Computerhilfen.de Logo
Forum
Tipps
News

XP Pro erzwingt neustart nach Countdown

Hallo zusammen  :)

Ich habe ein Problem bei dem ihr mir vielleicht helfen könnt :-)   
Beziehungsweise, ich habe ein Problem und brauche eure Hilfe ;-)

 Folgendes ist passiert

Vorgestern wollte ich mein Antivir aktualisieren. Statt eines einfach Updates installierte Antivir aber anscheinend eine ganz neue Version des Programms. Also es nahm eine de-installation vor und installierte eine neue Version. Alles relativ automatisch.

Diese neue Installation begann als ich den Rechner am nächsten Tag neu startete. Das ganze lief ziemlich langsam ab und am Ende bekam ich folgende Meldung:

Das System wird heruntergefahren. Speichern Sie alle Dateien und melden sich sich ab. [...]  Das Herunterfahren wurde von NT Autorithät erzwungen. Dann steht da noch das  der Dienst Remoteprozeduraufruf nicht gestartet werden konnte.

Also mein Rechner fährt nach einem Countdown von 60sek. runter und startet irgendwann neu. Googlen brachte mich immer wieder zu der Erkenntnis das es sich um einen MSBLAST oder so Virus handeln kann. Jetzt ist das Ding ja auch schon uralt und mein Windwows XP Pro verfügt über ein installiertes SP3. Ob das so etwas auschliesst wisst ihr bestimmt besser als ich, ich wollte es nur erwähnt haben.

Die Möglichkeit das Herunterfahren mit shutdown -a zu unterbrechen nutze ich bereits und das klappt auch ganz gut aber:

Trotzdem kann ich so gut wie kein Programm starten,

kann ich keinen Dienst starten (Timeoutmeldung 1053 nach 30 sec. ) somit fällt momentan auch die Systemwiederherstellung flach,

kann ich noch nicht mal Ordner verschieben oder kopierte Dateien irgendwo einfügen. Es geht einfach nicht.

Und all das betrifft sowohl den normalen als auch den abgesicherten Modus.

Hijack hat nichts zu beanstanden.

 

Zitat
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:58:56, on 29.07.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\system32\nlssrv32.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hama\Wireless LAN RTL8192SU\RtWLan.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
c:\programme\avira\antivir desktop\avnotify.exe
C:\WINDOWS\Explorer.EXE
c:\programme\avira\antivir desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\WINDOWS\system32\dwwin.exe
H:\Backup\HiJackThis204.exe
C:\Programme\Clover\clover.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O2 - BHO: TabExplorerHelper - {F8A6CAA2-533D-4AED-9E05-8EB19A4021AB} - C:\Programme\Clover\TabHelper32.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet
O4 - HKLM\..\Run: [Nvtmru] "C:\Programme\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"  -f "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA\Updatus\NvTmru\nvtmru.dat"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1123561945-616249376-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Wireless LAN RTL8192SU\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package 2) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} (Creative Software AutoUpdate 2) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/ocx/121022/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Browser-Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nalpeiron Licensing Service (nlsX86cc) - Nalpeiron Ltd. - C:\WINDOWS\system32\nlssrv32.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe
O23 - Service: STRATO HiDrive Service - STRATO - C:\Programme\STRATO AG\STRATO HiDrive\STRATO HiDrive Service.exe

--
End of file - 10291 bytes
 

Eine Neuinstallation wird wohl für mich immer wahrscheinlicher aber ich kann ja noch nichtmal Daten retten.

Weiß also jemand von euch Rat ?

Vielen Danke im Vorraus :-)

Ich hoffe ich habe alle wichtigen Informationen hinterlegt.


Antworten zu XP Pro erzwingt neustart nach Countdown:

Mein Webhoster hat mir grade mitgeteilt das von meinem Rechner aus Pishing für Vodafone betrieben wurde. Also habe ich wohl tatsächlich ein Virusproblem. Wie kann ich nun vorgehen ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

HJT ist nicht mehr aktuell.....

Downloade Dir mal Malewarebytes, update es und führe einen Vollscan durch. Logfile dann posten:

http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

Zusätzlich mal dies durchführen:

Toolbars und Adware entfernen

Datenrettung mit Knoppix:

http://www.chip.de/downloads/Knoppix_13013232.html

« Letzte Änderung: 31.07.13, 13:57:04 von A K »

Vielen Dank, dann werde ich das jetzt mal versuchen.  :)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Malewarebytes im Vollscan kann schon ca. 2 Stunden dauern  ;)

Das ganze, und grad Malware Bytes, wird anscheinend vom Virus blockiert bzw. hängt sich auf jedenfall immer auf. Und ich könnte noch nicht mal den Bericht posten weil ich Datei am Ende gar nicht vom Rechner bekommen würde :-(

Wenn ich das richtig verstanden habe kann ich mit Knoppix, wenn ich eine Bootfähige CD gebrannt hab, meine Daten auf irgendeine weise auf ne externe Festplatte kopieren. Das werde ich jetzt versuchen. :-) Jedenfalls nochmals danke für die Unterstützung :-)

Eine Frage hätte ich noch, was mache ich mit den beiden externen Festplatten die noch am Rechner waren. Dort sind berufliche Daten drauf die ich auf keinen Fall löschen kann. Gibt es eine Möglichkeit die Festplatten erstmal zu prüfen ohne das sie sofort wieder den Rechner infizieren ? Wie geht man da am besten vor ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Auch die externen Platten kannst Du mit Knoppix betrachten und bearbeiten.

gibt es für knoppix ein programm das n stick oder ne platte prüft bevor ich die einsetze ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Bevor Du die Platten oder Stick mit Knoppix bearbeitest,
kannst Du doch alles einsehen.
Für Knoppix wird auch kein Betriebssystem gestartet.

Einige Erklärungen zu Knoppix hier:

http://de.wikipedia.org/wiki/Knoppix


« securedsearch entfernenputty.rnd »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!