absturz bei durchführung jeglicher antivirenprogramme

#1 Hallo!

Nachdem mein Rechner an Geschwindigkeit beim Seitenaufbau, Laden von Programmen etc verloren hat beschloss ich mit Virenprogrammen meinen Rechner zu durchsuchen.

Leider stützte er nach ca 15 MInuten ab. Egal ob mit AntiVir, Malware, AdAware, ...
Der Rechner zeigt für ca 2 Sekunden eine Fehlermeldung an, komplett blauer Bildschirm, fährt herunter, wieder hoch und bittet mich Boot Media Disc einzulegen. Wenn ich dies tue und auf Programm reparieren gehe heißt es es sei keine Festplatte zu finden...
Ich habe meine Festplatte partitioniert.

Kann mir bitte jeman weiterhelfen?
Viele Grüße!

#2 Hallo Gast !
Versuche in den 15 min die Dir bleiben mal in der Ereignisanzeige nach Fehler-Einträgen zu suchen:
Start-->Ausführen (reinschreiben)---> eventvwr
--Wie sieht es mit dem abgesicherten Modus aus?
Von dort könntest Du auch versuchen Malwarebytes zu starten und mal das Log posten.
Wenn Du Hijackthis aus dem Normalmodus noch hinbekommen würdest, wäre auch Super!
Was noch interessant wäre; zu welchen "Programm" wirst Du denn aufgefordert es zu reparieren, oder ist das Betriebssystem gemeint ??

#3 Hallo und schonmal vielen Dank für Deine Antwort!

Der Rechner stürtzt nur ab wenn ich das Antiviren-Programm starte. Ich habe nun eventvwr eingegeben und in der Liste System stehen ein paar Warnungen mit der Quelle, Tcpip und Fehler aus der Quelle, Service Control Manager...
Bei der Liste Anwendungen stehen Warnungen mit der Quelle, Usernv und Fehler aus der Quelle, Application Error, MsInstaller, Microsoft Office...

Es wird nicht direkt aufgefordert zu reparieren, ich habe drei Möglichkeiten, Neuinstallation, Reperatur oder Abbruch. Ach so und ja ich meine das Betriebssystem.

Soeben startete ich Anti-Malware im abgesicherten Modus, leider fuhr der Rechner nach ca 20 Minuten wieder herunter.

Ich habe nun mal hijackthis runtergeladen und hoffe ich poste nun das Richitge:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:16, on 11.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
E:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] E:\sygate\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\sygate\smc.exe

--
End of file - 9638 bytes



viele Grüße!

#4 ...20 min ??
Versuche in der Zeit wenigstens mal einen Quick-Scan mit Malwarebytes auszuführen ! & Log posten!
Als der PC nach 20 min abgeschmiert ist, müßte dazu zeitlich passend (Datum/Uhrzeit) im "eventvwr" unter den Fehlern ein Eintrag sein,- klicke mal auf die betreffende Zeile und unter Eigenschaften siehst Du den kompletten Eintrag,- Du kannst dies kopieren, indem Du auf das "Schreibblocksymbol" o.ä. clickst, jetzt ist es im Zwischenspeicher und Du kannst es in einer Textdatei abspeichern.(evtl. könnte der Eintrag auch als "Save Dump" in den Fehlermeldungen stehen)

#5 Hey!
Ja 20 Minuten... Es scheint fast so, als wenn das Suchprogramm beim zusammentreffen auf eine bestimmte File abschmiert...

hier die ergebnisse zu eventvwr:


Das hier ist eine Warnung unter "Anwendung":

Die Registrierung des Benutzers "XXX/xx" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.





Das ist ein Fehler bei "Anwendung", Quelle Application Error:

Fehlgeschlagene Anwendung firefox.exe, Version 1.8.20080.4669, fehlgeschlagenes Modul quicktime.qts, Version 7.2.0.240, Fehleradresse 0x00162319.





Das hier stand bei Sicherheit unter Fehlerüberwachung:

Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: xxx
Arbeitsstation: XXXXX
Fehlercode: 0xC000006A



Das hier ist ein Fehler aus "System" Quelle, Service Control Manager:

Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
avgio
avipbb
Fips
intelppm
IPSec
MRxSmb
NetBIOS
NetBT
RasAcd
Rdbss
ssmdrv
Tcpip
wpsdrvnt





und dieser hier aus "System", Quelle, DCOM:

Bei DCOM ist der Fehler "Der Dienst kann nicht im abgesicherten Modus gestartet werden. " aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}







Dieser Fehler liegt schon etwas länger zurück (4.10.08), auch im "System Service Control Management:

Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.






