kann nicht mehr ins bios oder booten, nix mehr (lsass-fehler) sasser?

    hallo zusammen,

    ich habe ein schwerwiegendes problem. ich habe über die suche zwar einiges gefunden, aber leider hat mir da nichts richtig weiter geholfen.
    vorab: ich habe das medion-notebook "md 96500" und nichts an der hardware geändert oder besondere programme installiert..

    ich beschreibe mal den ablauf, wie mein problem zustande gekommen ist. das ganze ging über mehrere tage:


    - rechner hat immer länger gebraucht um hochzufahren.

    - bildschirm hatte kurze aussetzer ist aber sofort wieder angegangen.

    - maus funktionierte mitten im betrieb nicht mehr. mauspad aber schon.

    - mitten im betrieb mauspad und maus ausgefallen.

    - bildschirm hat vermert aussetzer. zwischen durch werden die farben sehr "bunt" und komisch so vga mäßig.

    ab jetzt passiert alles innerhalb 1 bis 2 stunden.

    - scann mit "adaware" ohne besonderen fund. nur ein tracking cookie

    -scan mit "spybot search and destroy". es wid ein trojaner gefunden und entfernt. den namen weiß ich leider nicht mehr.

    - sofort danach wieder komische fraben am bilschirm.

    - sofort danach kommt eine fehlermeldung vom grafikkartentreiber.

    - fast gleichzeitig eine fehlermeldung von lsass.exe und dass der rechner in 30 sekunden runtergefahren wird.

    - ich breche das ganze mit cmd - "shutdown -a" ab.

    - kurz danach geht der rechner trotzdem einfach aus, ohne runterfahren.

    - nach neustart virenscan mit "antivir". mitten im scan geht der rechner aus.

    -diesmal mit bluescreen. fehlermeldung: 0xc0000142

    - nochmal neustart und versuche neuen virenscan. meldung: die virendefinitionsdatei ist defekt.

    - versuche schnell antivir upzudaten. aber mittendrin absturz aber diesmal ohne bluescreen.

    -nach neustart und kurz nach login wieder bluescreen mit fehlermeldung:
    ircql not les or equal
    stop 0x0000000A
    (0xFFBCB740, 0x00000002, 0x00000000, 0x804F5828)

    - nach neustart im abgesichterten modus wieder absturz. diesmal nicht mal login geschaft. fehlermeldung:
    driver ircq not les or equal
    stop:0x0000000D1
    (0xFFFFFFFF, 0x00000002, 0x00000001, 0xEC01BB0A)
    irda.sys adress EC01BB0A base at EC01600

    - nochmal neustart diesmal sofort nach boot fehlermeldung:
    pfn list corrupt....

    - einfach mal als test knoppix eingelegt. alles funktioniert ganz normal und ich kann auf alle dateien zugreifen.

    -knoppicilin 5.1 besorgt und mit neusten virendefinitionen laufen lassen.

    - erster von drei viren scannern scheint nichts zu finden.

    - beim zweiten virenscanner geht der rechner auf einmal ohne vorwarnung aus.

    - das ganze von vorne. und wieder geht beim zweiten virenscanner der rechner ungefähr an der gleichen stelle aus.

    - dann der versuch neuzustarten um nur den dritten scanner drüber laufen zu lassen.. aber jetzt kommts:

    - bevor der rechner bootet, bleibt das system hängen. ich kann nicht mehr von cd booten (keine knoppix und kein knoppicilin), ich kann nicht mehr ganz normal booten, ich kann noch nicht mehr in mein bios rein...

    - tata! das chaos ist komplett!


    ich bin total aufgeschmissen, da ich ja jetzt noch nicht mal mehr meine wichtigsten daten mit knoppix retten. backups von den neusten daten habe ich natürlich, wie es immer so geht, auch nicht gemacht.

    kann es sich um den sasser-wurm oder ähnliches handeln?
    von kumpels habe ich ein ähnliches problem gehört. auf jedenfall geht deren rechner von alleine aus. auch mit lsass.exe-fehlermeldungen. ich hatte mit ihnen aber in letzter zeit keinen datenaustausch.

    wichtig wäre, dass ich wenigstens wieder mit knoppx booten kann, um evtl ein paar daten zu retten.


    schon mal danke für das gehör! ich bin für jeden tipp dankbar!!!

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    Hi,

    also für mich hört sich das ganze nach einem Hardwarefehler/defekt an oder die Kiste läuft heiß...:confused:

    Denn, ob mit oder ohne Betriebssystem mann kommt immer ins Bios, oder?

