Fehlermeldung: Generic Host for Win32 Services + Spooler SubSystem App
 

Hallo zusammen!

Auf meinem Rechner (Win XP) spielen sich mal wieder merkwürdige Dinge ab.
Seit kurzer Zeit werden vom System die Fehlermeldungen Generic Host for
Win32 Services + Spooler SubSystem App angezeigt.

Der Generic Host-Fehler tauchte als erstes mit einigen Nebenwirkungen auf.
Der Treiber für Sound war nicht mehr da, bzw. Sound ging nicht mehr und
Internet, bzw. das Programm dafür funktionierte auch nicht mehr.
Bisher habe ich die Fehlermeldung mit "Nicht senden" ignoriert,
Soundtreiber und Software für Internet neu installiert.
Manchmal hilft auch solange neustarten, bis der Fehler nicht mehr auftaucht.
Dann war auch erstmal Ruhe. Dann kam die nächste Fehlermeldung hinzu.
Spooler SubSystem App, sagt mir nichts und hat bisher keine Auswirkung gezeigt.

MalwareBytes kann nicht gestartet werden und die Downloads von Windows werden zwar "installiert", aber beim ausschalten des PCs wird nichts installiert.

In meiner Winamp-Playlist hatte ich aufeinmal einen Link
(h**p://bikleman.com/sex/tmp/s.gif). Ich habe keine Ahnung, wie der
Link in die Playlist gekommen ist, aber seitdem habe ich die Probleme.

Avira hatte auch Funde gemeldet, aber erst einige Tage später.

Avira-Report (Auszug):
Beginne mit der Suche in 'C:\' <Local Disk>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\WVGvGxMss4JTdtth6K\Hacks4Sale installer\1.1.0.0\Update-132869.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.1441792
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85230D2Z\free_refog_update_614[1].exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Monitoring.B
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\WVGvGxMss4JTdtth6K\Hacks4Sale installer\1.1.0.0\Update-132869.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.1441792
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfafe2c.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85230D2Z\free_refog_update_614[1].exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Monitoring.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfbfe2e.qua' verschoben!

Danke!

Wasndas? Kennst Du das? :wtf:

Sorry, kann dir leider nicht sagen was das sein soll.

Sagt Dir auch nichts? :rolleyes:

Hab es jetzt gegooglet. Ist wohl nen Programm um verschiedene Passwörter von diversen Accounts zu hacken, das man auch via Torrent downloaden kann. Avira sagt, das es womöglich ein Backdoor-Programm ist. Da ich selbst sowas nicht runtergeladen habe, habe ich es wohl eingefangen oder jemand anderes hat es über mein Notebook gemacht/versucht!? Eigentlich vertrau ich den Personen, denen ich es zur Benutzung überlasse ... Ich stehe normalerweise nicht wie ein Stasi-Aufseher daneben. Wollte man nun mich hacken oder mein Notebook dafür benutzen?

Ok, wenn andere Personen das Notebook noch nutzen können die es gewesen sein. Ich würde die aber trotzdem mal drauf hinweisen, dass es shice ist, wenn man sieht das das Notebook mit dubioser Software ausgestattet wird. Am besten den anderen Leuten die Adminrechte wegnehmen.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ja, das sollte ich mal auf jeden Fall tun. : / Jetzt hab ich aber ein weiteres Problem. Malwarebytes kann ich nicht starten (wie oben schon beschrieben). Deinstalliert und neu installiert, aber geht trotzdem nicht. Da öffnet sich nichts, nur kurz am laden. Wie soll ich weiter vorgehen? Avira funktioniert aber.

Gestern nacht flog übrigens meine Maus quer über den Bildschirm. Das war echt gruselig!

Danke dir für deine Hilfe!

Hab jetzt die Anweisungen unter dem angegebenen Link befolgt.
Hat NICHT funktioniert. Dann habe ich die weiterführenden Anweisungen für OTH befolgt Malwarebytes vorher noch mal deinstalliert und neugestartet).

Malwarebytes runtergeladen, falls Internetverbindung unterbrochen wird.
Hab deswegen auch den Schritt mit IE und Download ausgelassen. Währendessen ist wieder die Fehlermeldung mit Spooler SubSystem App aufgetaucht. Auf "Nicht senden" geklickt. Mit dem Punkt "Start Misc Programm" fortgeführt. Installation. Nach Installation wieder auf "Start Misc Programm" geklickt und mban.exe im angegebenen Verzeichnis ausgewählt und geöffnet.
Wieder KEINE Reaktion. Hab noch gewartet, aber nichts ist passiert, also hab ich dann auf "Reboot" geklickt. Nach dem Neustart ist wieder die Fehlermeldung Spooler SubSystem App aufgetaucht.

Ich beschreibe meinen Vorgang so genau, um auszuschliessen, dass ich nichts falsch gemacht habe. Werde es nochmal versuchen ...

2.Versuch ebenfalls erfolglos, aber ohne Fehlermeldung. Vor dem 1.Versuch mit OTH hat sich meine Maus wieder verselbstständigt und die Internetverbindung wechselte im sekundentakt zwischen on- und offline mit der Meldung die Firewall sei deaktiviert/PC gefährdet. Kein Plan, ob das was zu bedeuten hat.

Da Avira funktioniert, hab ich es mal laufen lassen. Keine guten Nachrichten.
AVIRA-LOG:
Der letzte Scan war am 20.09.2010 (mit den oben genannten Funden)!!!
Desweiteren hat der Avira-Guard folgendes in letzter Zeit gefunden:

In der Datei 'C:\System Volume Information\_restore{08FB02B6-182B-4663-8169-FF18994AD70B}\RP173\A0115524.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Und das am 22.09.10 (x3/zu verschiedenen Zeiten), 23.09.10, 25.09.10 (x2), 27.09.10 (x3), 03.10.10. Erscheint immer wieder ...

Es gibt malware, die - wenn sie aktiv ist - MBAM blockiert/abwürgt. Versuch MBAM mal über diesen random installer => http://malwarebytes.org/mbam-download-exe-random.php

Werd es versuchen, aber kurze Frage noch: muss ich Malwarebytes deinstallieren, bevor ich diese Version installiere?

Ja, versuch es vorher zu deinstallieren

Hoffe, dass ich dich nicht ratlos mache ... : ( Deinstallation und Neustart. Installation und lief nicht.

Mit der umbenannten Version ging es auch nicht? Probier es bitte im abgesicherten Modus aus.

Hallo Cosinus. Selbst im abgesicherten Modus und mit der umnannten Datei war es auch nicht möglich MBAM zu starten. Da hab ich mir voll den Feind angelacht ... Was nun?

Übrigens möchte ich mal allen danken, die jede menge Mühe in die FAQs/Links/Tipps investiert haben! Lohnt sich voll! So hab ich mal den abgesicherten Modus kennengelernt. ;)

Ok. Dann probieren wir Malwarebytes später nochmal.
Erstell dann erstmal die Logs mit OTL.

OK, dank dir für deine schnelle und fleissige Hilfe. : ) Hier kommt dann erstmal der OTL-Log:
OTL-Extras-Log:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So, hier das Logfile (OTL-Fix):

Hab dann nochmal einen Neustart gemacht, wegen Internet und dann tauchte wieder die Fehlermeldung Generic Host for Win32 Services auf, eigentlich immer, wenn keine Verbindung zum Internet besteht, bzw. das Programm dafür nicht an ist.

Gestern abend beim Ausschalten des PCs wurden auch endlich die Win-Updates installiert, die schon vor Tagen runtergeladen und während des Betriebs installiert wurden.

Bin gespannt wie es weitergeht bzw. was rauskommt ...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ach Cosinus, was würd ich nur ohne dich tun!? : ) Glaube, wir haben den Bösewicht gefunden. Fehlermeldung ist nicht mehr aufgetaucht (im Offlinemodus auch nicht) und MBAM lässt sich wieder starten und werd es auch nochmal laufen lassen. Geht ja wieder! : )

Während des Scans mit ComboFix hat Avira folgendes gefunden, bzw. ComboFix vorher und hat wegen Aktivitäten von Rootkits neustarten müssen.
Meldung von Avira war dann:
In der Datei 'C:\Qoobox\32788R22FWJFW\pci.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Nach der schweren Geburt hab ich nochmal neugestartet und *pling Win-Updates waren wieder zur Verfügung. Scheint auch alles wieder schneller zu laufen.

ComboFixLog ist ziemlich lang und häng es an.
MBAM-Log folgt, wenn es dann durch ist.

Unendlich Herzlichen Dank an dich!!! :daumenhoc

So MBAM ist jetzt auch durch. Während des Scans hat sich Avira wieder gemeldet mit der gleichen Geschichte:

In der Datei 'C:\System Volume Information\_restore{08FB02B6-182B-4663-8169-FF18994AD70B}\RP183\A0135012.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

MBAM-Log:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM kann ich leider nicht runterladen. Die Seite lädt und lädt und dann Zeitüberschreitung. Gibt es noch einen anderen Link, bzw. Möglichkeit?

Hier hatte ich osam mal als zip hochgeladen => File-Upload.net - osam.zip

Danke schön! : )

GMER-Log:
OSAM hab ich gestertet, konnte sich jedoch nicht mit Online-Datenbank verbinden. Versuche ich später nochmal.

Die Online-DB kannst Du abbrechen. Ich brauch nur das reine Log :)

Ah ok. : )

Hier dann OSAM-Log:

Und (habe es jetzt schon gemacht, ist doch ok so?)

MBRCheck-Log:
(MBRCheck_10.09.10_21.48.04)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mensch, bist du schnell! : ) Update und Scan gemacht.

MBAM-Log:
SASW-Log:
Die Meldungen mit dem Pfad C:\DOKUMENTE UND EINSTELLUNGEN kommen von Programmen, die ich mal von meinem Ex erhalten habe. Die habe ich bisher nie genutzt, also müssen die Dateien nicht wiederhergestellt werden.
Hoffe aber, dass sie nicht schädlich sind/waren. : )

Wenn Du sie nicht genutzt und gleich gelöscht hat ist alles ok.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, keine weiteren Meldungen und die Fehler sind auch weg! Alles wieder clean. Supi!!! :applaus:
Ein mega herzliches :dankeschoen:an dich! Und mein Respekt!

Wir sind dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Alles gemacht. Danke schön! : )