fehlermedlung generic host for win32
 

Hallo zusammen,

bin verzweifelt und weiss nicht mehr weiter. Muss meinen PC alle 10 min Neustarten da nix mehr geht. Fehlermeldung Win Generic Process for Win32.
anbei das hijack this lof file:
Ich hoffe ihr könnt mir helfen

Sorry,

hab das log file vergessen. Musste an meinen 2. PC da an dem anderen nix mehr geht.
Bitte helft mir:

HiJackthis Logfile:
--- --- ---

hi
vllt im abgesicherten modus versuchen, f8 bei systemstart.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Hallo hab schon mal malwarebytes anti-malware laufen lassen:
anbei das ergebniss.
Werd jetzt otl laufen lassen. Danke schon mal für die schnelle antwort:

alwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6531

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.05.2011 15:39:58
mbam-log-2011-05-08 (15-39-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176626
Laufzeit: 6 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\programme\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\relevantknowledge\rlservice.exe (Spyware.MarketScore) -> Quarantined and deleted successfully.

du sollst erst mal die logs komplett posten, was soll ich mit dem halben log anfangen?

sorry,

dann nochmal.

1. extras:OTL EXTRAS Logfile:
--- --- ---

otl war wieder nicht komplett:OTL Logfile:
--- --- ---

ok im abgesicherten modus.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

o.k. läuft sehr lange:
steht im Moment bei Stufe 50.
Ergebnis kommt dann

bitte schenke dir solche posts wie "kommt gleich" etc. sonst muss man immer vollkommen umsonst hier rein gucken. danke.

sorry für vorhin.
aber ich weiss nicht ob da noch was geht. Sieht aus als ob der PC sich aufgehängt hat. Steht nun schon seit ca. 15 min auf Stufe 50 ist das normal?
Übrigens ein wiederherstellungspunkt konnte nicht erstellt werden, da die windows wiederherstellungskonsole nicht vorhanden war und im abgesicherten modus auch keine Internetverbindung vorhanden war.

warte mal noch ne weile manchmal dauert das.
höchstens 45 minuten warten.

combofix läuft nun schon seit 1 Std.
Steht noch immer auf Stufe 50.
Was soll ich tun? Muss ich mir sorgen machen um meinen PC und die Daten?

warscheinlich.
brich combofix mal ab.
dann lösche deine version und lads erneut runter.
bitte rechtsklick, ziehl speichern unter.
lösche:
combofix.exe
schreibe
456.com
speichere es ab.
starte erneu in den abgesicherten modus ohne netzwerk und versuchs.

Hallo Markus,

hilf mir ich versteh nicht ganz.
Also comobix.exe habe ich gelöscht und lade sie auf meinem anderen pc nochmal runter.
und dann?

du sollst auf den download link mit rechtsklick gehen ziehl speichern unter
bei dateinamen wie beschrieben combofix.exe raus löschen
2345.com
reinschreiben.
speichern
den infizierten pc neustarten und im abgesicherten modus, aber nicht den mit netzwerk
dort die umbenannte combofix.exe starten

ach hab jetzt ne datei runtergelade die 456.com.exe heist
muss ich das .exe noch entfernen
muss ich erst noch einen neustart machen, oder kann ich es so verwenden wie es jetzt ist?

was hab ich geschrieben 2 mal schon mit dem neustart.
und ich hab geschrieben den kompletten namen entfernen...

hallo markus,

entschuldigung für meine dummen Frage, aber ich bin nicht so ein PC Profi.
also Neustart habe ich gemacht. Die 456.com.exe Datei per USB Stick auf den infizierten Rechner gebracht und start nun die 456.com.exe

ist das soweit in Ordnung

Hallo Markus,

also ohne dass ich was ausgeführt habe (warte noch auf Antwort) , kommt der Blaue Scren und der Kursor blinkt.
Wie soll ich weitermachen? Blauer Screen schliesen und 456.com.exe starten?

oh,

jetzt fragt das system mich folgendes:
Hast du versucht CFScript auszuführen?
Der Name CFScript scheint nicht korrekt buchstabiert zu sein
kann nur auf o.k. klicken
soll ich das machen?

kannst du mal was prüfen:
öffne arbeitsplatz c:
rechtsklick qoobox eigenschaften, wie groß ist der ordner?

Hallo Markus,

also hab auf o.k. geklickt. Dann die 456.com.exe in 456.com umbenannt.
Danach 456.com gestart.
Jetzt ist ein blauer screen zu sehen und der cursor blinkt. So wie es aussieht läuft combofix nochmal durch. Sollte dies nicht funktionieren deinstalliere ich es und melde mich dann wieder

Vielen Dank schon mal bis hierher

hi, bitte nicht deinstalieren, hab oben noch mal editiert, aber lass es erst mal laufen.

Hoi Markus,

also deinstalliert habe ich noch nicht. Qoobox ist ca. 26.4 KB gross.
Combofix läuft aber gerade wieder mit der 456.com Datei. Stufe 4. Wieviel stufen gibt es denn?