    //Edit: Lad dir einen vernünftigen Virenscanner runter und scann wenn möglich im abgesicherten Modus!
    Kaspersky Anti-Virus 6.0 Wenn du den Übeltäter beim Namen kennst, dann kannst du es auch hiermit probieren: Viren Entfernungs-Tools

    Gruß...
    DeinMuddn:cool:.

    Hallo Simperator,

    ich sehe das wie DeinMuddn - Hardwareproblem.

    Mein Medion Notebook (Microstar Tahoe FID 2140) aus dem Jahre 2004 hatte ähnliche Probleme (Maus reagierte nicht, Grafikaussetzer, Abstürze mit und ohne Blue Screen) nach der Installation von SP2. Nachdem ich dadurch längere Zeit mit dem SP1 gelebt habe, war vor einigen Monaten ein Treiberupdate für die ATI-Grafikkarte erfolgreich.

    Obwohl einige geschilderte Probleme zutreffen, gehe ich davon aus, dass du SP2 nicht erst jetzt installiert hast. Falls noch Garantie, würde ich Medion in Anspruch nehmen.

    Gruß
    Manni

    schon mal danke für die hilfe!

    garantie hab ich leider nicht mehr...

    aber hardware problem? ist doch komisch, dass ähnliche phänomene auch in meinem freundeskreis auftauchen. und dass plötzlich alle treiber und hardware innerhalb ein zwei stunden gefraggt sind ist doch auch seltsam. ich habe ja auch nichts an der hardware geändert oder irgendwelche sachen getweakt. man beachte auch das beim scan mit antivir der rechner abgestürzt ist und nach einem neustart die meldung kommt: die virendefinitionsdatei ist defekt. für mich klingt das eher nach einem wurm! *hoff, keine hardware fehler*

    und mit irgendwelcher anderer virensoftware (kasperski) unter windows zu scannen ist schwierig, auch im abgesichterten modus. denn der rechner geht ja immer wieder von alleine aus. und wenn es wirklich ein virus oder wurm ist, möchte ich ihm natürlich nicht die chance geben sich weiter zu verbreitern....

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    Hardwareprob könnte nur die Überhitzung in Frage kommen. Lüfter läuft normal? Verschmutzt?
    -----------------------------
    Software mäßig würde ich mal einen Wiederherstellungspunkt versuchen.
    --------------------------------
    Sicherheitsmäßig schaue Dir mal den WinTT Scheck in meiner Sig an.
    Gruß
    Paulemann

    So einen ähnlichen Fehler hatte ich vor kurzen mußte neu Installieren was aber bei mir war und jetzt bei Dir muß nicht gleich sein. Ich würde Dir mal Empfehlen mit den Programm PROCEXP mal schaun, ob es hohen CPU Belastungen von einen Programm sein könnten.

    Cuckoo

    Ein Kluger bemerkt alles - ein Dummer macht über alles eine Bemerkung.

    so. mein erneuter versuch mit knoppicilin nach viren zu suchen ist gescheitert. der rechner ist mitten drin wieder ausgegangen. aber ich konnte den auf der knoppicilin enthaltenen hardware-scan durchführen: es wurden dabei keine fehler gefunden...

    Zitat

    Obwohl einige geschilderte Probleme zutreffen, gehe ich davon aus, dass du SP2 nicht erst jetzt installiert hast.

    sp2 habe ich schon recht lange drauf.

    Zitat von Paulemann

    Hardwareprob könnte nur die Überhitzung in Frage kommen. Lüfter läuft normal? Verschmutzt?


    der lüfter läuft eigentlich normal. ziemlich heist ist der rechner schon immer geworden. das hatte aber nie probleme gemacht. von aussen sieht der lüfter recht sauber aus. leider schaffe ich es nicht richtig den rechner so aufzumachen, dass ich da vernünftig rankomme. ich wollte jetzt mal versuchen ein programm (z.b. "cpucool") zu installieren welches die cpu-temperatur misst. ist leider auch schiefgegangen. ich konnte kurz im abgesicherten modus starten. kurz darauf war der rechner aber auch wieder aus.

    Zitat


    Software mäßig würde ich mal einen Wiederherstellungspunkt versuchen.

    die sind leider auf mysteriöse weise verschwunden.

    Zitat


    Sicherheitsmäßig schaue Dir mal den WinTT Scheck in meiner Sig an.

    das problem ist ja nach wie vor, dass ich den rechner nicht hochgefahren bekomme, geschweige eine software installiert.

    wie könnte ich denn weiter verfahren? festplatte ausbauen und versuchen daten mit einem anderen rechner zu retten und dann alles neu installieren? dann weiß ich aber nicht ob es ein hardwarefehler ist...

