|
Generic Host Process Fehlermeldung Hallo zusammen, ich bin neu hier und möchte mich schon vorab für eure Hilfe bedanken. Mein Hilfegesuch ist vielleicht etwas ungewöhnlich, da nicht mein eigener PC Probleme hat, sondern der eines Bekannten. Dieser ist völliger Laie und hat mich um Rat gebeten. Da mein Bekannter entfernt wohnt, stehe ich nur telefonisch, bzw. per Mail mit ihm in Kontakt. Zum eigentlichen Problem: In der vorigen Woche erschien die Fehlermeldung Generic Host Prozess zum 1. Mal. Es erscheint ein Dialogfeld. Wird es geschlossen, hängt der PC sich auf, lässt man es im Hintergrund, kann man weiter arbeiten. Gleichzeitig fand Antivir Backdoors, die in Quarantäne verschoben wurden. Dann war der PC zur Kontrolle bei einem Händler, der einen weiteren Fund entfernte. Seit heute nun erscheint die Fehlermeldung erneut, gleich nach dem hochfahren. Antivir findet nichts. Die HiJack-Logdatei erscheint mir unauffällig. Wie kann ich meinem Bekannten weiterhelfen? Welche Logs oder Angaben benötigt ihr? |
hiwarum meldet er sich nicht selbst an, dass wäre einfacher... Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
Hi markusg, ich gebe Dir völlig recht, dass das einfacher wäre. Aber derjenige kennt sich so wenig aus, dass ich ihm alles so simpel wie möglich erklären muss. Ich werde dann sehen, wie weit er klar kommt. Andernfalls muss ich doch noch zu ihm fahren. Jetzt warte ich erst mal auf die beiden txt.Dateien und melde mich dann wieder. |
ok, dass müsst ihr unter euch ausmachen. du kannst ihm ja zu mindest von otl screenshots schicken, also das programm selbst laden und so einstellen wie von mir beschrieben. zur not, gebe ich mich auch zufrieden, wenn er einfach nur auf scan klickt. und dann die reporte sendet. |
Hallo, jetzt habe ich die beiden OTL-Logs erhalten. Wie geht es jetzt weiter? |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Danke für die Rückmeldung. Werde die Logs frühestens heute Abend oder morgen erhalten. Lässt sich denn zum jetzigen Zeitpunkt schon sagen, ob (wahrschienlich) ein Befall vorliegt, oder wäre auch noch ein völlig anderer Grund für die Fehlermeldung möglich, der abgeklärt werden sollte? |
es könnte ein rootkit sein, da der gute nur das sp2 hatt, heißt das er bekommt seit 8 montaten keine updates mehr von windows. |
Sorry, dass es so lange gedauert hat. Aber dafür ist der PC jetzt hier bei mir. CF liess sich überhaupt nur im abgesicherten Modus starten. Zwischendurch meldete CF den Fund von Rootkit TDL3 und die Löschung der Datei system.ini in c:\windows\system32. Insgesamt startete CF 2 x neu, am Schluß erhielt ich die log-Datei. Die Fehlermeldung vom Generic Host Prozess ist verschwunden. Was ist weiter zu tun? |
Wird von diesem pc eingekauft oder banking gemacht? |
Banking nein! Einkauf kann ich nicht sagen, eher auch nein. Was, wenn doch? |
dann sollten wir neu aufsetzen, bitte find das mal raus :-) |
Kein Einkauf! Mein Bekannter hat mich gebeten, das Neuaufsetzen möglichst zu vermeiden. Ich bin auch gerne bereit, mir die Zeit für eine sorgfältige Entfernung und bessere Absicherung zu nehmen - oder bin ich da zu "blauäugig"? |
ok machen wir mal weiter. lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. musst vllt mit ihm zusammen machen. damit können wir unteranderem auch prüfen was geupdatet werden muss |
Hier die installierten Programme ... |
true image, werden damit vollständige backups gemacht? dann bräuchten wir nur zurücksetzen das dauert 5 minuten |
Nein leider nicht. Habe ich gestern nur zur Sicherheit, vor Beginn meiner Arbeit am PC, aufgespielt. Wäre zu schön gewesen ... ;) |
dann update das programm jetzt mal und mache nen kompletten scan bitte |
Verstehe nicht ganz ... True Image? Scan? Oder welches Programm meinst Du? :confused: |
sorry ich hatte mich verklickt. bitte windows updates machen, sp3 und sonstige, aut internet explorer 8 |
Danke bis hierher. Mache mich an die Arbeit, melde mich später wieder. |
So, alle vorgeschlagenen Updates erledigt, auch diverse weitere Software auf den neuesten Stand gebracht (Skype, Acrobat, etc.). Was ist jetzt noch zu tun? |
avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen |
Hi markusg, habe erst nach dem Scan bemerkt, dass ich Antivir heute noch nicht upgedatet hatte. Ist bereits nachgeholt. Schicke trotzdem schon mal die Log-Datei. Zwei Funde befinden sich offensichtlich in Ordnern des Mail-Programms; was mache ich damit? Aktion Antivir=ignoriert. 1 Datei in Quarantäne. |
lösche mal alle unnötigen mails, leere den thunderbird papierkorb und komprimiere dann den ordner. |
Hab die Mail-Ordner schon mal komprimiert. Das Löschen muss ich zusammen mit meinem Bekannten machen und dann das Kompimieren nochmal wiederholen. Ist außerdem noch was zu tun? Fragen: 1) Sollten von ihm benutzte externe LW (Festplatte, Stick) auch noch mit AntiVir oder anderen Tools gescannt werden? (Muss ich dann machen, wenn ich den PC zurückbringe.) 2) Wenn der Rechner in Zukunft doch mal für Banking genutzt werden soll, ist dann doch noch Neuaufsetzen angesagt? 3) Warum empfehlt ihr das Neuaufsetzen? Klar, ist bestimmt sicherer und oft auch schneller. Aber es interessiert mich schon etwas genauer ... Entfernen die von euch genutzten Tools, richtig eingesetzt, nicht zuverlässig genug? Sensible Zugangsdaten kann man ja ändern. Wo genau liegt der Unterschied zwischen Neuaufsetzen und Bereinigen? Was kann der Angreifer nach dem Bereinigen noch machen? Oder kann diese Frage nur ein Laie stellen??? ;) :confused: |
1. kann nicht schaden. 2. und 3. beantworte ich mal in einem rutsch. wie du bereits sagtest, ist das neu aufsetzen einfach die sicherste variannte. es ist theoretisch immer möglich das wir eine komponennte der malware nicht finden, oder sicherheitseinstellungen zurück gesetzt werden etc. dies ist natürlich besonders problematisch, wenn du onlinebanking machst oder gescheftsdaten auf dem pc hast. da heutige trojaner immer besser werden steigt die chance natürlich an, dass diese möglichkeiten eintreten. da ich das nicht verantworten möchte, dass geld verloren geht etc, muss ich, denke ich, immer darauf hinweisen. |
Da Du nichts mehr zu sonstigen Schritten geschrieben hast, gehe ich davon aus, ich habe fertig!? So, dann sag ich fürs erste vielen, vielen Dank. Ich werde meinen Bekannten auch mal fragen, ob er euch nicht was spenden möchte ... Hoffentlich muss ich mich so schnell nicht mehr an euch wenden. :) Damit wünsche Dir und dem ganzen Team alles Gute und weiter viel Spass an der Arbeit. :dankeschoen: Gruß Riddle |
ja siet gut aus. ne spende ist sehr nett, damit wir diesen kostenlosen service aufrecht erhalten können. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board