|
Firefox öffnet automatisch Tabs / Generic Host Process for W32 Services Fehlermeldung Hallo! Ich habe mir leider irgendwo irgendwie ein ziemlich hartnäckigen Plagegeist eingefangen. :heulen: Ich habe hier im Board schon von gleichartigen Problemen gelesen. Da der Helfer immer darauf hingewiesen hat, dass die Hilfe nur für das individuelle Problem gilt, habe ich davon abgesehen der Anleitung zu folgen und sende nun einen eigenen Hilferuf. Nach Herstellung der Internetverbindung und Arbeiten mit Firefox öffnet sich mal früher mal später ungefragt ein Tab und stellt irgendeine Verbindung her. Schaffe ich es schnell das Tab zu schließen, kann ich in der Regel eine Weile ungestört weiter arbeiten, aber igendwann, meist nach 1-2 Stunden kommt die Fehlermeldung. "Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden." Ich kann dann noch einige Minuten arbeiten, aber dann bricht die Verbindung zusammen und ich muss den Rechner neu starten bevor ich wieder ins Internet kann. Während der 1-2 Stunden öffnet sich auch ab und an immer mal wieder ein Tab. Schließe ich das Tab schnell, kann ich weiter arbeiten. Ansonsten werden irgendwelche dubiosen Verbindungen aufgebaut und der Rechner arbeitet, so als ob irgendetwas im Hintergrund installiert wird. Er wird dann immer langsamer und Firefox hängt sich meistens auf. Beim Internet Explorer ist es übrigens ähnlich. Allerdings öffnet sich dort kein Tab, sondern die Verbindungen werden beim Öffnen z.B. eines Google Suchergebnisses hergestellt. Ich komme dann nicht zu der gewünschten Seite. Ich habe Malwarebytes und Avira Antivir durchlaufen lassen. Es wurden auch Schädlinge gefunden und gelöscht / repariert. Aber: Auch wenn beide Programme nichts mehr finden, tritt das oben genannte Problem auf. Ich hoffe sehr, mir kann jemand helfen!? Eine Neuaufsetzung des Systems möchte ich unbedingt vermeiden. Dankeschön schon einmal im Voraus! Hier meine 4 Protokolle von Malwarebytes: Wie gesagt, mal wird etwas gefunden - mal nicht (mehr). Das Problem ist aber immer akut. :heulen: ------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4691 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 25.09.2010 17:07:22 mbam-log-2010-09-25 (17-07-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 163342 Laufzeit: 25 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\***\Anwendungsdaten\avs.exe (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\59t4 (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\avs.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\jfgjjhhgh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PAV\filrewall.log (Malware.Trace) -> Quarantined and deleted successfully. ------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4691 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.09.2010 00:38:12 mbam-log-2010-09-26 (00-38-12).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 163479 Laufzeit: 25 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4691 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.09.2010 00:34:26 mbam-log-2010-09-29 (00-34-26).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 163820 Laufzeit: 2 Stunde(n), 9 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ciif.exe (Spyware.Zbot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\owxupo.exe (Spyware.Zbot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\chkntfs.exe (Trojan.Downloader) -> Delete on reboot. ------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4691 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.09.2010 23:33:46 mbam-log-2010-09-29 (23-33-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 163840 Laufzeit: 24 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
du sagtest du hast nen scan mit avira gemacht? dann öffnen, report und scanreport(s) posten. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide |
Hallo marcusg! Danke für die schnelle Antwort! :-) Anbei alle Protokolle. Von den 5 Avira Antivir Tests wurde in 3 etwas gefunden, in 2 nichts. Die kleinen (18 KB) sind jene ohne Fund. deb6863 |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
..und hier kommt sie auch schon. |
Nach dem Combofix-Durchlauf ist das eingangs geschilderte Problem bisher nicht wieder aufgetreten. *freu* Wurde das Rootkit entfernt? Bin ich wieder clean? |
ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
Hier sind sie. Problem ist nicht mehr aufgetaucht! :-)) :dankeschoen: Wo kann ich spenden?? |
n bissel zu tun haben wir noch, ich geb dir dann den link. welche firefox version nutzt du eigendlich? • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL SRV - (mnmsrvc) -- C:\WINDOWS\System32\mnmsrvc.exe File not found DRV - (JakNDisMP) -- C:\WINDOWS\System32\DRIVERS\JakNDis.sys File not found DRV - (GMSIPCI) -- G:\INSTALL\GMSIPCI.SYS File not found DRV - (catchme) -- C:\DOKUME~1\FRANKV~1\LOKALE~1\Temp\catchme.sys File not found DRV - (appliandMP) -- C:\WINDOWS\System32\DRIVERS\appliand.sys File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten |
Gerade hat sich Avira Antivir gemeldet! :-( In der Datei 'C:\System Volume Information\_restore{20F02571-133A-4AAE-807C-C806CD61B8BA}\RP172\A0028929.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Was soll ich tun? Zunächst deinen Anweisungen folgen oder Antivir durchlaufen lassen und bereinigen? Ich habe Firefox 3.6.10. |
bitte folge erst meinen anweisungen. dann rechtsklick auf den arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok 5 minuten warten, wieder einschalten und dann gehts hiermit weiter. avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Hier sind die Logs. |
sorry! Nun aber... |
sieh dir die konfiguration an und vergleiche sie mit der anleitung. und du solltest dann über lokale laufwerke scannen. |
Ich hatte wohl vergessen beim ersten Einstellen jeweils auf "Übernehmen" zu drücken. Jetzt sollte es passen. |
ok sieht gut aus, noch probleme aufgetreten? nutze den ccleaner, dateien + registry bereinigen http://www.trojaner-board.de/51464-a...-ccleaner.html |
Cleaner ist durch. Keine Probleme mehr! :-)) Vielen, vielen Dank nochmals !!! Gebe wie gesagt gerne kleinen Obulus. |
ok noch nen eset online scan und dann geb ich dir noch tipps um den pc abzusichern. Free ESET Online Antivirus Scanner ergebniss posten. |
Eine Sache wurde noch gefunden. Das war aber eine gepackte harmlose Software als ausführbare Datei (unlocker1.8.8.exe). Das Programm verwende ich. Habe daher restored. |
ja unlocker is ok :-) ok dann absichern. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. einer der sichersten browser ist opera. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen der ist sicherer als der firefox und bringt eigendlich alles an funktionen mit, probiere ihn ruhig mal aus. windows dienste sicher konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de zu beachten ist, windows update und inteligenter hintergrundübertragungsdienst sollten immer aktiv bleiben, kannst du selbst nachprüfen unter start ausführen, dort services.msc enter und dort die dienste suchen und schauen ob starttyp automatisch eingestellt ist. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. wenn du den opera nicht nutzen willst, dann sag noch mal bescheid, dann muss ich dir etwas zu firefox unter sandboxie schreiben. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport updates: Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. bitte also nur noch unter sandbox surfen, mit klick auf "sandboxed webbrowser" passwörter endern bitte! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board