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    Zitat von cuckoo

    Ich würde Dir mal Empfehlen mit den Programm PROCEXP mal schaun, ob es hohen CPU Belastungen von einen Programm sein könnten.

    Cuckoo

    sysinternals processexplorer habe ich seit geraumer zeit installiert und keine besonderen auffällikeiten finden können

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    geht jetzt leider wieder nicht mehr!!! bleibt immer nach ner halben sekunde hängen. geht noch nicht mal zum bootsceen.
    ich komme doch normalerweise mit "entf" ins bios oder?

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    Kenne das problem, hört sich ähnlich an wie bei meinem IBM Thinkpad. Ums kurz zu machen, die Fetsplatte war im Eimer.

    Hört sich unlogisch an, aber wenn mans genauer bedenkt:

    wenn er auf der Festplatte nicht lesen kann:
    bricht er den Virenscan ab oder hängt sich dabei auf,
    Fährt nicht richtig hoch,
    und seltsamerweise bei meinem IBM, solange er versucht die festplatte zu erkennen, kommt man nicht ins BIOS weil der rechner im POST hängenbleibt.

    Um genauer zu sein, auf der festplatte waren nicht irgendwelche sektoren kaputt, sondern irgendwas in der Elektronik, weswegen das ding keine oder unsinnige meldungen an den Controller geschickt hat.

    Woher der Fehler kam (evtl. sogar wurm oder virus) konnte mir auch Samsung nicht erklären, aber die haben das ding anstandslos ausgetauscht.

    Solltest übrigends mal genau nachschauen, mache hersteller geben auf festplatte wesentlich mehr als die normalen 2 Jahre Garantie. Dafür muss man das teil dann aber direkt zum Hersteller schicken.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Zitat von Simperator

    geht jetzt leider wieder nicht mehr!!! bleibt immer nach ner halben sekunde hängen. geht noch nicht mal zum bootsceen.
    ich komme doch normalerweise mit "entf" ins bios oder?

    Dann würde ich mal testhalber die Festplatte(Defekt wurde ja von Magic Mike angesprochen)ausbauen. Theoretisch müßtest Du dann wenigstens ins Bios kommen!

    Del oder Entf.

    del oder entf stimmt aber bei notebook meistens nicht, bei meim IBM gibts da ne extra taste. Kann auch F2 oder F11 sein, hilft nur RTFM, also im handbuch nachlesen.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Es koennte noch sein das es dieser Wurm ist. Den gibt es als .a, .b, ....g

    Worm/Brontok.a - Vollständig

    Bei mir hat er genau die Syntome gehabt.

    Wenn ich lsass.exe beiGoogle eingegeben habe fuhr der Rechner runter.
    Die lsass.exe sollte man nicht verwechseln mt der isass.exe.
    Wenn ich die Suche aufmachen wollte hing der Rechner und wenn ich versucht habe einen Virenscanner runterzuladen ging der Rechner aus. Ordnereinstellungen (versteckte Dataien anzeigen) ging auch nich mehr.Hier was ich beim googeln dazu gefunden habe:

    Home / Viruses / Virus Encyclopedia / Malware Descriptions / Network Worms / Email Worms
    Email-Worm.Win32.Brontok.q
    Other versions: .a

    Aliases
    Email-Worm.Win32.Brontok.q (Kaspersky Lab) is also known as: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
    Detection added May 15 2006 16:08 GMT
    Update released May 15 2006 17:24 GMT
    Description added Oct 23 2006
    Behavior Email Worm

    * Technical details
    * Payload

    Technical details

    This worm spreads via the Internet as an attachment to infected messages. It sends itself to email addresses harvested from the victim machine.

    The worm itself is a Windows PE EXE file written in Visual Basic. The size of the infected file can vary significantly. The functionality described below is characteristic of the most common variants of this worm.
    Installation

    When the infected file is first launched, the user will see a Windows Explorer window, with an open 'My Pictures' folder.

    When installing, the worm modifies the following keys of the system registry, disabling system registry tools, the command line, and displaying files and folders in Windows Explorer.