Die partitionierten Festplatten e: und f: kann ich ganz einfach durchsuchen lassen. Der Rechner schmiert nur bei c: ab.

Ich hoffe ich habe Dir die richtigen Fehler-Eigentschaften geschrieben... Bin echt ratlos.




Der Quickscan mit Malwarebytes ist geglückt!
Das Programm hat allerdings nichts gefunden.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1250
Windows 5.1.2600 Service Pack 3

11.10.2008 16:29:24
mbam-log-2008-10-11 (16-29-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51926
Laufzeit: 2 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



viele Grüße


Vielen Dank!

#6 ...und welcher Fehler passt zeitlich zu einem Absturz ?
1. der Fehler mit der Registrierung der scheint nicht so dramatisch zu sein, der ist bei mir übrigens auch.
2. (Fehlercode: 0xC000006A) das könnte davon stammen, dass Du mal ein falsches Passwort bei der Anmeldung eingegeben hast.
3. Am meisten sticht mir das mit den System und Boot-Treibern ins Auge !
In Deinen ersten Beitrag hast Du etwas von "keine Festplatte zu finden" geschrieben.(wann kam die Meldung -->beim Reperaturversuch?)
Hast Du mehrere Betriebsysteme auf dem Rechner? (auf einer der anderen Partitionen)
Ist der Pc Teil von irgendeinem Heimnetzwerk?
Ist der Fehler erst seit Du SP 3 geladen hast?-mal nachdenken!
Versuche mit der Windows CD eine Reperatur-Installation.
Vorsicht! Sichere Dir erst die Dateien in eig. Bilder,-eig. Musik,-..Videos usw.
diese Unterordner in den Eigenen Dateien werden mit neuen (leeren) Ordnern überschrieben!
Wie Du die Reperaturinstallation durchführst weißt Du?
von CD booten-->dann auf INSTALLIEREN !!! gehen (hier noch nicht das "R" anwählen)
-->Betriebssystem(e) wird (werden) aufgelistet--> richtiges anwählen
..und dann kommt nochmal ein "R" wo Du aufgefordert wirst; drücken Sie die R-Taste um gewähltes Win XP zu reparieren
wie bei Bild 2 im Link...
verwechsel das nicht mit dem "R" von Bild 1 - Du wärst nicht der Erste.
siehe Dazu:
http://home.pages.at/chemikers-home/REPARATUR.html
...solltest Du SP 3 nachträglich draufgeladen haben , und Deine CD ist noch aus der ersten Generation wirst Du die Reperaturinstallation gar nicht ausführen können. Dann schreib' ich Dir wie man sich aus einer einfachen Win-CD gleich eine mit integrierten Servicepack brennt.---wobei ich Dir aber nur SP 2 empfehle !

#7 >>
Wende SDFIX im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html

#8 Hallo!
Also nachdem ich zuletzt den Quickscan durchführen konnte probierte ich im Anschluss nocheinmal den Komplett-Scan.

Das Ergebnis war das der Rechner wieder abstürtzte und diesmal aber beim hochfahren nicht "insert Boot media Disc" sondern "invalid or damaged bootable partition" erschien.

Ich versuchte nun den Rechner im abgesicherten Modus (beim starten F8) hochzufahren. Dies funktionierte aber nicht, ich konnte nur wählen von welchem Laufwerk ich starten möchte, Floppy, Festplatte oder DVD-Laufwerk. Wenn ich die Festplatte auswähle kann ich nur normal windows XP starten.

Zudem werde ich schon seit einiger Zeit wenn der Rechner hochgefahren ist von Spybot gefragt ob ich "RUNDLL.EXE C:\Windows\system32\NvCpl" zulassen möchte.

Nachdem ich eben nocheinmal Malwarebytes durchgeführt habe, der PC abgestürtzt ist schaute ich nocheinmal unter "eventvwr" nach. Das Ergebnis, zu dieser Zeit, nämlich 13.23 uhr, es sind keinerlei Fehler aufgelistet....

Ansonsten muss ich wohl mal meine Daten sichern und versuchen Windows reparieren....


Vielen Dank und viele Grüße!



aaaaalso, habe nun über msconfig den abgesicherten modus aktiviert, hier der og von virus-protect:


SDFix: Version 1.235
Run by xxx on 13.10.2008 at 13:44

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 18:53:35
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe:*:Enabled:Adobe Version Cue CS3 Server"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :


Finished!

#9 Hallo gast !
Ziehe auch mal in Erwägung, dass bei Dir auf der Festplatte Schreibfehler vorhanden sein könnten.Rechtsclick auf die Boot (C)-Partition-->Eigenschaften-->Extras--->jetzt prüfen--->im erscheinenden Fenster beide Häkchen setzen.Die Festplatte wird nun auf Fehler überprüft (PC fährt zwischendurch auch mal runter) gefundene Fehler werden repariert,-in dem Fall erkennst Du es wenn nach dem Scan (30-45min oder länger???) auf "C" ein Ordner "found.000?" erstellt wurde (als versteckte !! Systemdatei).Sollte dies nicht klappen, so bieten in der Regel die Hardware-Hersteller ( der Festplatten) auf ihren Seiten kostenlose Tools zum Scan&Repair an, die Du von CD aus durchführen mußt.Wenn das ganze wieder nicht zum Erfolg führt, sollten wir uns auch mal Deinen MBR unter die Lupe nehmen !

#10 >>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss

#11 Hallo!
Vor der Ausführung von datfinbat wollte ich zunächst die Festplatte checken.

Wie beschrieben nahm ich die Einstellungen vor. Ich wurde zum Neustart aufgefordert. Der Rechner checkte nun brav Laufwerk C.

Bei Phase 4 von 5 (CHDSK überprüft Dateidaten) bleibt der Check immer bei 49 Prozent stehen.
Auch nach über einer Stunde passierte nichts weiter. Das kleine Lämpchen am Rechner (Prozessorleistung) erlischt auch zeitgleich bei erreichen der 49 %.

Nur über die Reset-Taste komme ich aus dem Modus raus. Beim erneuten Hochfahren lande ich wieder bei "insert media disc and boot....". An dieser Stelle schalte ich dann komplett den Rechner aus und starte neu.

Diese Verhalten ähnelt irgendwie dem, das bei Durchführung der Anti-Virenprogramme stattfindet. Bei erreichen eines bestimmten Punktes im System setzt das System aus.

was soll ich jetzt tun?

Wenn ich wie du mir im vorherigen post geschrieben hast windwos reparieren soll wollte ich noch anmerken, dass ich das sp3 im nachhinein per update bekommen habe, allerdings gab es nie probleme damit, der rechner ist auch erst ca 7 Monate alt...

das hier kam nach den ganzen testversuchen als ich nun eben neu stratete: The executable has changed since the last time you used: C:\WINDOWS\system32\ntoskrnl.exe
File Version : 5.1.2600.5657
File Description : NT-Kernel und -System
File Path : C:\WINDOWS\system32\ntoskrnl.exe
Process ID : 0x4 (Heximal) 4 (Decimal)

Connection origin : local initiated
Protocol : UDP
Local Address : 192.168.1.33
Local Port : 137
Remote Name :
Remote Address : 192.168.1.255
Remote Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)

Ethernet packet details:
Ethernet II (Packet Length: 124)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-1e-8c-b5-4a-0c
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0xf2b5 (Correct)
Source: 192.168.1.33
Destination: 192.168.1.255
User Datagram Protocol
Source port: 137
Destination port: 137
Length: 8
Checksum: 0x6548 (Correct)
Data (76 Bytes)

Binary dump of the packet:
0000: FF FF FF FF FF FF 00 1E : 8C B5 4A 0C 08 00 45 00 | ..........J...E.
0010: 00 60 00 2A 00 00 80 11 : B5 F2 C0 A8 01 21 C0 A8 | .`.*.........!..
0020: 01 FF 00 89 00 89 00 4C : 48 65 80 14 29 10 00 01 | .......LHe..)...
0030: 00 00 00 00 00 01 20 46 : 48 45 48 45 4B 46 46 45 | ...... FHEHEKFFE
0040: 4D 45 46 46 44 43 41 43 : 41 43 41 43 41 43 41 43 | MEFFDCACACACACAC
0050: 41 43 41 43 41 42 4E 00 : 00 20 00 01 C0 0C 00 20 | ACACABN.. .....
0060: 00 01 00 04 93 E0 00 06 : 00 00 C0 A8 01 21 41 43 | .............!AC
0070: 41 43 41 43 41 43 41 43 : 41 42 4F 00 | ACACACACABO.



viele Grüße


hier nochenmal die ergebnisse aus datfinbat:



Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C40-C981

Verzeichnis von c:\

15.10.2008 16:02 0 dirdat.txt
15.10.2008 14:50 2.145.386.496 pagefile.sys
13.10.2008 19:08 211 boot.ini
27.08.2008 17:39 251.712 ntldr
26.05.2008 10:49 0 CONFIG.SYS
10 Datei(en) 2.145.690.935 Bytes
0 Verzeichnis(se), 3.324.616.704 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C40-C981

Verzeichnis von C:\WINDOWS\system32

15.10.2008 14:51 1.591.248 FNTCACHE.DAT
14.10.2008 19:31 12.598 wpa.dbl
07.10.2008 21:19 16.721.856 MRT.exe
03.10.2008 18:58 6.066.176 ieframe.dll
15.09.2008 17:24 1.846.528 win32k.sys
12.09.2008 12:37 348.160 msvcr71.dll
12.09.2008 12:37 499.712 msvcp71.dll
27.08.2008 17:59 314.996 perfh009.dat
27.08.2008 17:59 49.536 perfc007.dat
27.08.2008 17:59 41.144 perfc009.dat
27.08.2008 17:59 320.786 perfh007.dat
27.08.2008 17:59 732.168 PerfStringBackup.INI
27.08.2008 17:57 251 spupdwxp.log
27.08.2008 10:57 3.593.216 mshtml.dll
26.08.2008 09:57 1.159.680 urlmon.dll
26.08.2008 09:57 233.472 webcheck.dll
26.08.2008 09:57 826.368 wininet.dll
26.08.2008 09:57 44.544 pngfilt.dll
26.08.2008 09:57 477.696 mshtmled.dll
26.08.2008 09:57 105.984 url.dll
26.08.2008 09:57 102.912 occache.dll
26.08.2008 09:57 193.024 msrating.dll
26.08.2008 09:57 671.232 mstime.dll
26.08.2008 09:57 459.264 msfeeds.dll
26.08.2008 09:57 52.224 msfeedsbs.dll
26.08.2008 09:57 27.648 jsproxy.dll
26.08.2008 09:57 1.831.424 inetcpl.cpl
26.08.2008 09:57 44.544 iernonce.dll
26.08.2008 09:57 267.776 iertutil.dll
26.08.2008 09:57 133.120 extmgr.dll
26.08.2008 09:57 214.528 dxtrans.dll
26.08.2008 09:57 347.136 dxtmsft.dll
26.08.2008 09:57 384.512 iedkcs32.dll
26.08.2008 09:57 383.488 ieapfltr.dll
26.08.2008 09:57 63.488 icardie.dll
26.08.2008 09:57 153.088 ieakeng.dll
26.08.2008 09:57 230.400 ieaksie.dll
26.08.2008 09:57 124.928 advpack.dll
25.08.2008 10:38 13.824 ieudinit.exe
25.08.2008 10:37 70.656 ie4uinit.exe
23.08.2008 07:54 161.792 ieakui.dll
14.08.2008 15:19 2.026.496 ntkrnlpa.exe
14.08.2008 15:19 2.147.840 ntoskrnl.exe
14.08.2008 13:01 359.320 TZLog.log
12.08.2008 18:57 233.472 REX Shared Library.dll
12.08.2008 18:57 368.640 ReWire.dll
02.08.2008 10:10 4.212 zllictbl.dat
2079 Datei(en) 495.052.255 Bytes
0 Verzeichnis(se), 3.324.489.728 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C40-C981

Verzeichnis von C:\WINDOWS

15.10.2008 15:42 54.156 QTFont.qfn
15.10.2008 15:21 1.524.586 WindowsUpdate.log
15.10.2008 14:51 157 wiadebug.log
15.10.2008 14:51 50 wiaservc.log
15.10.2008 14:50 2.048 bootstat.dat
15.10.2008 11:19 32.628 SchedLgU.Txt
13.10.2008 19:08 270 system.ini
13.10.2008 19:08 632 win.ini
11.10.2008 18:42 69 NeroDigital.ini
11.10.2008 15:18 1.409 QTFont.for
08.10.2008 23:58 151 PhotoSnapViewer.INI
27.08.2008 17:44 1.024.568 setupapi.log.0.old
86 Datei(en) 12.380.287 Bytes
0 Verzeichnis(se), 3.324.506.112 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C40-C981

