23:08 61.440 WanPacket.dll
__________
Win 11 22H2

#4 Hi,

hmm, ich finde nichts was mit dem shutdown zusammenhängen könnte...
Installiere mal Kaspersky und mache einen Fullscann!
Welche Version von Kaspersky? (5 oder 6).

Chris

#5 Personal 5 habe ich.

Nette Grüße, Dirk
__________
Win 11 22H2

#6 Hi,

die hat keine Firewall, oder?
Daher besorge Dir noch ein z. B. Kerio (siehe Forum: http://board.protecus.de/f6.htm).

Es gibt einige Würmer, die direkt auf die lsass losgehen und versuchen diese mit
Bufferüberlauf zu "kapern", eine gute Firewall blockt das...

Chris

#7 Hallo,

keine Firewall, glaube ich.

Also, Zone Alarm ist nicht so gut? Die habe ich ja momentan laufen (wenn ich nicht vergesse, sie zu aktivieren).

Nette Grüße, Dirk
__________
Win 11 22H2