Virus? Hardwareproblem? Hilfe!

[boogie]

Nun ich habe keine Ahnung was los ist, daher beschreibe ich einfach mal genau das Problem und hoffe das jemand mir da weiterhelfen kann .

Also der Laptop ( Fujitsu Siemens Amilo) mit Windows XP.

Bin am pc, verichte normale Taetigkeiten. Alles lief bisher ohne Probleme. Dann das:

Die Farben einiger Windowsfensterhintergruende (nicht alle) veraendern ihre Farbe, z.b nach Pink. Auch die Namen der Eintraege im Startmenue veraendern ihre Farbe in ein helles blau z. B. .... Das gleiche passiert mit gewissen bereichen anderer Programme, z.b. meinem Easycleaner, der hat ploetzlich auch andere Farben zu bieten. So schonmal sehr seltsam.

Kurz darauf geht meistens der Bildschirm aus, der Pc scheint weiterzulaufen.
Wenn ich den Laptop dann neu starte, stuerzt er beim Windows hochfahren ab, fuer ein Bruchteil einer Sek kommt ein blauer Bildschirm, dann neustart.

Im Abgesicherten Modus laeuft der PC ohne Probleme.
System Wiederherstellung behebt das Problem fuer ein paar Minuten, taucht wieder auf.
Nach einer kleinen ruhephase laeuft der Laptop auch meist wieder normal, aber nach kurzer Zeit kommt das Problem wieder.
Es tauchen auch Streifen beim starten von Windows in den Grafiken und Schriften auf (weisse) und der Mauskursor hat kleine schwarze streifen. ???? AHH?

Anti Vir kann nichts finden. Ist es vielleicht ein Problem mit der Hardware? oder doch ein Virus und Antivir kanns nicht finden ( frisch aktualisiertes Antivir).

lg, ich bedanke mich bei jedem der mir dazu was sagen kann.

 

[anonymum2]

Hallo boogie

Überprüfe mal die Temperaturen. Es scheint ein Überhitzungsproblem zu
sein.

gruss rolfpower

 

[Unalakleet]

RE: Virus? Hardwareproblem? Hilfe!

Hi

Probier mal hier

Please, Anmelden or Registrieren to view URLs content!

 

[McFly]

Unalakleet

Ich glaube nicht das er damit was anfangen kann..

 

[Harry]

Hallo boogie,

mit der Everest Home Edition kannst Du wichtige Informationen über Deinen PC abrufen. Auch die derzeitigen Temperaturzustände von CPU usw.

Please, Anmelden or Registrieren to view URLs content!

Unalakleet
Nett von Dir, daß Du helfen willst. Aber die autom. Logfileauswertung von HJT kann man nur verwenden, wenn man eine Logfile hat.

L.G.
Harry

 

[boogie]

ok ich chek das mal mit dem Everest.

Im uebrigen laeuft der pc jetzt anscheinend nur noch im abgesicherten modus...

ich moechte mich schonmal bei allen bedanken, die mir hier bei helfen.

angenommen der pc ist ueberhitzt, ist das dann logisch, dass er noch im abgesicherten modus laufen kann, aber im normalen beim windows laden abstuerzt?

lg , Boogie.

 

[Harry]

Hallo boogie,

durchaus möglich, da im abgesicherten Modus nur das nötigste was das Bebtriebssystem braucht, geladen wird. D.h.: Dein Rechner läuft auf "Sparflamme" und benötigt in diesem Zustand nur wenig Ressourcen.
Check das mal mit Everest ab.

L.G.
Harry

 

[boogie]

Also ich hab jetzt einfach unter Computer, Sensoren geguckt bei Everest und er sagt das:

(direkt nach Computerstart, abgesicherter Modus)
CPU 40 grad
MOtherboard 29 grad.

sagt mir das was ?

-

oder euch?

lg

 

[boogie]

ok konnte den pc jetzt doch normal starten, wiso auch immer....

everesst temeratur sensoren sagen das ;

MainBoard 39

CPU 50 Grad

GPU 68 Grad

GPU Umgebung 55 Grad

alles direkt nach start.

habe 5 min gewarte ohne weitere sachen am pc zu machen und

GPU von 68 auf 77 Grad

Umgebung 60 Grad.

luefter unterseite, auf einem glastisch.

lg

 

[boogie]

ja der gpu pendelt sich bei 76-78 grad ein, ohne benutzung des pcs.

ist das zuviel fuer eine laptop gpu?

hab ein bischen gesurft und mal den spybot nochmal durchgeschickt. Tem ging auf 85 hoch beim GPU.

ab ca 82 wurden auch einige fenster wieder rosa, ein Zusammenhang?

hab ihn daraufhin ausgemacht.

