Der Computer wird in 60 sekunden heruntergefahren

Maik P. · 09.08.2009, 17:45

Hallo Leute und einen schönen guten Abend!

Ich habe ein wirklich ernsthaftes Problem mit meinem Rechner. Seit 2 Tagen erhalte ich direkt nach dem Hochfahren eine Fehlermeldung, die viele von euch aus dem Jahr 2004 (W32.SASSER) kennen werden.

Fehler in Anwendung lsass.exe
Fehler in Anwendung svhost.exe
Der Computer wird in 60 sekunden heruntergefahren
Das herunterfahren wurde von NT AUTORITÄT\SYSTEM ausglöst

Konnte den Shutdown-Vorgang zwar mit Start > Ausführen > cmd > shutdown -a unterbrechen. Ich verliere aber ab dem Moment alle Administratorrechte. Ich komm nicht in die Systemwiederherstellung und kann den PC nicht manuell runterfahren, weil die Auswahloption weg ist.

Der Rechner wurde nicht neu installiert und steht schon mehrere Monate im Netzwerk ohne Probleme.

Microsoft Windows XP Prof SP2 ist mit Patches und Updates auf dem neuesten Stand. Ich habe vor lauter Verzweifelung die Patches von 2004 //FX Sasser// und //FX Blaster// von Symantec durchlaufen lassen, nichts gefunden. Der Patch von Microsoft sagt nur, dass mein System neuer ist als der Patch und deswegen dieser nicht installiert werden muss.

Auch andere Virenprogramme suchen erfolglos. Antvir, Stinger, Spybot, ... alle ohne Erfolg

Ich brauche dringend eure Hilfe! Vielen Dank im voraus.

MfG Maik P.

**Leonixx** · 09.08.2009, 17:56

Hi,

das ist ein schwerwiegendes Problem, dass eigentlich nach Neuinstallation schreit. Ob eine Desinfizierung noch möglich ist, bezweifel ich stark. Kommst du noch in den abgesicherten Modus? Wenn ja, dann lade dir Combofix. Ausführen wie im Link in meiner Signatur. Anschließend Logfile posten.

Systemwiederherstellung wird wenig Sinn ergeben, da mit Sicherheit auch diese schon unterlaufen wurde.

Solltest du Vista haben, geht Combofix nicht. Dann Logfiles mit Rsit erstellen. Beide Logfiles posten. Findest du unter Grundausstattung....in meiner Sig.

Maik P. · 12.08.2009, 13:31

Vielen Dank für die Ratschläge.
Habe nun noch einige Viren- und Malware Programme. Alle ohne Fund.
Habe dann einfach Service Pack 3 installiert und siehe da, es funktioniert alles wieder einwandfrei.
Nachfolgend hier noch einmal die aktuelle Log-File für diejenigen, die es interessiert.
MfG Maik P.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:48, on 12.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FLIR Systems\ThermaCAM QuickView 2\T3Srv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Taskbar Shuffle\taskbarshuffle.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\DM2 1.22\DM2 1.22\DM2.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von freenet
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .15642\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - C:\PROGRA~1\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PC Auto Shutdown] C:\Programme\PC Auto Shutdown\AutoShutdown.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Programme\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit DM2.lnk = C:\Programme\DM2 1.22\DM2 1.22\DM2.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {741747F6-83B4-4FB9-A268-8CA4010762C8} (Snapfish Activia2) - http://www3.snapfish.de/SnapfishActivia2.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4...ndows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLIR Camera Monitor (CameraMonitor) - FLIR Systems - C:\Programme\FLIR Systems\ThermaCAM QuickView 2\T3Srv.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

**Leonixx** · 12.08.2009, 15:50

Das Logfile ist sauber aber das sagt noch gar nichts aus. Deshalb wollte ich ein Combofix Logfile sehen. Eine Datei svhost.exe ist mit hundertprozentiger Sicherheit ein Schädling. Kann mir kaum vorstellen, dass durch die Installation eines Service Packs, der Rechner auf einem wieder sauber sein soll. Sehr unwahrscheinlich.

norisknofun · 12.08.2009, 23:06

Hi,
Ich habe ein bisschen gegooglt und bin schließlich auf diese Seite gestoßen.
http://www.digital-constructions.de/...2_Sasser.shtml
Unter dem Absatz "Kategorie" >> Tipp << kannst Du vllcht die eine oder andere nützliche Information entnehmen und evtl. dein Problem lösen. Jedoch auf Dauer vermute ich stark, wird Dir eine Neuinstallation des Betriebssystem nicht erspart bleiben.
Gruß

bul-bul-ogly · 16.08.2009, 03:03

Zitat:

Zitat von 'Leonixx',index.php?page=Thread&postID=768830#post 768830

lade dir Combofix.

Kann man irgendwie im abgesicherten Modus auf Internet zugreifen? Bei mir klappte es noch nie.

**Leonixx** · 16.08.2009, 09:16

Ja, Abgesicherter Modus mit Netzwerktreiber auswählen.

Sie betrachten gerade: Der Computer wird in 60 sekunden heruntergefahren

avira svchost.exe fehler in anwendung

taskbar shuffle problemezu deinstalieren