PC HILFE FORUM - User helfen Usern » Software (auch Viren) » Virus - Trojaner - und Hoax - Board » RPC wurde beendet. Ihr System wird in ... heruntergefahren

RPC wurde beendet. Ihr System wird in ... heruntergefahren

steffi
Hallo,

ich hoffe ihr könnt mir helfen. Ich bekomme seit gestern in unregelmäßigen Abständen die Information: Der Remoteprozess RPC wurde unerwartet beendet. ....Ihr PC wird in .. heruntergefahren.

Ich habe schon gegoogelt und bin auf den Wurm blaster gestoßen. Der löst wohl die gleiche Fehlermeldung aus, allerdings habe ich in Prozesse keinen Prozess der msblast heißt. Mein Rechner wird auch nicht alle 30-60 min gezwungenermaßen versucht neu zu starten. Der lief gestern und heute mehrere Stunden ohne einen Neustart zu versuchen. Ich habe auch keine Datei die msBlast.exe heißt in den Systemdateien gefunden. Und bis jetzt habe ich auch kein System erkannt nachdem das Herunterfahren ausgelöst wird.

AntiVir, Spybot, Spyware Terminator und AdAware haben keine Viren gefunden. Abgesehen von Cookies und ähnlichem. Alle Anti-Viren Anti - Spyware Programme haben die aktuellen Updates

Was kann das sein und was kann ich dagegen machen?

Schon mal danke im Voraus
zutireno
Versuch mal HijackThis.de Security.
steffi
Ich entschuldige mich für die Flüchtigkeitsfehler(ich hatte wenig Zeit als ich das geschrieben habe) und hoffe sie sind zur Zufriedenheit geändert. Mein eigentliches Problem konnte ich damit allerdings nicht beheben.
zutireno
Also in der Logfile die bei Hijackthis war nichts verdächtiges?

und Windowsupdate installiert? http://www.microsoft.com/downloads/detai...32-3DE40F69C074


Eigentlich solltes du dieses Update schon lange haben.
steffi
Stimmt das Udate habe ich noch nicht:-(.

Hier die log Datei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12 26, on 19.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5489 bytes

Beim Analysieren hat er bloß eine Unsicherheit gefunden den Internet Explorer, aber nur weil die Version veraltet ist, benutze immer Firefox deswegen habe ich keine neue Version. Allerdings habe ich da das das erste Mal gemacht und kenne mich damit nicht so aus.
BluePeril
Was für eine Browser du nutzt ist eigentlich irrelevant. Viele Programme setzen leider auf den Internet Explorer auf, so dass man sein Betriebssystem und den Internet Explorer immer auf den aktuellsten Stand halten sollte!
steffi
danke das wusste ich nicht werde den aktualisieren. Aber jetzt habe ich ja schon einen Eindringling unglücklich .
Steht was in den log Files was da nicht sein sollte? Wie gesagt ich kenne mich damit nicht aus und habe nur die automatische Analyse gemacht.

Hier auch noch die Ergebnisse vom WindowsScan

Die 30 neuesten Dateien im Ordner Windows:

19.07.2007 DFC.INI 12 38:558
19.07.2007 wiadebug.log 08 18:159
19.07.2007 wiaservc.log 08 18:50
19.07.2007 lgfwup.ini 08 18:295
19.07.2007 0.log 08 18:0
19.07.2007 bootstat.dat 08 18:2.048
19.07.2007 SchedLgU.Txt 07 28:32.520
12.07.2007 yacs.log 22 48:1.351
12.07.2007 setupact.log 18 37:173.163
12.07.2007 setupapi.log 18 37:697.805
21.06.2007 win.ini 13 38:631
21.06.2007 system.ini 13 38:227
15.06.2007 iis6.log 16 40:62.904
15.06.2007 ntdtcsetup.log 16 40:10.573
15.06.2007 comsetup.log 16 40:20.054
15.06.2007 imsins.log 16 40:1.374
15.06.2007 tsoc.log 16 40:17.563
15.06.2007 KB893803v2.log 16 40:5.759
15.06.2007 ocgen.log 16 40:20.348
15.06.2007 msgsocm.log 16 40:1.556
15.06.2007 ocmsn.log 16 40:1.616
15.06.2007 FaxSetup.log 16 40:24.512
15.06.2007 msmqinst.log 16 40:13.648
15.06.2007 mozver.dat 16 37:1.680
28.05.2007 winamp.ini 15 19:192
27.05.2007 BRWMARK.INI 23 47:468
25.05.2007 BRPP2KA.INI 12 50:27