    For example, the following message will be displayed when the registry editor is launched:

    The worm then gets a path to Application Data for the current user (%UserProfile%\Local Settings\Application Data) and copies its body to this directory under the following names:
    %UserProfile%\Local Settings\Application Data\br<random number>on.exe
    %UserProfile%\Local Settings\Application Data\csrss.exe
    %UserProfile%\Local Settings\Application Data\inetinfo.exe
    %UserProfile%\Local Settings\Application Data\lsass.exe
    %UserProfile%\Local Settings\Application Data\services.exe
    %UserProfile%\Local Settings\Application Data\smss.exe
    %UserProfile%\Local Settings\Application Data\svchost.exe
    %UserProfile%\Local Settings\Application Data\winlogon.exe

    A text file called Kosong.Bron.Tok.txt (51 bytes in size) is also created in this directory. The file has the following contents:
    Brontok.A
    By: HVM31
    -- JowoBot #VM Community --

    The worm also copies its body to the Windows root directory (%WinDir%) under the following name:
    %WinDir%\sembako-<random symbols>.exe

    and to the ShellNew subdirectory under a name generated as follows: bbm-<random symbols>.exe:
    %WinDir%\ShellNew\bbm-<random symbols>.exe

    and to the Windows system directory under the following names:
    %System%\DXBLBO.exe
    %System%\cmd-bro-<random symbols>.exe
    %System%\%UserName%'s Setting.scr

    The worm also copies itself to the Start menu Autorun directory as Empty.pif:
    %UserProfile%\%Autorun%\Empty.pif

    and to the Document Template subdirectory:
    %UserProfile%\Templates\<random number>-NendangBro.com

    and to the My Pictures directory of the current user:
    %MyPictures%\Mypictures.exe

    An HTML page called about.Brontok.A.html is also created in this directory:

    When this page is viewed using the browser, the following message is displayed:

    This page contains the contents of the email message which the worm sends to email addresses harvested from the victim machine.

    The copies of the worm will then be registered in the system registry to ensure that they are launched automatically:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=""
    "Bron-Spizaetus-<random symbols>"="%WinDir%\ShellNew\bbm-<random symbols>.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=""
    "Tok-Cirrhatus-<random number>"="%UserProfile%\Local Settings\Application Data\br<random number>on .exe"

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe "%WinDir%\sembako-<random symbols>.exe""

    [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
    "AlternateShell"="cmd-bro-<random symbols>.exe"

    Once installed, the worm creates a file called sistem.sys in the Windows system directory. This file contains the date and time the worm was installed to the victim machine in the following format: mmddhhmm, where mm stands for the month, dd for the data, hh for the hour, and mm for the minute.
    Propagation via email

    The worm harvests addresses from the MS Windows address books and from files with the following extensions:

    ASP
    CFM
    CSV
    DOC
    EML
    HTM
    HTML
    PHP
    TXT
    WAB

    All the harvested addresses are saved to %AppData%\Loc.Mail.Bron.Tok as files with email address names, an .ini extension and the following text:
    Brontok.A
    By: HVM31
    -- JowoBot #VM Community –

    A directory called Ok-SendMail-Bron-tok is created, and the addresses which messages are sent to are saved to this file.

    When sending infected messages the worm uses its own SMTP engine.
    Infected messages
    Attachment name (chosen from the list below):

    * ccapps.exe
    * jangan dibuka.exe
    * kangen.exe
    * my heart.exe
    * myheart.exe
    * syslove.exe
    * untukmu.exe
    * winword.exe

    Message text:

    The HTML page shown above acts as the text of infected messages.
    Payload

    The worm checks the header of the open window, and if one of the following strings is present in the header, it will reboot the system:

