PC-Absturz bei Virenscan - was wird da genau ausgeführt?

Hallo zusammen,

der alte Rechner meiner Eltern stürzt kurz (3-5 Minuten) nach dem Hochfahren/Kaltstart immer ab. Er geht einfach aus und startet dann neu.
Danach funktioniert er eigentlich immer. Meine Eltern - die nur surfen - sagen, es passiert nach dem ersten Absturz nicht mehr. Ich selbst habe auch schon Stunden daran gearbeitet ohne weiteren Absturz.

Das einzig mir Bekannte, wodurch sich der Absturz reproduzieren lässt, ist einen Virenscan mit avast zu starten. Ich sehe grade noch die 0%, dann wird der Bildschirm schwarz. (Avast Free Antivirus 11.1.2253, nur das Dateischutz-Modul installiert, den Rest nicht)

Das Windows-Ereignisprotokoll gibt eigentlich nur einen KernelPower-Fehler mit der ID 41 Kategorie 63 aus. Die anderen Fehler stehen zumindest zeitlich in keinem Bezug dazu und sagen mir auch wenig. Ein paar habe ich schon gegoogled und da gibt es viele FixIts dafür.

Seit wann der Fehler besteht, ist mir nicht mehr bekannt. Wurde jetzt bestimmt schon ein Jahr lang dadurch überbrückt, dass man halt den Rechner 10 Minuten bevor man surfen will hochfährt. Während der Zeit stürzt er dann bereits einmal ab und fährt wieder hoch, sodass er dann “endlos” hält. Mache ich direkt einen Neustart, kommt kein Absturz. Daher habe ich oben “Kaltstart” geschrieben.

Lange habe ich ein Hardwareproblem / irgendwas mysteriöses mit kaputten Kondensatoren vermutet, aber die Sache mit dem Virenscanner führt mich jetzt doch eher Richtung Treiber / Chipsatzproblem.

Also meine Frage: Was genau passiert beim Virenscan, was meinen Absturz provozieren könnte? Welche Dienste werden ausgeführt, worauf wird zugegriffen?
Wer hätte einen Tipp, was es sein könnte oder was ich weiter versuchen könnte?

Ich habe schon viel probiert:

  • Statt WinXP Rechner auf anderer Festplatte mit Win7 neu aufgesetzt (soll auch so bleiben), Treiber habe ich damals auch die neuesten genommen, aber da tut sich eh nicht mehr viel bei der alten Hardware. Außerdem bestand das Problem früher bei XP ja auch schon
  • natürlich sämtliche Updates gemacht
  • Kompletten Memorycheck mit memtest86+ (bootable), mehrere Durchläufe
  • sfc /scannow
  • chkdsk über alle Platten (keine Abstürze/Fehler aufgetreten)
  • Netzteil getauscht (sehr ähnliches durch Be Quiet! Blackline BN016 BQT P4-450W-S1.3 ersetzt)
  • Virenbefall durch andere Tools ausgeschlossen
  • Speicherabbild auslesen (memory.dmp) - habe keines gefunden! Obwohl in Windows eingestellt ist, dass er eines anlegen soll.
  • CPU Belastungstest
  • Benchmarkprogramme laufen lassen (Grafik, Audio und weiß der Geier was da nicht alles getestet wurde)

Bei allen bisherigen Aktionen zeigten sich keine Abstürze. Genau weiß ich es nicht mehr, ob er nicht doch mal abgeschmiert ist, aber bei sowas versuche ich immer, ob es sich nochmal reproduzieren lässt und das war nie der Fall. Temperaturprobleme konnte ich soweit eigentlich ausschließen.

Für Hilfe jedweder Art bin ich dankbar.
Gruß
KernelPower

p.s.: Total nervig - mein ganzer Text war weg, nachdem wohl das captcha falsch war!! >:(
Hoffentlich habe ich jetzt nichts vergessen.

