Hallo,

sorry, wenn ich Dinge anspreche, die hier schon x-mal durchgekaut worden sind. Habe jede Menge davon gelesen und auch regelrecht abgearbeitet - doch gebracht hat's wenig. Liegt wohl daran, dass ich 1. log-files nicht selbst auswerten kann und 2. bei meinen Virenscans mit den hier angeratenen Tools (auch mit diversen anderen Programmen) nichts auf meinem Rechner finden konnte. Einzig "Combofix" meldete "Rootkitaktivitäten". Aber auch nach dem Combofix-Durchlauf hat sich an folgendem Systemverhalten nichts geändert:

Da ist zunächst mal die Fehlermeldung: "Generic host process" ...muss beendet werden.

Hier steigt die Speicherauslastung des Dienstes "sychost.exe -k netsvcs" nach Systemstart, auch bei völliger PC-Untätigkeit, ständig an, bis irgendwann obige Fehlermeldung erscheint (beobachtet in erweitertem Taskmanager) . Inwiefern nachfolgende Ereignisse damit zusammenhängen - keine Ahnung.

Browser (bei mir Firefox 3.6.12) öffnet selbsttätig neue Webseiten, Taskleiste verschwindet, Programme lassen sich nicht mehr starten, Oberflächendesign verändert sich, Ton (Dienst "Windows Audio") ist plötzlich abgeschaltet, PC fährt stark verlangsamt oder gar nicht mehr herunter usw. usw.

Obige Symptome (habe nur ein paar wenige genannt) treten nicht alle gleichzeitig, dafür aber regelmäßig auf. Sie sind weitgehend nach einem Reset wieder verschwunden, um dann irgendwann wieder aufzutauchen.

Permanent da ist eine offensichtliche "Linkblockade": Versuche z.B. die Microsoft Update Seite zu erreichen, scheitern auch schon kurz nach Systemstart, also dann, wenn alles andere noch intakt ist. Entweder tut sich gar nichts oder es frieren Fenster ein oder es erscheint bekannte Meldung: Website kann nicht angezeigt werden. Selbst wenn ich im abgesicherten Modus bei Google die Buchstabenfolge "microsoftupdate" eingebe, passiert nichts. Ändert sich sofort, wenn ich z.B. nur "microsoftupdat" oder beliebige andere Begriffe eintippe (daher mein Verdacht mit der sog. "Linkblockade").

Habe mittlerweile ein Anfang Oktober gesichertes Image meiner Primärpartition (Windows XP, SP3, das über Monate absolut einwandfrei lief) aufgespielt und hoffte damit den Spuk zu beenden, doch wider Erwarten sind die Probleme geblieben. Hätte auch längst eine komplette Neuformatierung und Windows Neuinstallation vorgenommen, wenn ich nicht im Moment auf meine ziemlich komplex eingerichtete Arbeitsumgebung angewiesen wäre.

Sorry nochmals für das lange Geplapper, wo es hier doch hauptsächlich um das schnelle Posten von log-files geht (und gehen muss). Ihrer/Eurer Anleitung (in "LOAD") gemäß, habe ich daher ein paar Abbilder von meinem derzeitigen Systemzustand erstellt (siehe logfiles.zip). Wenn jemand so nett wäre, da mal einen Blick drauf zu werfen, wäre ich sehr, sehr dankbar.

Hallo und

Zitat:

Einzig "Combofix" meldete "Rootkitaktivitäten". Aber auch nach dem Combofix-Durchlauf hat sich an folgendem Systemverhalten nichts geändert:

Warum führst Du auf eigene Faust Combofix auf? Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar!

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Warum führst Du auf eigene Faust Combofix auf? Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar!

Hallo cosinus,

zunächst mal vielen Dank, dass Du Dich meiner Sache annehmen willst und ich bitte vielmals um Entschuldigung für mein Fehlverhalten.

Den Combofix Suchlauf habe ich ausgeführt, weil ich 1. in der Lage gewesen wäre, den Zustand vor dem Suchlauf exakt wieder herzustellen 2. weil es das einzige Tool war, das jemals bei mir etwas gefunden hat (schon mal vor etwa einem halben Jahr getestet) und 3. gibt es Leute, die obwohl Sie hier posten und Hilfe suchen, dennoch nicht ganz unbedarft sind, was den allgemeinen Umgang mit PC-Systemen angeht.Ich kann weniger gut log-files interpretieren - das ist wahr, deswegen wende ich mich an Leute, die das täglich tun.

Obiges Gelaber musste sein, nachdem Du mich so nett hier im Forum begrüßt hast. Dabei wollte ich nur kurz sagen, dass ich die Ursache des Übels mittlerweile selbst gefunden habe und mein System wieder ausgezeichnet funktioniert.

Das Tool "HitmanPro 3.5" hat innerhalb von 30 Sekunden Scan "Rootkit TDL3" ausfindig gemacht. Nach einem Neustart des Systems war dann die Linkblockade weg, die Fehlermeldung "Generic Host process" kam nicht mehr, der Shutdown ist wieder O.K. und auch alles andere. Zufallstreffer ? Ich denke nein, da ich doch reichlich recherchiert habe.

Wäre nett, wenn Du mir trotzdem noch sagen könntest, wie ich weiter vorgehen sollte. Folge wirklich sehr gern Deinen Anweisungen !

Als Beweis hier der erbetene malewarebytes Vollscan, der nun wirklich nicht die Wahnsinnsaufschlüsse geben dürfte:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5029

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03.11.2010 10:01:49
mbam-log-2010-11-03 (10-01-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 341858
Laufzeit: 31 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

die Fehlermeldung "Generic Host process" kam nicht mehr, der Shutdown ist wieder O.K. und auch alles andere. Zufallstreffer ? Ich denke nein, da ich doch reichlich recherchiert habe.

Jupp, das liegt am TDL3. Hab hier gerade auch ein Nachbars-Netbook verarztet, ständig Abstürze von Generic Host Process, aber nicht im abgesicherten Modus. Über GMER konnte ich die manipulierte Systemdatei ausfindig machen und mittels BartPE über USB-Stick gestartet mit einem sauberen Exemplar ersetzen.