Die 50 neuesten Dateien im Ordner Windows\system32:

19.07.2007 vsconfig.xml 08 18:55.080
19.07.2007 nvapps.xml 08 18:81.191
17.07.2007 wpa.dbl 17 43:2.184
11.07.2007 zllictbl.dat 12 36:4.212
15.06.2007 FNTCACHE.DAT 16 42:263.824
12.06.2007 h323log.txt 18 30:0
25.05.2007 brss01a.ini 12 50:30
25.05.2007 brsvc01a.bsi 12 50:184
25.05.2007 bridf05a.dat 12 46:50
17.04.2007 mlfcache.dat 22 29:51.492
25.03.2007 perfc009.dat 10 14:39.992
25.03.2007 perfh009.dat 10 14:311.604
25.03.2007 perfc007.dat 10 14:48.156
25.03.2007 perfh007.dat 10 14:316.594
25.03.2007 PerfStringBackup.INI 10 14:723.744
09.03.2007 vsutil_loc0407.dll 01 02:54.936
09.03.2007 imsinstall_loc0407.dll 01 02:22.168
09.03.2007 imslsp_install_loc0407.dll 01 02:18.072
09.03.2007 vsdatant.sys 01 02:394.192
09.03.2007 zpeng24.dll 01 01:1.087.216
09.03.2007 zlcommdb.dll 01 01:71.408
09.03.2007 zlcomm.dll 01 01:83.696
09.03.2007 vsxml.dll 01 01:100.080
09.03.2007 vswmi.dll 01 01:46.832
09.03.2007 vsutil.dll 01 01:472.816
09.03.2007 vsmonapi.dll 01 01:104.176
09.03.2007 vspubapi.dll 01 01:276.208
09.03.2007 vsregexp.dll 01 01:71.408
09.03.2007 vsdata.dll 01 01:83.696
09.03.2007 vsinit.dll 01 01:157.424
09.02.2007 jupdate-1.5.0_11-b03.log 17 55:9.857
09.02.2007 javaw.exe 17 14:135.168
09.02.2007 javaws.exe 17 14:139.264
09.02.2007 java.exe 17 14:135.168
09.02.2007 javacpl.cpl 17 14:69.632
Music 08.02.2007 SpoonUninstall-dBpowerAMP 23 32:17.867
08.02.2007 SpoonUninstall.exe 23 32:167.936
Music 08.02.2007 SpoonUninstall-dBpowerAMP 23 32:27.958
Ogg 08.02.2007 SpoonUninstall-dBpowerAMP 23 32:2.149
Ogg 08.02.2007 SpoonUninstall-dBpowerAMP 23 32:27.958
08.02.2007 wmpscheme.xml 21 00:25.065
08.02.2007 $winnt$.inf 20 58:261
08.02.2007 CONFIG.NT 20 57:2.951
08.02.2007 amcompat.tlb 20 57:16.832
08.02.2007 nscompat.tlb 20 57:23.392
08.02.2007 logonui.exe.manifest 20 56:488
08.02.2007 WindowsLogon.manifest 20 56:488


und hier die Ergebiss von F-Secure BlackLight

07/19/07 12:48:02 [Info]: BlackLight Engine 1.0.64 initialized
07/19/07 12:48:02 [Info]: OS: 5.1 build 2600 ()
07/19/07 12:48:02 [Note]: 7019 4
07/19/07 12:48:02 [Note]: 7005 0
07/19/07 12:48:09 [Note]: 7006 0
07/19/07 12:48:09 [Note]: 7011 1420
07/19/07 12:48:09 [Note]: 7026 0
07/19/07 12:48:09 [Note]: 7026 0
07/19/07 12:48:10 [Note]: FSRAW library version 1.7.1022

und hier die Ergebnisse von navilog1

Search Navipromo version 2.0.4 began on 19.07.2007 at 12:55:14,66

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1
Updated on 29.06.2007 at 17h00 by IL-MAFIOSO

Done in normal mode

*** Searching for installed Software ***




*** Search folders in C:\WINDOWS ***




*** Search folders in C:\Programme ***




*** Search folders in C:\Dokumente und Einstellungen\All Users\Application Data ***




*** Search folders in C:\Dokumente und Einstellungen\steffi\Anwendungsdaten ***



*** Search with BlackLight Engine/F-secure ***
BlackLight Engine is a product of F-secure, for more info:
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 07/19/07 at 12:55:15.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/19/07 at 12:57:17 (return code = 0).


*** Search files ***




*** Search registry keys ***


Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Search Magic Control Key



*** Complementary Search ***
(Search specifics files)

1)Search known files:


2)Heuristic Search :
*
**
***
****
*****
******
*******
********

3)Certificates Search :


*** Search completed on 19.07.2007 at 12:57:19,92 ***
zutireno
Du solltest dir ein Antivirenprogramm besorgen.
kostenloses Antivirenprogramm: http://www.free-av.de/

Am besten Servive Pack 2 für Windows XP installieren und dann automatische Updates aktivieren. http://www.chip.de/downloads/c1_downloads_13012933.html
steffi
Ich habe mehrere AntiViren AntiSpyware Programme drauf:
AntiVir, Spyware Terminator, AdAware, a-sqaured free und Spybot. Die haben alle die aktuellen Updates und die haben alle in den letzten 3Tagen wo ich die Fehlermeldung bekomme nichts außergewöhnliches gefunden. Abgesehen von Spybot der hat 2 Registry Einstellungen gefunden die ich daraufhin damit zurückgesetzt habe und Alexa Related.
Alexa löst allerdings so weit ich weiß solche Meldungen nicht aus sondern spioniert „nur“ aus wann man im Internet macht.
Die Registry Einträge waren:
…FirewallDisableNotify!=dword:0
…AntiVirusDisableNotify!=dword:0

Ja die Updates muss ich noch machen. Aber beheben werden die das Problem doch nachträglich nicht?
BluePeril
Deine Fehlerbeschreibung deutet eigentlich auf einen Blaster-Wurm hin, lade dir mal das Entfernungstool von Symantec herunter. Eigentlich sollten Spybot, Antivir und die anderen Programme einen Blaster-Wurm ebenfalls erkennen und entfernen können. Daher bin ich mir auch nicht 100%ig sicher, ob da einer drauf ist. In der Prozessliste von Hijackthis war alles sauber.
steffi
Ich habe noch nicht versucht den Wurm blaster zu entfernen. Nicht das ich deiner Einschätzung nicht traue, bin sehr dankbar für Hilfe, aber es kam mir sehr komisch vor, dass alle anderen Merkmale nicht zutreffen. Und beim Entfernen wird ja glaube ich auch was in der Registry gelöscht und da hatte ich Angst, dass wenn ich den nicht habe das Programm zum entfernen was kaputt macht.

Deswegen habe ich noch ein paar Sachen probiert und mir ist aufgefallen das der immer(soweit ich mich erinnern kann also min 3mal) aufgetreten ist als ich AntiViren Programme habe laufen lassen. Da ich das aber immer mache nachdem ich den Rechner hochfahre dachte ich das liegt vielleicht am neustarten bzw. daran das ich das herunterfahren mit shutdown –a daran gehindert habe herunterzufahren.

Allerdings verhält sich AdAware seit ich das habe komisch. Bei einem durchlauf findet er AAgent nach nochmaligem durchlaufen ohne das zu Entfernen findet er es nicht mehr. Bei einem Versuch AAgent zu entfernen ist mein Rechner abgestürzt und die letzten beiden male, wo ich AdAware gestartet habe, habe ich die Fehlermeldung bekommen.
Es ist auch noch nie aufgetreten als ich nichts am Rechner gemacht habe. Also muss doch irgendwas was ich gemacht habe das ausgelöst haben?

Kann das sein das AdAware infiziert ist? Und wenn ja was soll ich dagegen machen? Also deinstallieren nehme ich mal an, aber der wird sich doch nicht so leicht entfernen lassen? Jetzt bekomme ich auch schon mehr Störungen als vorher, vorhin ist zum Beispiel meine Firewall abgestürzt, als ich AdAware den Zugriff verweigern sollte. Steigert der seine Attacken?
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH