... folgendes Problem, das neue Rätsel aufwirft...

System:
Windows XP, SP2 (alle Sicherheitsupdates von Windowsupdate installiert)
Zone Alarm Pro (Sicherheitsstufe: Hoch, lediglich wichtige Programme (5-8) mit Zugriffserlaubniss auf das Internet)
- Kaspersky Anti-Virus Personal Pro 4.5 (Stand: 26. August 2004)

Aktive Programme:
ICQ
(kurz zuvor) per Stream ein paar Videos (WMP 9.0) angeschaut

Problem:
Das System spielt völlig verrückt. In den ICQ-Fenstern fing es plötzlich an zu Scrollen...
Aus Sicherheitsgründen wurde dann die Internetverbindung sofort gekappt.

Weitere Probleme:
- Kaspersky nicht ausführbar, da es xxx dutzend mal gestartet wird, beim manuellen starten
- Alle Ordnerfenster werden gleich mehrfach geöffnet
- Beim Klick auf den Start-Button, wird automatisch der Standby Modus aktiviert

Im Abgesichtern Modus gibt es weißen "Schnee" (wie beim TV), so das die Sicht erschwert oder gar unmöglich wird.

In der Registry unter "Run" und "RunOnce" sind keine verdächtigen Objekte zu finden.
msconfig zeigt unter "Systemstart" ein Objekt an, das keinen Dateinamen trägt, aber auf Software\Microsoft\Windows\CurrentVersion\Run\ verweist.

Nach dem deaktivieren dieser Option und einem Neustart ist das Bild wieder in Ordnung.
Allerdings findet Kaspersky KEINE verdächtigen Objekte. Es wurden ALLE Dateien mehrmals gescannt.

Was könnte das sein!?

mmm...

Eine fehlerhafte Übertragung in ICQ vielleicht? Vielleicht auch die Auswirkungen von SP2? ein Log von HijackThis könnte Klarheit bringen ...

Es hat gar kein ICQ-Transfer stattgefunden...

... Sehr merkwürdig: Das Problem scheint sich in Luft aufgelöst zu haben...

... Nach dem deaktivieren des einen Tasks im abgesicherten Modus, war auch das Bild wieder normal.
Jetzt im normalen Windows-Betrieb mit ALLEN aktivierten Tasks, sind auch keine Probleme mehr festzustellen.

Das System spielt völlig verrückt. In den ICQ-Fenstern fing es plötzlich an zu Scrollen...
Falsche Tastenkombination? ... Das könnte man erklären :)


- Kaspersky nicht ausführbar, da es xxx dutzend mal gestartet wird, beim manuellen starten
Kaspersky und alle Windows-Ordner wurden mehrfach geöffnet. Wie kann man das erklären!?

- Beim Klick auf den Start-Button, wird automatisch der Standby Modus aktiviert
... Hier auch sehr merkwürdig. Beim klicken auf den Start-Button = automatisch Standby?
Also mir ist kein Problem in der Richtung bekannt...

Hier noch der Log... der eigentlich keine "verdächtigen" Objekte zeigt.
Die meisten Dateien habe ich überprüft, und die wurden zu diesem Zeitpunkt nicht verändert (entweder digital signiert oder ein älteres änderungsdatum angegeben).

Logfile of HijackThis v1.98.2
Scan saved at 17:54:28, on 28.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Downloads\hijackthis1982\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O8 - Extra context menu item: Download &komplett über Mass Downloader - C:\Programme\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Download über &Mass Downloader - C:\Programme\Mass Downloader\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programme\Mass Downloader\massdown.exe
O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programme\Mass Downloader\massdown.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092702938321

------------------------------

Die Webseite zum auswerten sagt außerdem das:

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

Böse
Unbedingt fixen!
Warum!?

mmm...

Habs nur schnell überflogen, woher kommt dieser Task?
LVCOMSX.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
Bei googel finde ich auf die schnelle nichts brauchbares dazu ...

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
Bei googel finde ich auf die schnelle nichts brauchbares dazu ...
Das ist von der Logitech-Webcam Software.
Der war auch schon vorher da...

