Veröffentlicht 6. Februar 201114 j Hallo zusammen, ich hatte vor ein paar Tagen ein eigenartiges Verhalten auf meinem PC festgestellt. Und zwar wurde immer der erste Link nachdem ich bei Google etwas gesucht hab zu einer Werbeseite weitergeleitet (wo meine Suchanfrage nochmal verarbeitet wurde und mich auf kommerzielle Ergebnisse meiner Suche weiterleitete). Ich durchsuchte meinen Taskmanager und fand spontan eine Datei die mich stutzig machte und zwar wurde die csrss.exe zweimal gestartet, einmal von SYSTEM einmal von meinem Useraccount. Kurze Suche im Netz und diese Datei stellte sich als faul raus. Diese tauchte aber immer wieder auf, sowohl der Eintrag im Autostart der Registry als auch die Datei selber. Anscheinend waren noch zwei weitere Dateien damit involviert, alle drei waren laut diverser Webseiten als auch Malwarebytes Antimalware (wurd ichd ruaf hingewiesen es damit mal zu versuchen am Schluss) faul, die Dateien fanden sich an folgenden Stellen: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\csrss.exe C:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft\conhost.exe <-- laut Netz hat die wohl auf einem XP System nur bedingt was zu suchen und ist wohl eher auf Vista/7 zu finden. C:\Dokumente und Einstellungen\user\Anwendungsdaten\dwm.exe Nach einem Neustart von Windows kam es aber dazu das der Generic host Process for Win32 Services ein Problem feststellte und beenden werden wollte. Seitdem fehlte mir unter Systemsteuerung/Sounds und Audiogeräte im Reiter Audio die jeweiligen Geräte, alles war ausgegraut und sämtliche Prozesse (Spiele/Browser/u.ä.) die keine explizite Soundeinstellung hatten wo man das jeweilige Gerät auswählen kann, hatten zu dem Zeitpunkt keinen Sound mehr. (Ich habe aktuell festgestellt das der Dienst Windows Audio auf manuell starten steht aber beendet war, wenn ich diesen starte, sind wieder alle Soundeinstellungen perfekt und auch habe ich überall Sound. Allerdings beendet sich dieser Dienst von alleine nach exakt 60 Sekunden wieder) Aber noch schlimmer war das nach neuerlichen Neustarts irgendwann ein noch schlimmeres Problem hinzu gesellte, und zwar funktionierte das Internet nun nich mehr wirklich. (Ich benutze eine normale Einwahlverbindung über ein externes per Netzwerk angeschlossenes DSL-Modem.) Ich wähl mich kurz nach Systemstart ein, die Generic Host Fehlermeldung erscheint kurz darauf, klicke ich die Fehlermeldung weg, ist mein Internet auch sofort weg, lasse ich sie stattdessen stehen habe ich noch ca. für fünf Minuten Internet bis es sich dann trotzdem verabschiedet. Wie ihr euch denken könnt ist gerade das eine extreme Bremse bei der eigenen Rat- und Fehlersuche im Internet, womit ich mich nun an euch wende. Ich werde wahrscheinlich nur sporadisch heute reinschauen können da ich fürs neues Internet auch immer neu rebooten muss, darum verzeiht mir verspätete Antworten. Ich habe inzwischen mein Windows auf das Nötigste reduziert, daher gestaltet sich auch ein log von hijackthis recht kurz: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:37:37, on 06.02.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17093) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\svchost.exe C:\WINXP\Explorer.EXE C:\Programme\Razer\Copperhead\razerhid.exe C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe C:\WINXP\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\dllhost.exe C:\WINXP\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\system32\svchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe -- End of file - 5366 bytes Mein System ist Windows XP Professionell mit den aktuellen Patches (allerdings von winfuture.de). Browser sind IE und FF wobei ich nur FF nutze. Virensoftware war Antivir, inzwischen läuft aus aktuellen Anlass Malwarebytes Anti-Malware. Ich bedanke mich schon einmal im vorraus für eure Hilfe und hoffe das ich alle nötigen Angaben gemacht habe. Gruß Chris
6. Februar 201114 j Hallo, sicher das dein System von eventuell Viren, Trojanern etc. befreit ist? Eventuell mal nach deaktivierter Systemwiederherstellung im abgesicherten Modus einen Scan (mit neuesten Updates) durchlaufen lassen. Wenn du schon im abgesicherten Modus bist (mit Netzwerktreibern), dort gleich mal den Inet Zugang testen. Sieht es dort besser aus, mal im Windows "ausführen"-"msconfig": Unter Systemstart die haken rausnehmen, unter Dienste die MS Dienste ausblenden und auch mal alle Haken raus. Nach Neustart prüfen ob es besser ist, dann kannst du nach und nach Haken wieder setzen bis du den Übertäter hast. Was sagt die Windows Eventlog im Detail? Viel Erfolg. Bearbeitet 6. Februar 201114 j von pantsoff
6. Februar 201114 j Autor Wirklich sicher das alles frei von Schädlingen ist, kann man ja leider nie so sein. Im Abgesicherten Modus mit Netzwerktreibern gelingt es mir gar nicht eine Internetverbindung herzustellen. Die Einwahlverbindung wird einfach nicht angezeigt und über eine zuvor angelegte Verknüpfung passiert auch gar nichts, nicht mal ne Fehlermeldung (allerdings geht kurzzeit die CPU-Last ein wenig hoch wenn ich z.B. diese Verknüpfung schnell mehrfach anklicke). Das Eventlog sagt schlicht nur: Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a624b. Ich werde jetzt mal die Dienste genauer unter die Lupe nehmen, danke schonmal.
6. Februar 201114 j Autor Welche Dienste unter msconfig sind denn zum Betrieb wichtig oder kann ich alle ausmachen erstmal? Bin doch ein wenig "ängstlich", nicht das dann das System gar nimmer will
7. Februar 201114 j Bitte mal Spybot S&D drüber laufen lassen. Und ich Persönlich würde meinen Rechner nicht mit Antivir kontrollieren. Alternativen Wären NOD32 oder Comodo. Ggf. finden Die auch etwas was Antivir nicht findet, wobei Spybot da wohl schon den Großteil ausfindig machen wird.
8. Februar 201114 j Hallo, "eigentlich" kannst du in der msconfig alles weghaken, das sind normalerweise zusätzliche Dienste. Wenna alle Stricke reissen in den abgesicherten Modus (da werden die sowieso alle nicht geladen) wechseln, und dort wieder anhaken. Aber wie anfänglich erwähnt vermute ich wie oben geschrieben eher Viren.
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.