Bevor wir hier ins Detail gehen, tritt das Problem auch ohne Avast auf…?

Willkommen im Forum,
Asyn

Also ich habe es eben nochmal versucht und Avast deinstalliert. (Kaltstart, sofort deinstalliert, Neustart)
Es trat die letzten 3 Stunden dann kein Absturz auf.
Wir wissen aber noch, dass das Problem unter Windows XP mit Avira Antivir auch auftrat. Allerdings nicht beim Virenscan, nur kurz nach dem Start.

Ich glaube also nicht, dass es direkt an Avast liegt, sondern das ruft wohl irgendwas auf, das es dann auslöst.
Daher wollte ich mal fragen, was denn eigentlich bei so einem Scan passiert.

p.s.: Eben habe ich Avast Free Antivirus wieder installiert (nur “Dateisystem-Schutz”), einen Virenscan gestartet und bumm war es wieder soweit.

Wie gesagt, das ist bisher der einzig zuverlässige Weg, den Absturz zu reproduzieren. Alles andere ist unregelmäßig und undurchschaubar.

/edit:
Ich wollte grade testweise im abgesicherten Modus einen Virenscan durchführen. Da kommt dann aber immer nur der Fehler “Die Prüfung konnte nicht gestartet werden. In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar”.

Dieser Fehler deutet darauf hin, daß noch Reste früherer AVs auf dem System sind.

Mach folgendes:
Zuerst sicherstellen, daß keine Reste früherer AVs übrig sind…!!
https://www.avast.com/de-de/faq.php?article=AVKB11#artTitle

Danach:

  1. Download Avast Free Antivirus: https://files.avast.com/iavs9x/avast_free_antivirus_setup.exe
  2. Folge exakt der Anleitung: https://forum.avast.com/index.php?msg=552606
  3. Avast mit dem Installationsprogramm aus Punkt 1 neu installieren.
  4. System neu starten.
Dieser Fehler deutet darauf hin, daß noch Reste früherer AVs auf dem System sind.
Da das System neu installiert wurde, ist es höchstens eine ältere Avast Version (Ich schätze vom August 2015). Zur Sicherheit habe ich neben dem AvastCleaner auch den Avira-Cleaner laufen lassen. Beides im abgesicherten Modus, als Admin inkl. Neustarts.

Dann neu installiert (nicht im abgesicherten Modus) inkl. Neustart.

Es ist noch das gleiche:

  • Virenscan im Normalbetrieb → sofortiger Absturz
  • Virenscan im abgesicherten Modus → Fehler mit “Endpunktzuordnung”

Allerdings muss man auch dazu sagen, dass sich im abgesicherten Modus der Avast Hintergrundservice gar nicht starten lässt und deshalb auch immer “Sie sind nicht geschützt” da steht.

Poste deine Basis-Logs laut Anleitung: https://forum.avast.com/index.php?topic=102616

Solange ich nichts extra dazu schreibe, werden alle weiteren Schritte im Normalbetrieb und nicht im abgesicherten Modus ausgeführt:

Beim allerersten Versuch, die MBAM-Suche durchlaufen zu lassen, ist er sofort abgestürzt.
Nach einem Reboot ging es aber. Gefunden wurde wohl nichts. Bei weiteren MBAM Scans trat kein Absturz mehr auf.

Ein ausführlicheres Suchprotokoll war in der aktuellen MBAM Version nicht verfügbar. Nur das, was ich unten angehängt habe.
Die Anleitung ist auch nicht ganz aktuell. z.B. heißt auch in der deutschen Version das Armaturenbrett jetzt “Dashboard”. Den Punkt “Ausführliches Protokoll anzeigen” gibt es auch nicht mehr. Nur “Ergebnisse speichern” und da kann man dann txt xml oder Zwischenablage wählen.

aswMBR hat mich gefragt, ob ich die “Virtualization Technology” für die Rootkit-Erkennung nutzen möchte. Das habe ich bejaht.
Daraufhin sofortiger Absturz.
Noch 2 mal probiert - stürzt jedesmal bei Klick auf “ja” sofort ab.
Also habe ich mal “nein” gedrückt, sodass er die Virtualization Technology nicht benutzen soll. Dann ging es!
Als der Scan fertig war und ich das logfile speichern wollte, ist er aus dem Nichts gleich schon wieder abgestürzt. Also nicht in Folge eines Klicks, sondern kurz bevor ich klicken wollte. Das passiert normal sehr selten oder nie.