Hoi Markus,

also jetzt steht er schon wieder seit 10 min auf Stufe 50?
soll ich was tun oder warten?

Könntest du mir bitte nochmal helfen.
Combofix steht noch immer auf Stufe 50.
Wie soll ich weiterverfahren.
Sorry für meine ungeduld

weis ich jetzt gar nicht so genau, knapp 60 immer mit der ruhe das kann dauern.

Hoi Markus,

bin jetzt froh dass du wieder online bist. Danke für die Antwort.
Ich hoffe du hast nicht vor aufzuhören. Bitte helf mir bis das Problem gelöst ist.
(falls das überhaupt geht)
Bin schon fast verzweifelt. Stufe 50 steht noch immer.

Grosses Dankeschön

Es dauert unglaublich lange.
Stufe 50 und nix geht mehr.
Der Laptop "ratert" auch nicht mehr. sieht aus als ob er nicht mehr arbeitet

hmm ok dann brich ab.
wir machen ne sicherung deiner daten und setzen den pc dann neu auf, und natürlich helfe ich dir bis zum ende.
sichere allso wichtige daten wie bilder musik etc.
nichts aus illegalen quellen wie filesharing, keine keygens etc.

hoi,

soll ich combofix deinstallieren und nochmal laufen lassen. Bringt das nix?
Was vermutest du denn was ich für ein Problem habe.
Zur info: Auf dem PC wo ich arbeite habe ich eine Sciherung von den Eigenden Dateien.
Mit Outlook sicherung und Kontoeinstellungssicherung
wie gehen wir vor? wie lange dauert das?

ich hätte mehrere ideen was für eine malware es ist.
und bei allen ist formatieren angesagt.
naja wenn du alle daten gesichert hast, können wir weiter machen.
hast du das mit dem formatieren schon gemacht, oder benötigst du dafür ne anleitung.
nutzt du:
- windows cd
- recovery cd
- recovery laufwerk?

wie sieht es mit der sicherung von outlook die .pst datei aus.
auch sichern oder meinst die malware liegt dort.

windows liegt übrigens auf der festplatte da laptop
ach so sollte noch erwähnen ist ein Thinkpad von IBM, d.h. es gibt ein sog. rescue and recovery !
bringt das was?

ja damit kann man dann auf werkseinstellungen zurück setzen denke ich, mal im handbuch nachschauen.
pst kannst du sichern

Hoi Markus,

im anbetracht der Zeit und im anbetracht, dass ich morgen wieder früh raus muss.
Würde ich das ganz verschieben.
Bist du die nächsten Tage auch wieder hier anzutreffen. Wenn ja würde ich mich einfach wieder unter diesem Thread melden.
Gibt es noch was zu beachten, was du mir unbedingt mit geben willst bevor ich das System neu aufsetze?
Vor allem wie kann ich sowas zukünftig vermeiden?

sollte ich den pc in diesem zustand noch ein paar tage benutzen muss ich irgendwas beachten, bzgl. sicherheit und ausspionieren von daten. Z.B. Internet online bnaking oder so ?

hi,
wenn du onlinebanking machst, lasse es sperren.
was es zu beachten gibt sage ich dir wenn du neu aufgesetzt hast.
man kann da tatsächlich einiges tun.

Hoi,
Melde mich nochmal.
Online Banking sperren lassen? Hab doch tans ohne
Die nix geht. Oder. Meld mich mit dem pc nicht mehr an.
Wenn ich es sperren lasse. Wie lange? Und was muss ich tun um wieder
Online Banking zu machen. ?

Nochmal wg. Online Banking. Lasst mir keine Ruhe.
Werd jetzt die zugansdaten. D. H. Alias und Passwort ändern.
Reicht das? Natürlich von einem anderen pc

naja du weist nicht wie lange die potentielle malware drauf ist.
außerdem ist das pin /tan verfahren das unsicherste verfahren welches es gibt.
das beste ist mit chipcard reader, und zwar ein so genannter klasse 3 leser, mit bildschirm und tastatur.
der vorteil ist, das du direkt zur bank verbindest, und deine daten (pin<) usw. auf einem seperaten gerät eingibst, heißt vom pc aus kann nichts mitgeschnitten werden.
da musst du dich von der bank beraten lassen.
so ein gerät bekommt man dort verbilligt, meist rund 50 € höchstens.

Hallo Markus,

ja klar, aber wenn ich jetzt neu aufsetzte können wir ja bevor ich alles andere neu installiere nochmal prüfen ob ich "sauber" bin, oder?
Werd dich informieren sobald ich windows neu installiert habe.

Gruss

ja sicher.
wir prüfen deine daten, nachdem wir das system abgesichert haben, ist kein problem!

Hoi Markus

Ich hoffe du erinnerst dich noch an mich. Setzt jetzt mein Windows auf.
Konntest du mir dann bevor ich meine Programme wieder installiere helfen das System abzusichern.
Firewall verende ich Sygate
Bei Antiviren Prog. Avira antivir

Danke schon mal im voraus

http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für xp abarbeiten.
zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten.
anmerkungen meiner seits:


avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.


als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
lies auch den abschnitt zum onlinebanking!!

Hoi Markus,

vielen Dank für deine Tips. Hab leider noch Probleme mit meinem recovery Programm, d.h. zurückstellen auf Werkseinstellungen geht nicht, da wahrscheinlich die Partionen auch verschossen ist. D.h. muss jetzt erst mal schauen wie ich an Windows XP komme.
Sobald ich soweit bin, werde ich deine Hinweise versuchen umzusetzen.

noch ne Frage, du erwähnst nirgends eine Firewall (hab nix gefunden). Ist eine Firewall nicht notwendig?

Danke
Gruss

nein, eine firewall ist nicht nötig.
benutze die windows eigene + router firewall.
das deaktivieren der dienste schließt außerdem noch weitere ports.
windows xp gibts für 20 € zu kaufen, nur falls du darann gedacht hast, dir ne version aus irgendwelchen filesharing netzen zu hohlen, finger weg, du weist nie, was damit alles gemacht wurde.

hallo,

versuche nun verzweifelt seit Tagen das Betriebssystem neu aufzusetzen.
Ich kann beim Booten nicht auf meine Sicherungspartition zugreifen.
Grund: Lenovo Z61m Notebook mit Thinkvantage. Nur funktioniert Thinkvantage Rescue & Recovery nicht mehr. Hab jetzt im Moment eine 30 Tage gültiges Windows XP drauf damit ich überhaupt was machen kann.
Kennt sich da jemand aus. Was kann ich tun, damit ich auf die Service PArtion komme. V.a. wg. all den Treibern.

Danke

das ist eben der misst bei solch einem recovery, deswegen würde ich mir nicht so ein gerät hohlen.
du kannst halt mal beim hersteller anfragen ob sie dir windows verbilligt zur verfügung stellen, wenn nicht wirst wohl eine neue version erwerben müssen.
oder kauf dir lieber selbst nen xp, kostet 20 €.

Hallo Markusg,

was hältst du anstatt von sandbox von BitBox
Diese setzt auf eine Kombination aus VirtualBox, Debian-Linux und Firefox 4.
Geht das in die gleich richtung?

also ich denke sandboxie ist ausreichend.
die anforderungen für ne vm sind doch schon etwas höher, was speicherplatz und ram auslastung angehen.
du kannst es ja gern ausprobieren, aber ich denke ne sandbox reicht und ist leichter zu bedienen.

hoi,
o.k. danke für die info.
hab inzwischen über partition magic meine recovery partition auf boot able gesetzt und mein system gerade eben wieder hergestellt
Fang nun mit deinen Hinweisen von letzter Woche an bevor ich irgendwas anderes installiere.
Ich habe das gefühl mein PC ist auf dem Weg zu besserung.

Gruss

jo, befor irgendwas anderes passiert erst die anleitung abarbeiten, soll ja sauber bleiben der gute :d

hoi,
noch ne frage. Macht es eigentlich Sinn, nach der Installation alles notw. Progs. eine Art
System Image zu erstellen. So dass ich im fall der fälle zu diesem wieder aufsetzen kann und mir dann die aufwendige Installation spare? Wenn ja, wie mache ich das am einfachsten?

ja, hab doch nen backup programm verlinkt. du solltest damit mindestens jeden monat einmal ein image ziehen damit du beim nächsten mal wenig datenverlusst hast.
wenn du viel zeug instalierst alle 2 wochen ein image

hoi,

hab ich nicht gesehen, soweit war ich noch nicht, sorry!
Noch ne andere Frage: Jetzt ist mein System ja wieder wie "NEU"!
Sollte ich da nicht zuerst noch schauen ob ich sämtlich Treiber aktualisieren könnte/müsste.
Wenn ja, wie geht das am schnellsten?

nutzt du ein "ferti gerät" von hp zb? dann kannst du meistens direkt beim anbieter des geräts die neuesten treiber hohlen.

Hoi Markusg,

ja sogzusagen nur von IBM ein Thinkpad Z60m
Auf jedenfall noch ein herzliches Dankschön an Dich.

Gruss

Hoi Markusg,

um Treiber upzudaten: soll ich das manuell im geräte manager machen, oder eine Freeware wie z.b. driver scanner verwenden.

Gruss

warum nur? solange das gerät ausreichend für dich ist passt das doch.
schau mal, dass müsste die support seite sein
Lenovo Support - Drivers and software - ThinkPad Z60m, Z60t

Hoi zusammen,

so wollte nochmal kurz Bescheid geben. Hab jetzt alles neu Installiert. Alles super.
Vielen Dank nochmal.
Was mir jedoch etwas schwierigkeiten macht ist das Firefox Add on No script.
Wie macht ihr das? Flash geht ja dann nicht mehr.

flash geht.
bei dem jeweiligem vidio, rechtsklick, noscript, blockierte objekte, dort ist das flash objekt drinn.
youtube würd ich nicht frei geben, da gibts auch einige schwarze schafe...