G Data meldet wiederholt Problem mit rpcnetp.exe
 

Hallo zusammen,

ich habe hier einen neuen Lenovo-PC stehen (E73, i5-4460s, 10DR001DGE, W7Prof. 64).
Als Schutzsoftware läuft G DATA Internet Security.

Die Verhaltensüberwachung von G DATA meldet wiederholt einen vermeintlichen Befall der Datei rpcnetp.exe. Hier das Log-File:

Ich habe die Verschiebung der Datei in Quarantäne gewählt, aber das Problem taucht immer wieder auf.
Die betroffene Datei rpcnetp.exe scheint sogar vom System immer wieder neu erzeugt zu werden, zumindest kann ich über die Systemwiederherstellung nachvollziehen, dass es von der Datei immer wieder neue Versionen zu geben scheint. Inzwischen sind mehrere Versionen der Datei in Quarantäne.

Eine der in Quarantäne verschobenen Dateien hat etwas mit dem icls Client zu tun. Dieser ist lt. Web Bestandteil der Intel Management Engine, die auf meinem System installiert ist. Möglicherweise handelt es sich um einen Fehlalarm, aber ich würde gerne auf Nummer sicher gehen, bevor ich Aktivitäten dauerhaft erlaube, die G Data beanstandet.

Natürlich habe ich zuerst den Kontakt zu G Data gesucht. Die haben mir gestern auch bestätigt, dass sie alle erforderlichen Informationen vor einer Woche erhalten haben. Allerdings gibt es bei den Kollegen so viel zu tun, dass man mir nicht sagen kann, bis wann man sich mit meinem Problem beschäftigen wird. Darum bitte ich Euch, mir Eure Unterstützung zu gewähren, damit ich in der Sache weiter komme und ein mögliches Risiko beseitigen kann.

Vielen Dank vorab für Eure Hilfe.
writeoff

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi schrauber,

danke, dass Du mir hilfst.

Der Download hat geklappt.

Beim Start von FRST meldete die GData VErhaltensüberwachung ein neues Problem

Ich habe den Programmzugriff dann einmalig erlaubt, damit wir weiterkommen.


Hier die Ergebnisse:

1. Addition.txt


FRST.txt kommt in weiterem Post.


Beste Grüße

writeoff

... und jetzt der erste Teil der FRST.txt:

Beste Grüße
writeoff

...und der Rest der FRST.txt


Beste Grüße
writeoff

Hi schrauber,

mir ist beim Lesen der Addition.txt etwas aufgefallen. Da ich mir nicht sicher bin, ob es für unser Thema relevant ist, teile ich es Dir lieber mit.

Aus dem log im ersten Post kann man sehen, dass G Data auch eine Datei des iclsclient in Quarantäne verschoben hat.
"c:\windows\syswow64\config\systemprofile\appdata\local\intel\icls client\iclsclient.log"
Der iclsclient gehört zur Intel Management Engine.

In der Addition.txt steht unter disabled services unter anderem
"MSCONFIG\Services: LMS => 2" .
Auch dieser Service hat mit der Intel Management Engine zu tun.

Ich hatte eine Reihe von Services und Autostarteinträgen deaktiviert, weil Lenovo den Rechner derart vollgeknallt hat mit allem möglichen unnützen Kram, dass der Rechner ewig lange zum Booten benötigt hat.

Ist es denkbar, dass ich mir dabei selber ins Knie geschossen hab? Das Booten geht jetzt zwar superschnell, aber möglicherweise fehlt einer der services und das führt zur besagten Meldung.

Dann müsste ich mich zwar ganz schön schämen, aber wenn wir dadurch den Fehler hätten und uns weitere Suchen ersparen könnten, dann wäre Schämen für mich ok.

Sofern das alles Quatsch ist --> nichts für Ungut, ich freue mich auf Deine nächsten Anweisungen.

Beste Grüße

writeoff

Öffne mal bitte FRST, in die Search Box folgendes kopieren:

rpcnetp.exe


und auf Search Files klicken.

das Ergebnis

search.txt

Suche bitte wiederholen, diesmal damit:

rpcnetp.*

... das Ergebnis

Tolle Wurst, kein Replacement da.


Bitte Windows Repair laufen lassen:
Windows reparieren - so geht's - Anleitungen

Hallo Schrauber,

danke, bin schon am downloaden von tweaking.com.

Gestern tauchte das Problem übrigens den ganzen Tag trotz mehrfachem Boot nicht auf. Heute wieder das gewohnte Bild: Rechner bootet ok, nach einigen Minuten schlägt die Verhaltensüberwachung dann wieder an und meldet rpcnetp.exe als verdächtig. Was auch immer da tätig wird, es findet nicht jeden Tag statt.

Noch eine Hinweis: das Problem ist zum ersten Mal aufgetaucht an Tag der Installation einer neuen Version (25.1.0.4) von G Data. Mit der 25.1.0.3 gab es keine Meldungen.

Beste Grüße
writeoff

Zur Not fragen wir mal beim GDATA Support an :)

Mein erster Anruf bei G Data war am 22.4.. An diesem Tag hatte ich um 18:32 G Data upgedatet auf die 25.1.0.4 und um 19:28 kam das Problem zum ersten Mal. Habe alle Infos an G Data hochgeladen, wie vom Support gefordert.

Am 1.5. (also nach 9 Tagen) habe ich nachgefragt, wie denn der Stand wäre. Meine Uploads lagen vor und waren beim 2nd Level zur Untersuchung.

Heute habe ich wieder angerufen, aber immer noch keine Antwort vom 2nd Level.

Habt Ihr da einen besseren Draht? Über meine Kanäle komme ich da nicht weiter.

Beste Grüße
writeoff

Noch ein paar Infos

1. Auch bevor das Problem am 22.4. das erste Mal gemeldet wurde, hat mein Rechner immer wieder die rpcnetp.exe modifiziert. Ich habe 7 Wiederherstellungspunkte, vor dem 22.4., bei denen immer eine Dateiversion mit anderem Änderungsdatum gespeichert ist. Vor dem 22.4. hat sich G Data daran aber nicht gestört.

2. Der zeitliche Verlauf der Meldungen ist merkwürdig:
vor 22.4.: Rechner läuft ohne Problem;
22.4.: Problem taucht auf;
23.-24.4.: Rechner läuft ohne Problem;
26.-27.4.: Rechner läuft ohne Problem;
30.4.: Rechner läuft ohne Problem;
1.5.: Problem taucht auf;
2.5.: Problem taucht auf;
3.5.: Problem taucht auf;
4.5.: Rechner läuft ohne Problem;
5.5.: Problem taucht auf;

Beste Grüße
writeoff

Nee, bei GDATA kenn ich leider keinen :)

Da wir anscheinend beide das G Data Update als Ursache in Erwägung ziehen und da G Data noch nicht geantwortet hat, könnte ich doch die Wartezeit auf die Antwort nutzen, um einfach mal via Systemwiederherstellung auf den Status vor dem Update zurückgehen.

Wenn der Fehler verschwunden sein sollte, hätten wir ja das Ziel erreicht. Wenn nicht, ist nichts versaut. Daten sind mehrfach gesichert, das Risiko ist also überschaubar.

Davon unabhängig wäre es natürlich schön zu wissen, welche Task/welcher Prozess immer wieder die rpcnetp.exe ändert und warum das nicht jeden Tag passiert, sondern dem oben beschriebenen merkwürdigen Muster folgt. Da das schon lange vor dem ersten Auftreten der Problemmeldung passierte, ist es möglicherweise völlig ok und harmlos. Die Verhaltensüberwachung hat ja auch FRST angemeckert, ohne dass FRST bösartig wäre (hoffe ich zumindest :D).

Sollen wir das so machen? Ich würde mich sofort wieder melden, wenn einer der folgenden Bedingungen erfüllt wäre:
1. Antwort von GData liegt vor
2. Fehler taucht wieder wieder auf (dann wäre die Idee mit der Wiederherstellung geplatzt)
3. Fehler taucht mindestens eine Woche nicht auf (das wäre ein deutlich längerer fehlerfreier Zeitraum und damit ein Hinweis, dass an der Idee etwas dran sein könnte.)

Beste Grüße
writeoff