    ..
    .@
    @.
    .ASP
    .EXE
    .HTM
    .JS
    .PHP
    ADMIN
    ADOBE
    AHNLAB
    ALADDIN
    ALERT
    ALWIL
    ANTIGEN
    APACHE
    APPLICATION
    ARCHIEVE
    ASDF
    ASSOCIATE
    AVAST
    AVG
    AVIRA
    BILLING@
    BLACK
    BLAH
    BLEEP
    BUILDER
    CANON
    CENTER
    CILLIN
    CISCO
    CMD.
    CNET
    COMMAND
    COMMAND PROMPT
    CONTOH
    CONTROL
    CRACK
    DARK
    DATA
    DATABASE
    DEMO
    DETIK
    DEVELOP
    DOMAIN
    DOWNLOAD
    ESAFE
    ESAVE
    ESCAN
    EXAMPLE
    FEEDBACK
    FIREWALL
    FOO@
    FUCK
    FUJITSU
    GATEWAY
    GOOGLE
    GRISOFT
    GROUP
    HACK
    HAURI
    HIDDEN
    HP.
    IBM.
    INFO@
    INTEL.
    KOMPUTER
    LINUX
    LOG OFF WINDOWS
    LOTUS
    MACRO
    MALWARE
    MASTER
    MCAFEE
    MICRO
    MICROSOFT
    MOZILLA
    MYSQL
    NETSCAPE
    NETWORK
    NEWS
    NOD32
    NOKIA
    NORMAN
    NORTON
    NOVELL
    NVIDIA
    OPERA
    OVERTURE
    PANDA
    PATCH
    POSTGRE
    PROGRAM
    PROLAND
    PROMPT
    PROTECT
    PROXY
    RECIPIENT
    REGISTRY
    RELAY
    RESPONSE
    ROBOT
    SCAN
    SCRIPT HOST
    SEARCH R
    SECURE
    SECURITY
    SEKUR
    SENIOR
    SERVER
    SERVICE
    SHUT DOWN
    SIEMENS
    SMTP
    SOFT
    SOME
    SOPHOS
    SOURCE
    SPAM
    SPERSKY
    SUN.
    SUPPORT
    SYBARI
    SYMANTEC
    SYSTEM CONFIGURATION
    TEST
    TREND
    TRUST
    UPDATE
    UTILITY
    VAKSIN
    VIRUS
    W3.
    WINDOWS SECURITY.VBS
    WWW
    XEROX
    XXX
    YOUR
    ZDNET
    ZEND
    ZOMBIE

    The worm also modifies the contents of autoexec.bat in the C: root directory, adding "pause" to it.


    Diesen Teil musst du zuerst hinkriegen:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"="1"
    "DisableCMD"="0"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"="0"
    "HideFileExt"="1"
    "ShowSuperHidden"="0"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoFolderOptions"="1".

    Das klappt aber nur wenn du in die Registery kommst. Danach kannst du die 30- Tage - Freewareversion von Kaspersky laufen lassen.

    Bei mir hat Kaspersky den Wurm gefunden. Da er sich aber immer wieder selbst installiert dauert es eine Weile bis er wirklich weg ist. Ich hab Kaspersky wohl so 30 mal laufen lassen und neu gestartet. Irgendwann war er dann weg.

    Insgesamt ist es vielleicht einfacher mit Knoppix Daten zu sicher und formatieren.

    Viel Glueck, und stoepsel deine FP nicht an den Rechner deines besten Freundes. Sonst ist der evl. auch noch hin

    Zitat von Koschi

    Es koennte noch sein das es dieser Wurm ist. Den gibt es als .a, .b, ....g

    Worm/Brontok.a - Vollständig


    When the infected file is first launched, the user will see a Windows Explorer window, with an open 'My Pictures' folder.


    wäre möglich, dass sich der bilder ordner mal von alleine geöffnet hat.

    Zitat

    When installing, the worm modifies the following keys of the system registry, disabling system registry tools, the command line, and displaying files and folders in Windows Explorer.

    wenn etwas an der registry geändert wird, springt normalerweise der "teatimer" von spybot search and destroy an.

    Zitat


    and adds to the My Pictures directory of the current user:
    %MyPictures%\Mypictures.exe

    wäre mir bestimmt aufgefallen.

    bevor ich eine .exe im anhang öffne, scan ich sie in der regel mit antivir. aber halt nur in der regel. evtl hatte ich bei der winword.exe das .exe übersehen... ;(

    Zitat


    The worm also modifies the contents of autoexec.bat in the C: root directory, adding "pause" to it.

    das würde den verzögerten startvorgang erklären.

    komme ja leider nicht in die registry.

    Zitat


    Viel Glueck, und stoepsel deine FP nicht an den Rechner deines besten Freundes. Sonst ist der evl. auch noch hin

    da liegt jetzt mein neues problem: ich bekomme die festplatte nicht aus dem rechner raus. ich habe das nb mit kumpels die auch schon mal ihre fp aus ihrem notebook genommen hatten, aufgeschraubt. aber dieses scheiß medion ding ist so komisch verschraubt, dass ich nicht mal den unteren deckel komplett abbekomme. unter der tastatut ist leider auch kein rankommen an die festpladde.
    ich finde auch beim googeln keine vernünftige anleitung wie man die kiste aufschraubt, geschweige denn bei medion selber.....

    [SIGPIC][/SIGPIC] sysprofile.de/id96296

    Wenn Du die Möglichkeit hast mit Windows 2000NT zu Booten, dann versuche es ob die CD erkannt wird. 2000NT hat einen anderen Boots Treiber für die Laufwerke als XP.

    Cuckoo

    Ein Kluger bemerkt alles - ein Dummer macht über alles eine Bemerkung.