 

[Harry]

Hallo boogie,

es wäre vielleicht doch nicht schlecht, wenn Du uns einen Logfile von HighJackThis posten würdest.
Eine Anleitung findest Du hier:

Please, Anmelden or Registrieren to view URLs content!

L.G.
Harry

 

[boogie]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:59:40, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\jacky.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [synTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\Tools\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Odyssey\Odyssey Client for Siemens Computers\odClientService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)

--
End of file - 4514 bytes

so die logfile. Konnte es nur im abgesicherten Modus machen, da normal nicht mehr funktioniert. Im abgsicherten modus sind allerdings auch schwarze duenne streifen von oben nach unten ueber den BIldschirm.

lg

 

[Harry]

Hallo boogie,

warte mal, bis sich unser HJT-Spezialist McFly den Logfile angeschaut hat.
Ich glaube, daß sich mehrere Einträge von "PartyPoker.com in system32 als dll eingeschrieben haben. Eigentlich haben diese Einträge dort nichts zu suchen.

Aber warte bitte noch die Bewertung von McFly ab.

L.G.
Harry

 

[McFly]

Richtig, lass diese Datei mal bei Virustotal.com scannen:

C:\WINDOWS\system32\shdocvw.dll

und poste uns das Ergebnis. Danach solltest du diese Datei löschen.

fixe diese beiden Einträge mit Hijackthis (Fix checked):

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

 

[boogie]

So habe die File mit Virus Total gechekt, kein Ergebnis fuer einen Virus. Aber ne tolle Seite .

Und habe die beiden PartyPoker eintrage gefixt.

Der Computer lief seltsamerweise (auch schon vor diesen fixes) wieder normal , tat das auch ne weile bis die Farben wieder anfingen. Ich habe den Verdacht es liegt an der Hardware, vll der GPU oder die Kuhlung, wenn der auf 80 Grad hochgeht im normalgebrauch? Was meint ihr?

Ansonsten vielen dank fuer die Hilfe. Sehr nett von euch! ICh denke ich schick den zu Siemens zurueck, ist noch etwas Garantie drauf/ puhhh

 

[McFly]

Untersuche deinen Rechner mal auf Rootkits, evtl. kann es sein das sich unter den treibern Schadsoftware befindet, poste bitte mal das Ergebnis von Blacklight.

 

[boogie]

also der durchlauf mit blacklight beta hat nichts gefunden, hat keinen Bericht erstellt, den ich kopieren kann.

damit ihr mal ein visuelles bild habt, wie das aussieht, wenn der pc anfaengt zu spinnen, hab ich mal einen screenshot gemacht.

 

[McFly]

Hmm, hast du dxdiag mal durchlaufen lassen ?

Um den Bluescreen mal näher und vor allem länger zu begutachten (schreib bitte alles ab und poste es uns) stell den automatischen Neustart mal ab.

Systemsteuerung => System => Erweitert => Einstellungen bei Starten und Wiederherstellen => Häkchen raus bei "Automatisch Neustart ausführen"

 

[boogie]

Als Dxdiag hat nichts gefunden.
Gestern lief der PC komischerweise ganz normal. Heute geht er wieder nicht.... ich werd daraus nicht schlau. Mal ja, mal nein.... mmmh. So hier der Bluesreen:

Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

PAGE_FAULT_IN_NONPAGED_AREA

Wenn sie diese Fehlermeldung zum ersten mal angezeigt bekommen, sollten sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen sie folgenden Schritten folgen:

Stellen sie sicher, dass neue Hardware oder Software richtig installiert ist. Fragen sie ihren Hardware- oder Softwarehersteller, nach möglicherweise erforderlichen Windows updates, falls es sich um eine Neuinstallation handelt.

Falls das Problem weiterhin bestehen bleibt, sollten sie alle neu installierte Hardware und Software deinstallieren. Deaktivieren sie BIOS-Optionen wie Caching oder Shadowing.
Starten sie den Computer neu, drücken sie die F(-Taste um die erweiterten Startoptionen zu wählen und wählen sie dann den abgesicherten Modus, sollten sie zum Löschen oder Deaktivieren von Komponenten den abgesicherten Modus verwenden müssen.

Technische Information:

*** STOP: 0x00000050 (0xFC5AAC0C, 0x00000000, 0x8052AC8C, 0x00000000)

Ich weiß nicht mehr weiter... soll ich mal formatieren, um Schadsoftware ausschleßen zu können?

 

[McFly]

Probier das erst mal aus was dort dabei steht:

Please, Anmelden or Registrieren to view URLs content!