Hi leute... seit einiger zeit hab ich folgendes problem:
wenn ich Windows starten will bleibt windows hängen und started neu (zu der zeit wo normal das fenster kommt: Benutzer definierte einstellunggen werden geladen.)
NAV und Antivir finden keinen Virus, habe aber schon den regestry eintrag msmsgri.exe gefunden

hier mein Hijackthis log und das startup log.

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\RunDll32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\keffi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4930671296



StartupList:

StartupList report, 13.04.2004, 13:12:20
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\keffi\Desktop\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\RunDll32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\keffi\Desktop\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
WinampAgent = C:\Programme\Winamp\winampa.exe
Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
NAV Agent = C:\PROGRA~1\NORTON~1\navapw32.exe
NvCplDaemon = RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Meinen Computer prüfen.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = C:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINNT\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/Shar ... vSniff.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/ ... mv9VCM.CAB

[Symantec RuFSI Utility Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/Shar ... /cabsa.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/C ... 4930671296

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.825 bytes
Report generated in 0,030 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


hoffe irgendjemand hat ne idee... ich bin langsam ratlos

Hallöchen,

also grundsätzlich kann ich erstmal empfehlen das du dich für ein Antivirenprogramm entscheiden solltest. 2 Antivirenprogramme vertragen sich sehr selten. Insbesondere wenn eines dieser Programme Norton ist...

Was passiert denn, wenn du den Rechner im abgesicherten Modus startest?

normalerweise hab ich bisher immer norton laufen lassen...
habe AntiVir dabei installiert nachdem norton nix gefunden hat..

im abgesicherten modus pasiert dasselbe ... der rechner läuft an bis das der laufbalken "Windows wird geladen" hochgelaufen ist, dann kommt der standart hintergrund (blau bzw gruen im abgesicherten modus) und nach kurzer zeit rebootet er ....

wenn sich der rechner mal gefangen hat ... läuft er stabil bis in alle ewigkeit ...

habe auch mal nen online scan gemacht bei symantec.. ken ergebnis


gruss keffi

Der Rat von Computerdirk ist wahrlich sehr hilfreich...schmeiss den Norton runter und verleibe nur mit dem Aveguard oder umgekehrt.

MfG
Nikita

is schon passiert aber leider immer noch keine besserung

Das muss nicht unbedingt ein Virenproblem sein, kann auch ein Windows-oder Treiberproblem sein.

Aber um ganz sicher zu gehen, gerade weil die Wk2-Viren die Antivirenprogramme "aushebeln", mache mal einen Onlinscann.

http://housecall.trendmicro.com/

MfG
Nikita

hab den vorgeschlagenen online test durchgeführt ...
kein ergebnis ...
was mich einfach in den wahnsinn treibt ist, das der rechner wenn er einmal oben ist !!WOCHEN!! problemlos läuft.

Hallöchen,

so wie du es beschreibst scheint es ja etwas zu sein das beim Windows-Start ausgeführt wird. Also wenn der Rechenr mal hochgefahren ist, alles kontrollieren was sich im Autostart verstecken kann... Ruhig auch mal Adaware oder Spybot Search & Destroy durchlaufen lassen...

Adaware läuft bei mir 3 mal die woche nur cookies beim durchlauf heute...

Hallöchen,

auch mal die Autostart-Einträge geprüft? Geht gut mit dem Regcleaner...

Download unter: http://www.dirks-computerecke.de/downloads.htm

also in der run section der regestry stehthen noch folgende einträge:
Cmaudio:
RunDll32 cmicnfg.cpl,CMICtrlWnd

NvCplDaemon:
RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

NvMediaCenter:
RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

nwiz:
nwiz.exe /install

Syncronizationmanager:
mobsync.exe /logon


was seltsames was ich eben gefunden hab:

habe nen user namens ASPNET....
komentar in der userliste:
Account used for running the ASP.NET worker process (aspnet_wp.exe) irgenntwie kommt mir der nich koscher vor...

ASP.NET-Anwendungen
http://fws.swipnet.de/quickstart/aspplu ... omsdk.aspx

Das ist kein Virus, lies es dir mal durch.

Nimm mal die internat.exe aus dem Autostart.
Ausfuehren<msconfig reinschreiben und den Haken vor diesem Dienst wegnehmen.<booten

Das ist der Nachrichtendienst.Wenn du den «net send»-Nachrichtendienst nicht benutzt, wird es gar nichts schaden, wenn du diesen Dienst abschaltest
.Auf der geposteten Seite wird das fuer Win2000 erklaert.

http://www.pctip.ch/helpdesk/kummerkast ... tion=print

MfG
Nikita

Nachrichten Dienst ist schon abgeschaltet...

Internat.exe hat damit aber nix zu tun.

Process File: internat or internat.exe
Process Name: Input Locales
Description: Application that provides multi-language support on keyboards for Microsoft Windows programs.


alles was ich bisher gemacht habe hat nix gebracht .... werde den rechner wohl platt machen müssen.

Problem hat sich gelöst.... die disc ist im Ar...

hab endlich unter W2K das event log gefunden ....

ein chkdsk hat leider auch nix gebracht


danke nochmal für die hilfe

Klar ,internat.exe ist das Sprachanzeigeprogramm,
Ansonsten weisst du ja jetzt, dass doch ein Hardware-Fehler die Comp.-Probleme verursacht.
Man denkt immer gleich aneinen Virus, aber man kann nicht alles auf die "Biester" schieben....

Viel Glueck beim HardwareKauf ....


Nikita