Schau dir noch mal mein Edit oben an. Ist der andere Eintrag "schädlich", oder sagt die Webseite was falsches?

mmm...

Die ptipbm.dll (http://www.windowsstartup.com/wso/browse.php?l=16&start=250&end=275) scheint zum Promise Controller zu gehören, hast du einen drinne? wenn ja, in Ruhe lassen ... dein Fehler scheint von Windows selber gekommen zu sein, eventuell steht etwas in der Ereignisanzeige ...

Der gehört wohl zum Promise Controller.
http://www.sysinfo.org/startuplist.php?filter=ptipbm.dll

Ja, das ist der Promise-Controller-Treiber...

Deswegen wundere ich mich, warum die Webseite dieses als "Böse" anzeigt.
Rundll32.exe und die Promise-Datei gehören "Microsoft" bzw. "Promise"... und tragen ausserdem die passenden Versionsnummern.

Ansonsten habe ich keinen "Müll" drin, und auch nie Probleme gehabt.

... Dennoch scheint mir ein Umstieg auf Mozilla & "Benutzerrechten" sinnvoll. ;)

Die Frage bleibt allerdings offen: Wie können denn diese Fehler zustande gekommen sein?
"Schnee" auf dem Bildschirm im abgesicherten Modus? Woher soll das gekommen sein!?

Oder das sich alle Fenster immer mehrmals geöffnet haben, obwohl das System stundenlang problemlos lief...

In den Log-Dateien von Windows stehen eigentlich nur die "Folgen", die danach entstanden sind.

1 Dutzend mal diese Meldung:

Fehlgeschlagene Anwendung avp32.exe, Version 4.0.2.126, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x005b0017.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


2 Dutzend mal diese Meldung:

HelpSvc (3316) Versuch, in Datei "C:\WINDOWS\PCHealth\HelpCtr\Database\HCdata.edb" bei Offset 32768 (0x0000000000008000) für 4096 (0x00001000) Bytes zu schreiben, ist mit Systemfehler 5 (0x00000005): "Zugriff verweigert " fehlgeschlagen. Fehler -1032 (0xfffffbf8) bei Schreiboperation. Wenn dieser Zustand andauert, ist die Datei möglicherweise beschädigt und muss aus einer vorherigen Sicherung wiederhergestellt werden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Ansonsten stehen noch diverse DCOM-Fehler drin (wahrscheinlich wegen dem abgesicherten Modus).

Bei DCOM ist der Fehler "Der Dienst kann nicht im abgesicherten Modus gestartet werden. " aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:

{1BE1F766-5536-11D1-B726-00C04FB926AF}

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Bei DCOM ist der Fehler "Der Dienst kann nicht im abgesicherten Modus gestartet werden. " aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:

{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

usw.

mmm...

Anscheinend startet AVP32.exe (dein Virenscanner) nicht richtig und wegen der 2. Meldung, guck mal hier (http://www.wintotal.de/Tipps/Eintrag.php?RBID=2&TID=902&URBID=12) ... wegen der 3. Meldung, keine Ahnung momentan ...

Der Fehler mit dem Virenscanner trat vorher nie auf und tut es jetzt auch nicht ;)

Es passierte lediglich zu dem Zeitpunkt, als der Rechner komplett verrückt spielte. Jetzt ist alles wieder normal, ohne das ich irgendwelche änderungen vorgenommen habe. Neustarts haben das Problem zum damaligen Zeitpunkt nicht gelöst, da selbst der abgesicherte Modus verrückt spielte ;)


Die Festplatten sind in Ordnung, da es keine fehlerhaften Dateien/Sektoren gibt.


Übrigens: Der "leere" Eintrag, von dem ich ganz oben sprach, scheint wohl durch Steam entstanden zu sein... ;)

http://members.tripod.de/DasByteX/msconfig.jpg
http://members.tripod.de/DasByteX/Registry.jpg

... Jetzt fehlt nur noch eine Erklärung für das komische Verhalten ;)