Auf der Suche nach dem Fehler

Acipenser

Acipenser

Enthusiast
Thread Starter
Mitglied seit
17.05.2007
Beiträge
973
Ort
Dort, wo der Pfeffer wächst
Hi Leute :wink:

habe vor 2 Tagen den PC eines Kollegen bekommen mit der Bitte mal danach zu schauen, weil der sich öfters mal während des Betriebs aufhängen würde.
Das waren alle Infos, die ich dazu bekam. Na gut dachte ich, dann fang ich mal an:

Gleich zu Beginn begrüßten mich schon zwei BSOD: 1x Memory Management und 1x Data_inpage_error.
Deswegen ließ ich erst mal den MemTest drüberlaufen, der aber auch nach 3 Durchgängen keine Fehler feststellen konnte.
Auch HDTune lieferte beim schnellen Error Scan keine und beim genaueren 0,1% Damaged Blocks. Also kanns daran ja auch nicht liegen?!
Danach analysierte ich die beiden BSOD mit Mircosofts Debugging Tools und stellte fest, dass diese "caused by ntoskrnl.exe (nt+7f1c0)" waren. Kurze Recherche --> könnte was mit Treibern zu tun haben.
Auch bemerkte ich, dass immer wieder auf dem 4. Kern ein Prozess anläuft, der fast die ganze Rechenleistung von diesem benötigt. Da sich mit dem TaskManager nichts genaueres herausfinden ließ, nahm ich mir den Process Explorer zu Hilfe und machte den Prozess Interrupts (Hardware Interrupts and DPCs) als Täter verantwortlich. Auch der könnte auf ein Treiberproblem hinweisen.
Ich installierte nun alle aktuellen Windows-Updates, flashte das BIOS auf die neuste Version und schaute nach den Treibern. Diese waren alle auf dem neusten Stand und es fehlte lediglich der Multimediacontroller, den ich dann gleich nachinstallierte (TV-Karte).

Nun dachte ich es wäre vllt erledigt, doch falsch gedacht! Bei jedem Systemstart kommt nach dem Anmeldebildschirm weiterhin ein schwarzer Hintergrund, wo nur die bewegliche Maus zu sehen ist und durch Drücken von Strg+Alt+Entf ein Hinweis auf "Sicherheitsoptionen werden vorbereitet." kommt. Nach 30sek - 2 min geht es dann in der Regel weiter.
Einen BSOD hatte ich dann auch wieder. Dieses Mal BAD_POOL_HEADER, der von der csrss.exe verursacht worden zu sein scheint.
Ich bin echt bald mit meinem Latein am Ende...was könnte ich denn noch tun?
Schon mal Danke für jeglich Hilfe!!

Hier noch die Syseigenschaften. Leider nur als Bild, da Paint auch nicht mehr geht :fresse:
Anhang anzeigen 207618
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hiho,

tritt das Problem mit dem schwarzen Bildschirm auch im abgesicherten Modus auf?
Falls nicht, wären das mit hoher Wahrscheinlichkeit keine Hardwareprobleme.

Was ich noch versuchen würde, wäre Programme zu aktualisieren, die tiefer ins System eingreifen: Antivirensoftware - falls installiert -, SPTD (Daemon Tools) etc.

Google bringt ntoskrnl, csrss und auch den BAD_POOL_HEADER recht oft mit Viren in Verbindung.
Hast du einen Scan durchgeführt? Malwarebytes wird dafür oft empfohlen, allerdings kann ich selbst dazu nichts sagen.

Ansonsten könntest du noch einen HiJackThis-Log posten/analysieren.

Viel Erfolg :wut:
 
Hi, danke für die schnelle Antwort!

Abgesicherter Modus bleibt ca. 10 sek schwarz, bevor es weiter geht (norm. Modus zum Vergleich gerade 20 sek.). Und anscheinend tritt auch hier dieser 4.Kern-Prozess nicht auf. Habs jetzt mal 15 Minuten beobachtet und da rührte sich nichts.