Also nochmal mit aswMBR (ohne virtualization) den QuickScan gemacht und diesmal ging es komplett, der Rechner ist auch seitdem schon wieder einige Minuten an.

Das bedeutet irgendwie sind wir jetzt doch einen Schritt weiter, da ich jetzt eine weitere Methode gefunden habe, den Absturz zuverlässig zu provozieren :wink:
Der Rest ist für mich immernoch mysteriös-schleierhaft.

Ein Malware-Experte ist informiert, bitte etwas Geduld…

PS: Danke für den Hinweis bzgl. MBAM, werden wir bei Gelgenheit aktualisieren.

Danke.

bitte etwas Geduld...
Kein Stress. Das ist jetzt schon viele Monate so, da kommt es auf ein paar Tage auch nicht mehr an. Ich bin jetzt nur zwecks Semesterferien zwei Wochen bei meinen Eltern und habe gesagt, ich nehme mich dem Problem nochmal an. Leider bin ich inzwischen mit meinem Latein am Ende, deshalb habe ich mal hier ins Forum geschrieben.

/edit
Im Anhang noch ein Screenshot der Ereignisse von heute.

[tr][td]ID 41[/td][td]ist ein Absturz[/td][/tr]
[tr][td]ID1101[/td][td]kommt wenn dann direkt nach einem Absturz. “Überwachungsereignisse wurden vom Transport gelöscht. 0”[/td][/tr]
[tr][td]ID6008[/td][td]sagt nur “Das System wurde […] unerwartet heruntergefahren.”[/td][/tr]
[tr][td]ID 33[/td][td]war heute zum ersten Mal, als ich den PassMark PerformanceTest8 laufen lassen wollte. Der Test lief noch nicht, das ganze “collecting info” Zeugs war schon abgeschlossen. Also eigentlich war das Programm im idle. “Fehler beim Generieren des Aktivierungskontextes […] Die abhängige Assemblierung […] konnte nicht gefunden werden”[/td][/tr]

Guten Morgen,

habe Rückmeldung von Martin erhalten, dein System ist sauber.
Malware kannst du also als Verursacher des Problems ausschließen.

Ok, das ist ja immerhin was :wink:

Und nochmal zu meiner eigentlichen Frage: Was wird am Anfang eines Scans ausgeführt? Ich kann ja mit den bisherigen Hinweisen denke ich Probleme mit Grafik, Audio und Netzwerk sowieso ausschließen.
Es muss ja eine Parallele geben zu der Virtualization Technology, bei der der Absturz auch immer zuverlässig auftritt.

Hat es was mit Mainboard oder CPU zu tun? Vielleicht doch eher Chipsatztreiber oder irgendwas komisches mit IDE/SATA/RAID?
Das Bios ist auf dem neuesten Stand und soweit ich das sehen kann steht alles auf IDE (kein AHCI).

Ich tappe noch im Dunklen. Was könnte ich weiter versuchen?

  1. Hängt vom jeweiligen Scan und dessen Einstellungen ab.
  2. Versuch folgendes, deaktiviere unter Einstellungen → Fehlerbehandlung die Hardware-unterstützte Virtualisierung
  3. Unterstützt dein Prozessor SSE2…?

PS: Sprichst/Verstehst du auch Englisch…?

Avast wurde frisch installiert, an den Einstellungen habe ich nichts geschraubt, also alles auf Standard. Dabei ist es egal, ob ich einen Smart-Scan, eine schnelle oder eine vollständige Überprüfung starte. Habe auch in den Optionen nochmal die Rücksetzung auf Standardeinstellungen vorgenommen.

Eine Deaktivierung der Virtualisierung in den Optionen (inkl. Neustart) bewirkt tatsächlich, dass ich jetzt nach Viren scannen kann. Kein Absturz! Er beginnt mit der winlogon.exe (hat man vorher nicht gesehen, weil’s sofort schwarz wurde) und findet nach Abschluss auch “keine Bedrohung”.

Ja, SSE2 kann er.

"Conroe" (65 nm, 1066 MT/s)
All models support: MMX, SSE, SSE2, SSE3, SSSE3, Enhanced Intel SpeedStep Technology (EIST), Intel 64, XD bit (an NX bit implementation), iAMT2 (Intel Active Management)

Englisch kann ich schon. Aber nicht so gut wie Deutsch, sodass ich dann oft mal was umschreiben muss oder es ungenauer wird. Du siehst ja, es ist so schon viel Text. Aber es wäre sicherlich machbar, das nochmal alles zu übersetzen. Englische Links/Literatur sind kein Problem.
Ich hatte allerdings gehofft, dass wir das bereits besser eingrenzen können, dann würde ich z.B. in einem hardwareforum (Vorschläge?) einen neuen Beitrag aufmachen. Denn so wie ich es sehe, liegt es ja nicht speziell an Avira, sondern das kann es nur auslösen?!

/edit
In den tiefen des BIOS (irgendwo bei common features, dann advanced, dann CPU-features) habe ich jetzt eine Option gefunden, um die “Virtualization Technology” abzuschalten. Beim Ändern des Wertes ist er abgeschmiert (im BIOS!!), aber er hat die Änderung übernommen.
Jetzt wird im Bootup-Screen ein bisschen was anderes angezeigt, aber bisher läuft die Kiste ohne Absturz. Auch wenn ich die Virtualisierung in Avast jetzt wieder aktiviere, kann ich einen Scan ausführen.
Jetzt frage ich mich, ob und welche Nachteile ich überhaupt habe, wenn diese VT nicht aktiviert ist und Avast ist doch sicherlich nicht das einzige Programm, das dieses Feature nutzt? Falls jemandem noch andere Programme damit einfallen, wäre es eine gute Testmöglichkeit für mich.
Mal schauen, wie das morgen aussieht mit Abstürzen nach einem Kaltstart. Ich bin guter Dinge!!
Also hat vermutlich doch die CPU oder das MoBo einen Schlag… :-[

OK, sag Bescheid wie’s läuft…

Heute bis jetzt keine Abstürze, es sieht gut aus!
Da zu 95% auf dem Rechner eh nur Firefox, Thunderbird, LibreOffice, VLC und XnView benutzt werden, kann ich wohl auf die Virtualization Technology verzichten.
Auch von der Performance her ist das so gut wie gar nicht spürbar… vom Bios-Piep bis zum arbeitsfähigen Firefox in 80 Sekunden. Das ist finde ich sehr gut für einen 10 Jahre alten Rechner mit Windows 7.

SecurAble zeigt mir an, dass definitiv keine Anwendungen mit VT funktionieren, auch wenn z.B. in Avast der Punkt “Hardware-unterstützte Virtualisierung” aktiviert ist und trotzdem alles funktioniert.

So ganz genau weiß ich ja jetzt nicht, was kaputt ist, aber solange die Kiste jetzt so weiterläuft werde ich auch nichts daran basteln ::slight_smile:

Vielen Dank für die Hilfe, ich habe ja nach den vielen gescheiterten Versuchen schon selbst nicht mehr dran geglaubt, diesem mysteriösen Problem auf die Schliche zu kommen!
8)

Viele Grüße
KernelPower

Bitteschön. :slight_smile:

LG Asyn