Verzeichnis von C:\DOKUME~1\jvh\LOKALE~1\Temp

15.10.2008 15:20 47.122 DIO21.tmp
15.10.2008 14:55 47.122 DIOD.tmp
15.10.2008 14:55 1.535 hpqddusr.log
15.10.2008 14:55 47.122 DIOB.tmp
15.10.2008 14:55 1.285 MARA.tmp
15.10.2008 14:55 1.342 MAR9.tmp
15.10.2008 14:55 604 libFNP_events.log
15.10.2008 10:59 47.122 DIO9.tmp
15.10.2008 10:59 1.285 MAR8.tmp
15.10.2008 10:59 1.342 MAR7.tmp
14.10.2008 19:34 47.122 DIO7.tmp
14.10.2008 19:34 1.285 MAR6.tmp
14.10.2008 19:34 1.342 MAR5.tmp
13.10.2008 21:30 0 bga36.tmp
13.10.2008 21:25 0 mlc34.tmp
13.10.2008 21:25 0 7ni33.tmp
13.10.2008 21:24 0 bc232.tmp
13.10.2008 21:22 0 4od31.tmp
13.10.2008 21:16 4.030.457 derber_two_one_10.08.2008.mp3
13.10.2008 19:10 47.122 DIO5.tmp
13.10.2008 19:09 1.285 MAR4.tmp
13.10.2008 19:09 1.342 MAR3.tmp
13.10.2008 19:03 47.122 DIO3.tmp
13.10.2008 19:03 1.285 MAR2.tmp
13.10.2008 19:03 1.342 MAR1.tmp
25 Datei(en) 4.375.585 Bytes
0 Verzeichnis(se), 3.324.510.208 Bytes frei

#12 ««
es scheint , dass die Festplatte oder deine Netzwerkkarte einen Knacks hat - gut, dass du noch Garantie hast, falls es sich so bestätigt.
Wenn du den Rechner vom Internet nimmst und so scannst - tritt dann der Fehler auch auf ??

O.
lade Seagate Test - berichte, ob der test positiv verlaufen ist
Anleitung:
http://virus-protect.org/artikel/tools/seagate.html

1.
wende Windows Worms Doors Cleaner an - schau, ob sich die Netbios deaktivieren lassen
http://virus-protect.org/windsdoorcleaner.html

2.
GetSystemInfo- GSI Parser
poste hier den report als zip-Datei (siehe Anhang unten)
http://virus-protect.org/artikel/tools/getsystem.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 0. Macht einen installationsfehler und kann nicht ausgeführt werden...
1. netbios lässt sich deaktivieren.
2. ich habe keine ahnug, hoffe es richtig gemacht zu haben...


es passiert auch wenn ich offline bin, lan-kabel gezogen ist...
die festplatte ist mit partition magic partitioniert. auf c sind nur 20 gb die bald voll sind, e und f haben den rest von den 450 gb. ist wohl etwas sinnlos da einige programme auf c daten schreiben auch wenn man sie in e oder f speichert und öffnet...

#14 ich hab mich da mal durchgegraben

klicke auf Updates:
Veraltete Treiber
Peripheriegeräte

=> Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller Neues Update erhältlich
Aktuelle Version: 10.15.4.3 -> [ Neu 10.61.2.3 WHQL hier ]
Erhältlich für Windows XP

http://gsi.kaspersky.fr/lire.php?hl=de&file=595f67296c62bee674864d6553ab725f#

versuche mal, den Treiber zu aktualisieren

--------------

du kannst die txt selbst hochladen ..und dir den Systemcheck ansehen

untere Teil der Seite erklärt:
http://virus-protect.org/artikel/tools/getsystem.html

ausser dem veralteten Treiber konnte ich nichts auffälliges finden
vielleicht mal den Sygate deaktivieren ..
Spybot deinstalliere auf jeden Fall.

Dann derfragmentiere den Rechner und wende Tuneup an (15 Tage free)
http://virus-protect.org/reinigungstoolsregistry.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina!

Das sind ja tolle Möglichkeiten die sich einem da bieten...
Habe jetzt alles gemacht. Die Defragmentierung läuft gerade. Der Treiber wurde aktualisiert, musste den alten vorher deinstalieren.



Gibt es denn eine Alternative zu Spybot? Ich finde es schon praktisch gewarnt zu werden sobald sich ein Programm mit dem Netz verbinden will.

Mit TuneUp behebe ich die potentiell inkompaible Software, oder?

So, Defragmentierung ist erfolgt, die Fehler laut tune up behoben..

Der Scan von Antivir wird nach wie vor auf die gleiche Art ud eise abgebrochen! Zudem ist mein Rechner langsamer..


vielen Dank und viele Grüße!