Viele Rechnerabstürze, Bild bleibt stehen - helft mir Taskmanager checken

Hi, ich bin ein Newbie mit einer interessanten Frage:

Irgendwie geschieht dies immer, wenn ich nicht zuhause bin, daß sich der Rechner komplett aufhängt. Meine Freundin sagte mir eben, da ging auf einmal nichts mehr.
AntiVir und Zone Labs Suite finden mit ihren Virenscans nichts.
Aber seit ich eben den Rechner neu bootete, fragt mich Zone Alarm bei allen Proggies aufs Neue ob sie ins Netz dürfen (selbst bei iexplore.exe und firefox.exe)
Das kommt mir etwas komisch vor.

Daher habe ich mal zwei Screenshots gemacht von dem oberen und unteren Bereich meines Taskmanagers unmittelbar nach dem Systemstart. Photoshop.exe läuft nur, weil ich dort die Screenshots verkleinert habe.

Welche dieser Prozesse sind euch bekannt, welche sind unbekannt und welche sind definitiv Fehl am Platz??

Danke im Voraus.

Oberer Teil


Unterer Teil

EDIT: Eben ist er mir zweimal selber abgestürzt in Folge, beim Einlesen einer CD auf die Festplatte. Nur noch ein Reset hilft da!!

EDIT 2: Ich nutze momentan noch Zone Labs Suite und AntiVir XP, werde aber bald auf Router umsteigen.

Hinter jedem Windows Porzess Namen könnte sich ein Schädling verstecken, der unterschied liegt nur in den verschiedenen Verzeichnissen, in die sie sich befinden und somit tarnen ... Bei Prozessen mit Serv oder einem S ist immer vorsicht geboten, da es sich um Serverdateien handeln könnte ... Beliebt sind auch Prozessnamen wie svhost.exe oder services.exe ...

Führ mal mal bezüglich Viren und Würmer nochmals einen Onlinescann durch:
http://security.symantec.com/sscv6/sc_scan.asp?

Zusätzlich noch einen Spywarescann mit Ad Aware:
http://www.wintotal.de/Software/index.php?id=89

Anschliessend kannst du auch noch eine Log Datei mit HijackThis
http://www.wintotal.de/Software/index.php?id=2022
erstellen und sie hier auswerten lassen: www.hijackthis.de

Falls du Win XP hast, vorher die Systemwiederherstellung deaktivieren, da ansonsten etwaige Schädlinge nicht richtig vom System entfernt werden können:
Rechtsklick auf Arbeitsplatz---> Eigenschaften---> Systemwiederherstellung auf allen Laufwerken deaktivieren ...

ansonsten sieht dein taskmanager eigentlich in ordnung aus.

Ich habe mal jetzt nach einer Hilfestellung eines anderen Boards einen a² Scan durchführen wollen, aber genau wie beim Virenscan stürzt der Rechner währenddessen ab.

Hier aber die Auswertung der Log Datei HiJack:

Alles gut bis auf:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437 Böse
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437 Böse
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!


O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe Unbekannt
Unbekannt
Trefferquote: 6 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe Unbekannt
Unbekannt
Trefferquote: 6 % (Resultate) Nicht bekanntes Programm.
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe Unbekannt
Unbekannt
Trefferquote: 6 % (Resultate) Nicht bekanntes Programm.

Wenn Hijackthis die Sygate-Firewall nicht erkennt ist was faul.
Ich benutze die ebenfalls und sie wird von Hijackthis klar registriert.
Diese exe-Datei gehört m.E. nicht zur Sygate.

Ich werde das nachher mal checken, jetzt bin ich bis 20 Uhr in der Uni und dann Fußball spielen.
Danke sehr.

Hier die Antwort eines Users in einem Hardwareforum:

Im Taskmanager passt alles, es ist die Zone Alarm, was Probleme macht

Das System im Abgesicherten modus starten, denn ZoneAlarm Uninstaller suchen und starten und schön langsam deinstallieren lassen.

Seit dem Sp2 funktioniert bei fast keinem mehr die ZoneAlarm Firewall !! Echt schade !!

Du solltest derweil eine andere verwenden, bis Zonelabs dieses Prob behoben hat !!

Zum Vergrößern anklicken....

Ist da was dran?

Hier mal das komplette Hijackthis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:53:55, on 16.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Marc\LOKALE~1\Temp\Rar$EX00.234\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [gcasServ] C:\Programme\Microsoft AntiSpyware\gcasServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1109161162875
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437 - fixen

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=810437 - fixen.

der rest ist in ordnung.

--> www.hijackthis.de
dort steht alles übersichtlich.

Suche die Datei MSNSRV32.exe auf deinem System und schau Dir die Eigenschaften an, ich schließe mich Freudi und Dakota an, dass diese EXE nicht zur Sygate-FW gehört.

Scanne zusätzlich dein System mit eScan
http://www.trojaner-info.de/hijacker/escan.shtml
Folge den Anweisungen auf der Seite und lass ihn im abgesicherten Modus dein System durchsuchen.

Viel Glück

Da gab es mal ein Würmchen, dass sich versucht hat, als Sygate FW zu tarnen
http://www.sophos.de/virusinfo/analyses/w32rbotii.html

Seitdem ich die Bösen und die MSNSRV32.exe Einträge gestern abend entfernt habe, läuft zunächst mal alles problemlos.

Müsste es zu Hause prüfen, aber wenn ich's richtig weiss, gibt's keine sygate.exe als Programm-Datei der Sygate Firewall.
Ausserdem hat er Zone Alarm installiert, kann mir nicht vorstellen, dass er nicht mehr weiss, dass er 2 FW's auf seinem PC installiert hat.

Ergo scheint mir das Löschen der msnrv32.exe der richtige Schritt gewesen zu sein.
Bla's link zu Sophos ist m.E. eindeutig.

Naja, von 9 Uhr bis 10:25 Uhr hat er gehalten, jetzt gerade hat er sich verabschiedet zum ersten Male heute.
Ich würde ja die Zone Alarm mal deinstallieren, weil einige meinen, daß das Problem dort liegen müsste, aber ich habe kein Bock ohne Firewall ins Internet zu gehen.

bla schrieb:

Scanne zusätzlich dein System mit eScan
http://www.trojaner-info.de/hijacker/escan.shtml
Folge den Anweisungen auf der Seite und lass ihn im abgesicherten Modus dein System durchsuchen.

Zum Vergrößern anklicken....

Und wie Freudinicht zu früh ;D schon schrieb, reicht die XP eigene vollkommen aus.

Freudi schrieb:

Und das aktuelle Hijackthis-Log sieht wie aus? Mit welcher genauen Fehlermeldung verabschiedet sich denn eigentlich das Programm/Windows?

Zum Vergrößern anklicken....

bla schrieb:

Suche die Datei MSNSRV32.exe auf deinem System und schau Dir die Eigenschaften an, ich schließe mich Freudi und Dakota an, dass diese EXE nicht zur Sygate-FW gehört.

Zum Vergrößern anklicken....

stimmt. ihr habt recht. das wäre mir gar nicht aufgefallen. eigentlich eine schwache leistung von hiacjkhis.de...

nachtrag:

für mickblue:

liege ich richtig, dass du bis jetzt mit 2 firewalls im netz warst? also der von sygate und der von zonealarm? eine reicht völlig. zwei behindern sich nur.

@Nogger

Genau das ist die Frage. Wenn nicht, ergibt Bla's Einschätzung einen Sinn. Es deutet auf den W32/Rbot-II hin, der versucht sich als Sygate-Anwendung zu tarnen.

Mickblue müsste sich mal äussern, ob er beide installiert hat. Ich glaube mal eher nicht.


Nachtrag:

eigentlich eine schwache leistung von hiacjkhis.de...

Zum Vergrößern anklicken....

liegt vielleicht daran, dass Hijackthis aus einem temporären Verzeichnis gestartet wurde. Nicht gerade die beste Lösung.

Mit der Sygate Firewall habe ich nie was probiert.
Die Windows eigene Firewall nutze ich nicht aus Gründen wie Datentransfer via ICQ oder auch Filesharing (natürlich legales).
Ein Studienkollege meinte zu mir, daß es auch an der CPU Temperatur liegen könnte.
Die liegt bei 54° und der CPU Fan läuft bei 5500 RPM, ist das zu hoch?
Das neue HijackLog nach dem entfernen der bösen und unbekannten Files sieht so aus, daß ALLE Angaben auf Gut stehen.

trotzdem, deaktiviere mal die Systemwiederherstellung, boote in den abgesicherten Modus und scanne nochmals mit Hijackthis.

Dann poste mal dein Log, nur zur Vorsicht.

@MickBlue

Hast Du dein System jetzt mal mit eScan gescannt?

54° Prozessortemp. sollten OK zu sein

Mit der Sygate Firewall habe ich nie was probiert.

Zum Vergrößern anklicken....

Solltest Du vllt mal als Alternative zu ZoneAlarm ins Auge nehmen.

Dakota schrieb:

trotzdem, deaktiviere mal die Systemwiederherstellung, boote in den abgesicherten Modus und scanne nochmals mit Hijackthis.

Dann poste mal dein Log, nur zur Vorsicht.

Zum Vergrößern anklicken....

Nichts für ungut, aber das bringt aus meiner Sicht nichts

Entweder alles oder nichts ;D