Bie Malwarebytes kam das raus:
Malwarebytes Anti-Malware 1.65.0.1400
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.09.28.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
jung :: JUNG-PC [Administrator]

28.09.2012 13:36:55
mbam-log-2012-09-28 (13-39-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 217798
Laufzeit: 2 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Trojan.Agent) -> Daten: expstart.exe,C:\Users\jung\AppData\Local\Temp\winini.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\jung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

Also 2 infiizierte Dateien, die ich löschen ließ. Seitdem kam auch dieser 4.Kern-Prozess nicht mehr und der Anmeldungsübergang lief flüssig ohne Blackscreen :) Hoffenlich bleibts auch dabei.

Bei Hijackthis kam danach das als Log raus:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:13:08, on 28.09.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Norton AntiVirus\Engine\20.1.1.2\ccSvcHst.exe
C:\Program Files (x86)\Norton Identity Safe\Engine\2013.1.0.32\ccSvcHst.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Users\jung\AppData\Roaming\rootr\service.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Users\jung\Downloads\procexp1522.exe
C:\Users\jung\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton AntiVirus\Engine\20.1.1.2\IPS\IPSBHO.DLL
O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll
O2 - BHO: Norton Identity Protection - {AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} - C:\Program Files (x86)\Norton Identity Safe\Engine\2013.1.0.32\coIEPlg.dll
O3 - Toolbar: Norton Identity Safe Toolbar - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine\2013.1.0.32\coIEPlg.dll
O4 - HKLM\..\Run: [Sound Master] C:\Users\jung\AppData\Roaming\rootr\service.exe
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [JavaAD] C:\Users\jung\AppData\Roaming\rootr\service.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3674857802-696967347-3244327676-1003\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3674857802-696967347-3244327676-1003\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Rapid Storage-Technologie (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files (x86)\Norton AntiVirus\Engine\20.1.1.2\ccSvcHst.exe
O23 - Service: Norton Identity Safe (NCO) - Symantec Corporation - C:\Program Files (x86)\Norton Identity Safe\Engine\2013.1.0.32\ccSvcHst.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: WajamUpdater - Wajam - C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7816 bytes


---------- Post added at 14:30 ---------- Previous post was at 14:22 ----------

Nachtrag:
Jetzt beim Neustart kam mehrmals die Meldung, dass der Windows-Explorer abgestürzt ist und neugestartet werden muss...hm soll ich Windoof einfach mal komplett neu aufspielen?
 
Zuletzt bearbeitet:
Ich würde hier Windows neu aufspielen um sicher zu sein. Mach mit Acronis True Image bzw. Clonezilla (kostenlos) ein Festplattenimage zur Sicherheit, damit du deinem Kollegen nicht zufällig was weglöschst.
Da biste schnell am Ziel und kannst auch Hardwareschäden ausschließen, wenn die neue Installation problemlos läuft. Wenns passt zieh davon gleich wieder ein Image, dann haste es das nächste mal gleich parat, sollte der Kollege wieder mal solche Phenomäne haben.
 
Was mir beim HiJackThis-Log auffällt:
O4 - HKLM\..\Run: [Sound Master] C:\Users\jung\AppData\Roaming\rootr\service.exe
O4 - HKCU\..\Run: [JavaAD] C:\Users\jung\AppData\Roaming\rootr\service.exe

Zwei Autostart-Einträge für ein und die selbe Datei mit unterschiedlicher Beschreibung, dazu noch im AppData-Ordner - was sehr verdächtig ist.
Sollte sie nicht mehr an der Stelle sein, lösch dennoch die beiden Autostart-Einträge in der Registry unter:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" und
"HKEY_CURRENT_USER\...\Run"

Neuinstallieren würde ich nicht unbedingt, das ist zu viel Aufwand mMn.
Du könntest noch "sfc /scannow" ausführen, um eventuell beschädigte Windows-Dateien zu reparieren, siehe SFC /SCANNOW Command - System File Checker - Windows 7 Forums.
Danach noch sicherheitshalber einen kompletten Virenscan und alles sollte perfekt laufen.
 
Hab jetzt schon neuinstalliert, da nur noch der Explorer am Abstürzen war. SP1 und Treiber sind auch schon drauf. Jetzt mal testen.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh