win xp absturz, grund finden

T

testtestson

0
hi,
ich habe eine frage wie ich den grund fuer einen win xp absturz feststellen kann.
absturz mit bluescreen. welche daten sind notwendig bzw. wo bekommt man diese daten her um den grund zu finden (und daraus dann eine loesung zu finden).
danke
 
So bekommt man nicht den Grund des Absturzes raus. Guck dir lieber mit WinDbg den Minidump an (sollte unter %SystemRoot%\Minidump liegen).
 
Original von xrayn
So bekommt man nicht den Grund des Absturzes raus. Guck dir lieber mit WinDbg den Minidump an (sollte unter %SystemRoot%\Minidump liegen).
Zum Vergrößern anklicken....

Ich will ja nicht böse klingen, aber glaubst du wirklich, dass der Threadersteller das hinbekommen würde? Ich glaube das eher nicht.

Original von testtestson
und wo bekomme ich das her?
bitte alle angaben mit weg wie man die daten bekommt angeben
Zum Vergrößern anklicken....

Wenn du es nicht mal schaffst, kurz bei Google sowas rauszusuchen (hier z.B. einfach nur xp ereignisanzeige und dann das 3. Ergebnis), dann werde ich das Thema schließen. Soviel Eigeninitiative ist nun wirklich nicht zuviel verlangt!

So, nun zurück zum Thema:

Der Tip mit der Ereignisanzeige ist zwar meist nicht schlecht, bei Bluescreens aber nicht die Informationsquelle, die ich als erstes überprüfen würde.

Das erste was du machst ist folgendes:
Du guckst dir den Bluescreen genau an. Da steht dann ein Stop-Code. der fängt mit 0x an. Danach könntest du bei Google dann schonmal suchen.

Ein Tip:
Wenn der Code z.B. 0x0000007F lautet, dann google nicht nur nach genau dieser Schreibweise sondern auch noch nach "stop 0x7f" (ohne die ""), da viele ebend die Nullen nach dem 0x weglassen.

So, wenn in der Meldung noch mehr steht, z.B. ein Treiber oder so, dann notiere dir das auch, da es für die Suche sehr hilfreich ist.

Diese Meldung könntest du hier dann z.B. noch posten. Sollten wir dann noch mehr Infos brauchen, werden wir dich wohl nach dem Minidump fragen, das können wir dir dann aber auch noch zu dem Zeitpunkt erklären.
Wie ich schon oben angedeutet habe, bezweifel ich, dass du bei deinem Kenntnisstand (den ich mal aus deinen Fragen schließe) das Minidump lesen könntest. Da solltest du dann doch schon zumindest nach den gröbsten Sachen aus nem Bluescreen suchen können und diese dann auch verstehen.
 
also mein kenntnisstand ist gut genug um den minidump auszulesen. was das googeln angeht, ja klar kann man das machen, allerdings ist das thema abstuerze bei windows so umfangreich, das man da tagelang suchen kann. deshalb habe ich gefragt was die leute, die ich um hilfe frage als sinnvoll erachten um daten die wirklich helfen, zu erhalten.
ich denke das ist sinnvoll, oder???
was die bitte um vollstaendige befelsangabe angeht:
damit will ich nur "hilfen" wie der ersten entgehen "Am besten schaust du mal ins Ereignisprotokoll..."
solche aussagen sind naemlich ueberhaupt nicht hilfreich, sondern purer schwachsinn.

@lightsaver: und man sollte nicht aufgrund einer frage den kenntnisstand eines nutzers beurteilen (das ist NICHT unhoeflich gemeint, sondern nur ein tip).

data aus der dmp datei:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini040309-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055b1c0
Debug session time: Fri Apr 3 09:16:29.270 2009 (GMT+2)
System Uptime: 0 days 11:04:44.346
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
............
Loading User Symbols
Loading unloaded module list
.................
Unable to load image fltMgr.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for fltMgr.sys
*** ERROR: Module load completed but symbols could not be loaded for fltMgr.sys
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {58, ff, 0, 804d93be}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Probably caused by : ntoskrnl.exe ( nt+23be )

Followup: MachineOwner
---------
 
ich sehe probleme mit ntoskrnl.exe
ich lade jetzt die symbols runter und melde mich wenn ich die besseren infos habe.

so folgende daten erscheinen (mbam.exe ist ein antimalware prg):

ps: ich warte immernoch auf eine hilfsanweisung!!!

