[muarx]

Hallo !

Ich bekomme seit kurzem mehrmals täglich nen BlueScreen der aber aus meiner Sicht an keine bestimmte Aktion gekoppelt ist und wie folgt aussieht :

*** STOP: 0x0000001E (0xC0000005, 0xBEBE892A, 0x00000000, 0x00000009)
KMODE_EXCEPTION_NOT_HANDLED
***Address BEBE892A base at BEBD 1000, Date Stamp 3af309fa – netbt.sys

Beginnen des Speicherabbildes
Speicherabbild abgeschlossen. Wenden Sie sich an den Systemadministrator oder einen Mitarbeiter der technischen Unterstützung.

Folgendes habe ich biserh unternommen :

- SP4 installiert
- netbios in den TCP/IP-Eigenschaften deaktiviert
- netbt.sys aus c:\winnt\system32\drivers durch die aus dem Verzeichnis c:\winnt\servicepackfiles\i386 ersetzen.

- Kaspersky AntiVirus und Antihacker melden nichts


HiJackThis sagt mir folgendes :

Logfile of HijackThis v1.99.0
Scan saved at 12:38:05, on 18.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Office keyboard utility\1.4\nhksrv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\SYSTEM32\WINS\Ocs4lif3\FireDaemon.EXE
C:\WINNT\SYSTEM32\wins\Ocs4lif3\desi.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Office keyboard utility\1.4\OFFICEKB.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Office keyboard utility\1.4\MMKEYB.EXE
C:\Programme\Office keyboard utility\1.4\TrayMon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Office keyboard utility\1.4\osd.exe
D:\Virtuel CDv5\System\VC5Tray.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\gonzo1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Office keyboard utility\1.4\OFFICEKB.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: FireDaemon Service: desi - Unknown - C:\WINNT\SYSTEM32\WINS\Ocs4lif3\FireDaemon.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare NT Utilities 2.6 - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Office keyboard utility\1.4\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Virtual CD v5 Security service - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe


Hat jemand eine Idee woran das liegen könnte oder erkennt in dem Log was merkwürdiges ?

Danke,
muarx

[flo]

das Log sieht soweit sauber aus,

Die datei scheint beschädigt zu sein, ich schaue mal ob ich was zum fehlercode finde

EDIT:

So das sagt M$ dazu

STOP: 0x0000001E (0x80000003, 0xBFC0304, 0x0000000, 0x0000001)
[bugcheck code] ([1] [2] [3] [4])

Dieses Problem kann auftreten, wenn Sie Ihren Computer während des Windows Setup-Vorgangs oder danach neu starten und eine der folgenden Bedingungen zutrifft:

* Der Speicherplatz auf dem Laufwerk, auf dem Sie Windows installiert haben, reicht nicht aus.
* Auf Ihrem Computer sind ein oder mehrere veraltete oder nicht kompatible Treiber von Drittanbietern installiert (z.B. ein fehlerhafter Grafiktreiber).
* Es gibt Kompatibilitätsprobleme mit dem System-BIOS.

Wenden Sie abhängig von Ihrer Situation eine der folgenden Methoden an, um dieses Problem zu beheben:

Methode 1: Bereitstellen von freiem Speicherplatz
Vergewissern Sie sich, dass es auf der Festplatte, auf der Sie Windows installiert haben, genügend Speicherplatz gibt, oder installieren Sie Windows auf einer Festplatte mit genügend Speicherplatz neu.

Methode 2: Deaktivieren oder Entfernen von Drittanbietertreibern
Wenn in dieser STOP 0x1E-Fehlermeldung ein Treibername genannt wird, deaktivieren oder entfernen Sie diesen Treiber. Wenn das Problem dadurch behoben wird, erkundigen Sie sich beim Hardwarehersteller, wie Sie die aktuelle Version des Treibers erhalten können.

Methode 3: Aktualisieren des System-BIOS
Wenden Sie sich an den hersteller Ihres Computers oder Motherboards, um weitere Informationen dazu zu erhalten, wie Sie Ihr System-BIOS aktualisieren können.

Kontrollier das mal

Dieser Beitrag wurde von Flo01 bearbeitet: 18. Januar 2005 - 15:22

[muarx]

Danke schön, werde ich testen.

Aber noch eine andere Frage :
C:\WINNT\SYSTEM32\WINS\Ocs4lif3\desi.exe
C:\WINNT\SYSTEM32\WINS\Ocs4lif3\FireDaemon.EXE

werden ja im HiJackThis-Log angezeigt.

Ich habe mal das Log unter www.highjackthis.de eingetragen und da steht bei diesen beiden "unbekannt".

Wofür braucht man die?

Danke schön.

Gruß,
muarx

[flo]

Die Müssen Zu einem Programm gehören was du installiert hast .

was für eine Firewall hast du?

Kannst sie aber hier auf maleware Prüfen lassen wenn du nicht sicherbist ob sie zu einem programm gehören

[Graumagier]

Google, dein Freund und Helfer, wenn du gesucht hättest, hättest du das gefunden.
Zu der desi.exe habe ich nichts gefunden, schau mal in die Eigenschaften, ob ein Hersteller drinnensteht.

Dieser Beitrag wurde von Graumagier bearbeitet: 18. Januar 2005 - 16:51

[DK2000]

Verdächtig wäre da der merkwürdige Ordnername "Ocs4lif3" und das sich das im Ordner WINS installiert hat. Bin nicht so sicher, ob das wirklich da rein gehört. Gibt mind. ein Trojaner, der sich im WINS Ordner versucht zu verstecken.

Würde mal an Deiner Stelle genau nachvorschen, wo der Kram herkommt.

Dieser Beitrag wurde von DK2000 bearbeitet: 18. Januar 2005 - 17:07