Supportnet / Forum / WindowsXP
Kalt erwischt
Frage
Hallo Leute!
Diesmal hat's mich wirklich "kalt erwischt".
Mein Pc und alle Programme, Internet und einfach alles lief (auch Dank Eurer Hilfe!!!) [b]wunderbar, spitze, fehlerlos!!![/b].
So, am Freitag habe ich für meinen Sohnemann "Die Sims 2" installiert. Alles ohne Probs, DirectX9.0c, alles klappte wunderbar.
Natürlich lief das Spiel nicht, von wegen "Emulationssoftware"- eh klar.
Auch das konnte ich mittels eines neuen Benutzerkontos für Sohnemann lösen, nun lief auch das Spiel einwandfrei.
Ach, ich glaubte mich im Himmel.
Böser Absturz gestern Abend: Sohn holte mich von Nachbarin-Computer ließe sich nicht mehr herunterfahren. Ich- noch immer guter Dinge- sah nach. Tatsächlich, da stand schon seit 5 Minuten: Windows wird heruntergefahren.
Und jetzt bin ich echt am Verzweifeln. Habe gestern noch eine Systemwiederherstellung gemacht, trotzdem klappt nix mehr. (Außer, dass die Sims jetzt auch wieder weg sind) Vielleicht hat Sohnemann etwas beim Abmelden (für ihn ist ein eigenes Benutzerkonto noch neu) falsch gemacht, er sagt aber, er hat sich eh abgemeldet.
Auf jeden Fall braucht der Pc ca. 5Min. bis zum Bildschirm mit allen Symbolen, und zum Herunterfahren genau so lange, wenn nicht länger.
Außerdem kam gestern nach der Systemwiederherstellung die Meldung:
[i]Dateisystem auf C: wird überprüft. Der Typ des Dateisystems ist NTFS.
Einer der Datenträger muss auf Konsistenz überprüft werden.
.....
CHKDSK überprüft Dateien (Phase 1 von 3
...überprüft Indizes (Ph.2 von 3)
...überprüft Sicherheitsbeschreibungen (Ph.3 von 3)[/i]
Habe WindXP Prof. 5.1
640MB RAM
AMD Athlon Prozessor, 1,2 GHZ
Auslagerungsdatei 164 MB
keine Ahnung, was ihr noch wissen müsst, und ob mir überhaupt noch zu helfen ist.
Bin verzweifelt wie noch nie.
Gruß
Famke
Antwort 1 von Limbius
Ich sag mal dein Sohnemann war im Internet und hat sich nen Wurm/Virus eingefangen... (hat der PC Internet zugang ?)
Falls js poste mal was du so an Prozessen im taskmanager findest wenn du im Inet bist...
Falls js poste mal was du so an Prozessen im taskmanager findest wenn du im Inet bist...
Antwort 2 von Famke
Nein, während der Sims war er nicht im Internet, weil das mit seinem Konto nicht geht.
Meine CPU-Auslastung liegt zwischen 1 und 4%, Prozesse stehen d jede Menge, aber alle mit 00 oder 01 daneben. Was musst du da wissen?
Gruß Famke
Meine CPU-Auslastung liegt zwischen 1 und 4%, Prozesse stehen d jede Menge, aber alle mit 00 oder 01 daneben. Was musst du da wissen?
Gruß Famke
Antwort 3 von Limbius
Schau mal auf die CPU Auslastung bei den Prozessen wenn du im Internet bist... Ist diese dann bei einem Prozess besonders hoch !?!?!
Antwort 4 von Famke
Die Daten stammen eh vom Taskmanager, wenn ich im Internet bin.
Besonders hoch nur bei "Leerlaufprozess" - 97-.
Gruß Famke
Besonders hoch nur bei "Leerlaufprozess" - 97-.
Gruß Famke
Antwort 5 von Limbius
Das ist normal...
Hmmm... Jetzt wirds haarig...
Was findest du wenn du auf START AUSFÜHREN klickst, MSCONFIG eingibst auf der Registerkarte SYSTEMSTART.. ?!
Hmmm... Jetzt wirds haarig...
Was findest du wenn du auf START AUSFÜHREN klickst, MSCONFIG eingibst auf der Registerkarte SYSTEMSTART.. ?!
Antwort 6 von Famke
Na dann schreib ich mir mal die Finger wund:
qttask
HPWuSchd
hpztsb08
lsas
sysentry32
spools
systems
winu32
msg32
realsched
jusched
zlclient
AVGNT
systems
spools
Pribi
Microsoft Office
Ereigniserinnerung
kann man diese Liste nicht kopieren-einfügen?
Naja, Gruß
Famke
qttask
HPWuSchd
hpztsb08
lsas
sysentry32
spools
systems
winu32
msg32
realsched
jusched
zlclient
AVGNT
systems
spools
Pribi
Microsoft Office
Ereigniserinnerung
kann man diese Liste nicht kopieren-einfügen?
Naja, Gruß
Famke
Antwort 7 von Limbius
Ich sag mal das "lsas" ist der Übeltäter...
Ist wohl ein Wurm/Virus der entfernt werden sollte...
Ist wohl ein Wurm/Virus der entfernt werden sollte...
Antwort 8 von DrGonzo
Kann es sein, dass Du den PC mal ausgeschaltet hast, ohne richtig herunterzufahren? Das würde CHKDSK erklären. Windows merkt, wenn es nicht richtig beendet wird und startet CHKDSK automatisch. Einmal durchlaufen lassen und fertig.
Hat Dein Sohn vielleicht ohne Dein Wissen ein "PlugIn" für Sims installiert (vielleicht den Nackt-Patch ;-))? Dann wären wir wieder beim Thema Viren/Würmern...
Gruß
Hat Dein Sohn vielleicht ohne Dein Wissen ein "PlugIn" für Sims installiert (vielleicht den Nackt-Patch ;-))? Dann wären wir wieder beim Thema Viren/Würmern...
Gruß
Antwort 9 von Limbius
Guckst du zB http://www.uni-kiel.de/rz/pc/lsas_wurm/
Antwort 10 von Famke
Hier mein letztes Logfile nachdem ich alle Einträge, die lsas.exe, sysentry.exe, spools.exe, systems32.exe und Pribi.exe (laut Mic vom13.10) beinhalten, gefixed habe.
Logfile of HijackThis v1.97.7
Scan saved at 12:02:09, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\systems.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\MeRoSi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LBZ7PXOE\HijackThis[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Services] C:\msg32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
OK so???
Gruß Famke
Logfile of HijackThis v1.97.7
Scan saved at 12:02:09, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\systems.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\MeRoSi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LBZ7PXOE\HijackThis[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Services] C:\msg32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
OK so???
Gruß Famke
Antwort 11 von Limbius
Hmmm ich knn damit nicht viel anfangen...
Aber die wichtigste Frage --> Läuft er wieder rund ?! ;o)
Aber die wichtigste Frage --> Läuft er wieder rund ?! ;o)
Antwort 12 von Famke
Hab gerade neu gestartet, Zeitmäßig wieder alles OK. Hab inzwischen auch die Sims2 wieder raufinstalliert, neues Konto für Sohnemann eingerichtet,
schaut momentan so aus, als ob alles OK wäre.
Danke Dir, Limbius, für Hilfestellung,
Gruß
Famke
schaut momentan so aus, als ob alles OK wäre.
Danke Dir, Limbius, für Hilfestellung,
Gruß
Famke
Antwort 13 von Limbius
Gern geschehen :-)
Antwort 14 von Famke
Eine Frage noch dazu(?):
Alles läuft wieder wie ich will. So soll's sein, aber in der Taskleiste hab ich jetzt manchmal nur das Logo von ZoneAlarmFirewall, und nur wenn ich eine neue Seite aufmache oder wechsle zeigt er mir den roten und grünen Balken. Während ich das hier schreibe, sehe ich bloß das Logo, wenn ich auf speichern gehe, arbeitet er wieder. Ist das gut so? Das irritiert mich doch etwas.
Gruß und gut is
Famke
Alles läuft wieder wie ich will. So soll's sein, aber in der Taskleiste hab ich jetzt manchmal nur das Logo von ZoneAlarmFirewall, und nur wenn ich eine neue Seite aufmache oder wechsle zeigt er mir den roten und grünen Balken. Während ich das hier schreibe, sehe ich bloß das Logo, wenn ich auf speichern gehe, arbeitet er wieder. Ist das gut so? Das irritiert mich doch etwas.
Gruß und gut is
Famke
Antwort 15 von Kismo
Hallo Famke,
solange keine Daten kommen oder gehen wird nur das Logo von Zonealarm gezeigt. Das ist richtig so.
Gruß
Kismo
solange keine Daten kommen oder gehen wird nur das Logo von Zonealarm gezeigt. Das ist richtig so.
Gruß
Kismo
Antwort 16 von Andreas1956
Hallo!
Ich würde mal noch die isass.exe in C:\Windows\System32 unter die Lupe nehmen. Könnte ja auch sassi.exe heissen.
Ich würde mal noch die isass.exe in C:\Windows\System32 unter die Lupe nehmen. Könnte ja auch sassi.exe heissen.
Antwort 17 von Famke
Danke Kismo! Bin beruhigt. Das war vorher nämlich nie so. Da liefen die Balken immer rauf und runter.
@Andreas: das heißt eh LSASS.exe, im Original-Logfile ist das L besser ersichtlich.
Und LSASS.exe ist ja was von Windows?!
@Andreas: das heißt eh LSASS.exe, im Original-Logfile ist das L besser ersichtlich.
Und LSASS.exe ist ja was von Windows?!
Antwort 18 von Andreas1956
@Famke:
Richtig! Man sollte sich erst schlau machen und dann schreiben. Habe gerade bei mir nachgeschaut.
Richtig! Man sollte sich erst schlau machen und dann schreiben. Habe gerade bei mir nachgeschaut.
Antwort 19 von Famke
Trotzdem Danke, Andreas. Hast auch wieder was gelernt. :-)))