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: 00000058, memory referenced
Arg2: 000000ff, IRQL
Arg3: 00000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 804d93be, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: 00000058

CURRENT_IRQL: ff

FAULTING_IP:
nt!ExAcquireResourceSharedLite+65
804d93be 66395e0c cmp word ptr [esi+0Ch],bx

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xA

PROCESS_NAME: mbam.exe

LAST_CONTROL_TRANSFER: from f7a2f57c to 804d93be

STACK_TEXT:
a7c488d0 f7a2f57c 0000004c 00000001 00000000 nt!ExAcquireResourceSharedLite+0x65
a7c488f4 f7a34da9 88179008 00000001 00000000 fltMgr!FltpGetNextCallbackNodeForInstance+0x2a
a7c48928 f7a35366 89b71130 a93abbcd 89ea5594 fltMgr!FltpGetFileNameInformation+0x49
a7c48968 f7a2fef3 89ea5594 a7c4898c 00000000 fltMgr!FltGetFileNameInformation+0x114
a7c489d0 f7a32338 00ea5538 00000000 89ea5538 fltMgr!FltpPerformPostCallbacks+0x1c5
a7c489e4 f7a32867 89ea5538 88179008 a7c48a24 fltMgr!FltpProcessIoCompletion+0x10
a7c489f4 f7a32ef9 89c79218 88179008 89ea5538 fltMgr!FltpPassThroughCompletion+0x89
a7c48a24 f7a3f754 a7c48a44 00000000 00000000 fltMgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x269
a7c48a60 804e37f7 89c79218 88179008 88179008 fltMgr!FltpCreate+0x26a
a7c48a70 8056ef61 89f47018 888f7114 a7c48c18 nt!IopfCallDriver+0x31
a7c48a74 89f47018 888f7114 a7c48c18 00000018 nt!NtQueryInformationToken+0xe74
WARNING: Frame IP not in any known module. Following frames may be wrong.
a7c48b50 80563fec 89f47030 00000000 888f7070 0x89f47018
a7c48bd8 8056867a 00000000 a7c48c18 00000040 nt!ObpLookupObjectName+0x56a
a7c48c2c 8056f43b 00000000 00000000 00000001 nt!CmpCompareCompressedName+0x41
a7c48ca8 8056f50a 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0x1384
a7c48d04 8056f5d2 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0x143b
a7c48d44 804de7ec 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0xc74
a7c48d44 7c90e4f4 0012dca8 00100020 0012dc60 nt!KiFastCallEntry+0xf8
0012def4 00000000 00000000 00000000 00000000 0x7c90e4f4


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!ExAcquireResourceSharedLite+65
804d93be 66395e0c cmp word ptr [esi+0Ch],bx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!ExAcquireResourceSharedLite+65

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntoskrnl.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 48a40bb9

FAILURE_BUCKET_ID: 0xA_nt!ExAcquireResourceSharedLite+65

BUCKET_ID: 0xA_nt!ExAcquireResourceSharedLite+65

Followup: MachineOwner
---------
 
Moin,

so, das du nicht mehr warten musst:
in die Ereignissanzeige kommst du wie folgt:

Rechtsklick auf "Arbeitsplatz"--> "Verwalten"
Dann öffnet sich das Fenster "Computerverwaltung"
Dort klickst du auf "System" --> "Ereignissanzeige"
Dort kannst du dann zwischen verschiedenen Protokollen auswählen.
Für dich Momentan interessant sollten wohl "System" und "Anwendung" sein.

Dort schaust du einfach nach Fehlermeldungen. Die sind meistens sogar farblich gekennzeichnet.
Falls du dort dann nen Error entdeckst, machste Doppelklick drauf, und bekommst Details ausgeworfen.
Da steht dann z.B. auch noch ne Fehler-Nummer drin, die über google helfen sollte.

Hoffe das Hilft :)

Lg
Darky
 
zur info der minidump bericht datiert von 18:38 uhr

also die eine fehlermeldung unter system ist ein problem mit der zeitanzeige (das wird wohl nicht zum absturz fuehren):

Details
Product: Windows Operating System
ID: 17
Source: W32Time
Version: 5.2
Symbolic Name: MSG_MANUAL_PEER_LOOKUP_FAILED_RETRYING
Message: Time Provider NtpClient: An error occurred during DNS lookup of the manually configured peer '%1'. NtpClient will try the DNS lookup again in %3 minutes. The error was: %2


und auch der zweite fehler in system sieht nicht vielversprechend aus:

Details
Product: Windows Operating System
ID: 30005
Source: ipnathlp
Version: 5.2
Symbolic Name: IP_AUTO_DHCP_LOG_DUPLICATE_SERVER
Message: The DHCP allocator has detected a DHCP server with IP address %1 on the same network as the interface with IP address %2. The allocator has disabled itself on the interface in order to avoid confusing DHCP clients.


unter anwendungen ist keine fehlermeldung.
 
hmm, die sollten eigentlich nicht das Problem sein...
Von wann sind die denn?
War um den dreh rum ein Absturz?

Die 2 Meldungen beziehen sich eigentlich auf ein Netzwerk-Problem... und das sollte wirklich nicht zum Absturz führen
 
der absturz war zu einer zeit in der ich nicht vor dem rechner war (zwischen 9:00-19:00Uhr) deshalb habe ich alle bericht aus diesem zeitraum gelistet. wann genau der absturz war, weiss ich nicht (ausser der zeitspanne oben).
durch den minidump bericht weiss ich allerdings, dass es wohl mein antimalware prg. war (siehe minidump bericht 2-3 nachrichten frueher).
ich habe jetzt nur die dinge gepostet, die ich aus den meldungen kamen, die du mir geraten hast nachzuschauen. meine meinung bzgl der fehlermeldungen ist aequivalent zu deiner: das fuehrte nicht zum absturz.


ich warte immernoch auf eine antwort was mir die minidump analyse bringt.
was sollte man unternehmen um abstürze zu unterbinden?
das prg loeschen? (ich hatte es 1 jahr ohne probs auf win xp)
es ist was anderes, was ich aber nicht gesehen habe?
ihr wisst es auch nicht?
 
Original von testtestson
ich warte immernoch auf eine antwort was mir die minidump analyse bringt.
Zum Vergrößern anklicken....

Google hätte dir zum Beispiel diese Seite gezeigt: http://support.microsoft.com/default.aspx?scid=kb;de;315263
Ich zitiere mal kurz von dieser Seite:
Eine kleine Speicherabbilddatei zeichnet den kleinsten Satz nützlicher Informationen auf, der dazu beitragen kann, die Ursache zu ermitteln, wenn Ihr Computer nicht mehr reagiert.
Zum Vergrößern anklicken....
Ist deine Frage damit erstmal beantwortet?

was sollte man unternehmen um abstürze zu unterbinden?
das prg loeschen? (ich hatte es 1 jahr ohne probs auf win xp)
es ist was anderes, was ich aber nicht gesehen habe?
ihr wisst es auch nicht?
Zum Vergrößern anklicken....

Also dieses Minidump sagt erstmal aus, dass es ein Problem bei einem Lesezugriff gekommen ist. Schuld war hier erstmal dein Malwareprogramm.

Ich würde nun noch einige andere Minidumps überprüfen. ich gehe mal davon aus, dass du nicht schon nach einem BSOD hier gepostet hast sondern dass es wohl schon mehrere waren. War es nur der eine, dann würde ich mir erstmal keine Gedanken machen, waren es schon mehrere, dann wirst du ja sehen, ob das Programm immer wieder in diesem Zusammenhang auftritt. Sollte dem so sein, würde ich es mindestens mal komplett deinstallieren und dann neu installieren (in der neuesten Version).
 
ja es waren mehrere. z.b. heute nacht wieder ohne dass diese prg lief:
bluescreen zeigte:

STOP: 0x0000008E (0xC0000005, 0xF7A352E6, 0xA8A328E0, 0x00000000)
fltMgr.sys - Address F7A352E6 base at F7A2F000, DateStamp 480251da

minidumpbericht:

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: f7a352e6, The address that the exception occurred at
Arg3: a8a328e0, Trap Frame
Arg4: 00000000

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".

FAULTING_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

TRAP_FRAME: a8a328e0 -- (.trap 0xffffffffa8a328e0)
ErrCode = 00000000
eax=a8a32984 ebx=00000000 ecx=a8a32a88 edx=00000000 esi=887a7064 edi=804e4cb5
eip=f7a352e6 esp=a8a32954 ebp=a8a3298c iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010206
fltMgr!FltGetFileNameInformation+0x94:
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h ds:0023:00000000=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

PROCESS_NAME: update.exe

MISALIGNED_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

LAST_CONTROL_TRANSFER: from f7a30888 to f7a352e6

STACK_TEXT:
a8a3298c f7a30888 887a7064 a8a329ac a8a329dc fltMgr!FltGetFileNameInformation+0x94
a8a329ec f7a322a0 00a32a30 887a7008 88d0cfdc fltMgr!FltpPerformPreCallbacks+0x2d4
a8a32a00 f7a3f217 a8a32a30 f7a3d6aa 00000000 fltMgr!FltpPassThroughInternal+0x32
a8a32a18 f7a3f742 a8a32a30 88772ec0 88d0ce38 fltMgr!FltpCreateInternal+0x63
a8a32a4c 804e37f7 88d15af8 88d0ce28 88d0ce28 fltMgr!FltpCreate+0x258
a8a32a5c 8056ef61 89f47b68 8897041c a8a32c04 nt!IopfCallDriver+0x31
a8a32a60 89f47b68 8897041c a8a32c04 00000018 nt!NtQueryInformationToken+0xe74
WARNING: Frame IP not in any known module. Following frames may be wrong.
a8a32b3c 80563fec 89f47b80 00000000 88970378 0x89f47b68
a8a32bc4 8056867a 00000000 a8a32c04 00000040 nt!ObpLookupObjectName+0x56a
a8a32c18 8056f43b 00000000 00000000 04a74001 nt!CmpCompareCompressedName+0x41
a8a32c94 8056f50a 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0x1384
a8a32cf0 8056f640 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0x143b
a8a32d30 804de7ec 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0xcf1
a8a32d30 7c90e4f4 0012b9fc 40100080 0012b99c nt!KiFastCallEntry+0xf8
0012b9f4 00000000 00000000 00000000 00000000 0x7c90e4f4


STACK_COMMAND: kb

FOLLOWUP_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: fltMgr!FltGetFileNameInformation+94

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: hardware

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MODULE_NAME: hardware

FAILURE_BUCKET_ID: IP_MISALIGNED

BUCKET_ID: IP_MISALIGNED

Followup: MachineOwner
---------


da soll es update.exe sein (wahrscheinlich windowsupdate, naja bei jedem absturz ist es wahrscheinlich irgendein alibiprg, oder???)

achso auf wunsch ich habe noch 3 weitere berichte aus den letzten 3 tagen (02.04 war es system process, am 01.04 war es wieder die mbam.exe [antimalware prg] und am 30.03 die spyraser.exe) also das sieht doch so aus, als ob nicht die prg daran schuld sind, sondern das problem ein anderes ist, oder???
 
Original von testtestson

achso auf wunsch ich habe noch 3 weitere berichte aus den letzten 3 tagen (02.04 war es system process, am 01.04 war es wieder die mbam.exe [antimalware prg] und am 30.03 die spyraser.exe) also das sieht doch so aus, als ob nicht die prg daran schuld sind, sondern das problem ein anderes ist, oder???
Zum Vergrößern anklicken....

Naja, denkbar wäre, dass ein Programm eine wichtige Betriebssystemdatei korrumpiert hat und nun die Programme darauf zugreifen wollen und es daher zu kritischen Fehlern kommt...
Was hast du denn in den Tagen vor den BSOD installiert oder deinstalliert? Fällt dir irgendetwas ein, das du geändert hast?

Ein HijackThis-Log wäre evtl auch hilfreich. Des Öfteren werden solche BSOD auch von Malware verursacht...
 
ja genau sowas vermute ich ja auch. also prg. habe ich keine nichtvertrauenswuerdigen installiert. allerdings durch andere downloads kann da natuerlich was passiert sein, habe zwar firewall + 2 antiviren prgs laufen, aber es kann ja trotzdem immer passieren.
habe den hijackthis-log in einem hilfe zum verstaendnis dieses logs-forum gepostet.
warte noch auf antworten darauf.
 
Original von testtestson[...] habe zwar firewall + 2 antiviren prgs laufen, [...]
Zum Vergrößern anklicken....

Das wird der Fehler sein. Solche Securityprodukte nisten sich aehnlich wie ein rk tief im System ein, patchen Funktionen um ein gewisses Maß an Kontrolle ueber das System zu wahren. Leider wird durch das patchen die Systemstabilitaet sehr stark reduziert und das schon bei einem Produkt, wenn man nun 2 oder mehrere installiert ist das schon vorprogrammiert, dass es schief geht. Zwei Anitvirenprogramme sind IMHO totaler Schwachsinn, nicht nur weil sie das System unoetig destabilisieren, auch weil es unwahrscheinlich ist, dass beide einen besseren Schutz liefern als eines fuer sich allein.
 
naja das mag vielleicht richtig sein, ABER ich musste nach einem hardwarecrash alles neu installieren (neue fps). und vorher hatte ich diese 2 antiviren prgs auch ueber 1,5 jahre laufen OHNE einen einzigen systemcrash.
also ich werde mal eins deinstallieren und mal schauen, ob die bluescreen-rate runtergeht, allerdings bezweifle ich das doch etwas, aber mal schauen...

nochmal zu dem hijackthis-log tip:
also ich warte inzwischen seit ueber 2 std. auf irgendeine antwort, deshalb poste ich den log mal hier, vielleicht kann ja Knoxx damit was anfangen:

@Knoxx:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:32, on 04.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\DAEMON Tools Lite\daemon.exe
c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\69e0a58c0a899ce6000bb59117c932e2\update\update.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_P.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_P.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKUS\S-1-5-20\..\Run: [SetDefaultMIDI] MIDIDef.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [DefaultP17MIDI] MIDIDEF.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [SetDefaultMIDI] MIDIDef.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [DefaultP17MIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [SetDefaultMIDI] MIDIDef.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [DefaultP17MIDI] MIDIDEF.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{11BB820D-5009-4435-B73C-82A0618CF94A}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{11BB820D-5009-4435-B73C-82A0618CF94A}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{11BB820D-5009-4435-B73C-82A0618CF94A}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS3\Services\Tcpip\..\{11BB820D-5009-4435-B73C-82A0618CF94A}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 6710 bytes
 
Oh sry, ich hab den anderen Thread irgendwie übersehen.
Auf den ersten Blick hast du zwar scheinbar ein paar unnötige bzw verwaiste Einträge, aber Malware oder direkt Probleme sind da nicht zu erkennen.

Nur mal so am Rande, hast du deine Windows-Version mit nLite "gebaut"? Evtl ist da was schief gelaufen? ?(

//Edit
Nur mit der Ruhe... das ist ein Forum und keine Telefon-Hotline.^^
Es kann auch mal mehr als 2 Std. dauern bis ne brauchbare Antwort kommt. ;)
 
das ist kein vorwurf an dich (der andere thread ist in einem voellig anderen forum...)
windows version mit nLite bauen??? ich wusste bis ichs eben nachgeschaut habe nichteinmal was das ist.
also bei der interpretation weisst du auch nicht weiter? dann muss ich wohl darauf hoffen, dass in dem hijackthis-log forum jemand was findet.
achso nur zur zusaetzlichen info. firefox stuerzt auch dauernd ab (webseiten unabhaengig) die anderen prgs scheinen zumindest stabil zu sein.
1ne bluescreen pro tag
1 firefox absturz pro 30 min (manchmal oft, manchmal std-lang gar nicht, dies ist nur der mittelwert, ueber den zeitraum genommen, an dem ich am rechner bin)

der rest scheint ok (nur fuer den fall, dass die firefox-abstuerze irgendjemandem helfen bei der fehlersuche)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben