generic host process for win32 services fehlermeldung

Hallo zusammen,

ich habe folgendes problem:
Wenn ich mich ins Internet einwähle kommt nach kurzer Zeit immer die Felhermeldung "Generic Host Process for win32 Servives hat ein Problem festgestellt und musste beendet werden", wenn ich nun diese Meldung wegklicke, dann bin ich direkt aus dem Internet draussen und wenn ich die meldung ignoriere bleibe ich noch ca. 2 minuten im net, aber ich komme auch erst wieder ins net, wenn ich meinen pc neugestartet habe.
ich habe mich auch in verschiedenen foren umgesehen, aber ich konnte das problem noch nicht lösen.
ich habe mein Anti-vir programm durchlaufen lassen, der hatte zwei trojaner gefunden, die ich dann gelöscht habe, aber das problem war immer noch.
dann habe ich auf einer seite gelsen, man sollte sich ad-aware runterladen und durchlaufen lassen, habe ich auch gemacht, der hat daraufhin 58 objekte gefunden, die ich auch gelöscht habe, aber das problem war immer noch vorhanden.
dann habe ich mich bei microsoft auf der hp ein update runtergeladen, welches extra für probleme mit generic host konzipiert ist, aber das problem ist immer noch da.
habe auch schon probiert meinen pc mit systemwiederherstellung zurück zustellen, aber das klappt auch nicht.

ich bin total verzweifelt und hoffe das ihr mir helfen könnt.

mfg koellegirl

 

Hallo,

Kannst du mal in der Report Datei nachschauen was das für Trojaner waren und wo (genauer Pfad) sie gefunden wurden?



Grüße Jasager

 

Du hast vermutlich den Server-Dienst nicht gepatcht (Sicherheitsupdate) und deine XP SP2 Firewall ist deaktiviert / nicht vorhanden oder falsch konfiguriert. Ein Router mit NAT / Firewall ist nicht vorhanden ?

 

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 20. August 2006 20:03

Es wird nach 483295 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: nadine
Computername: NADINE

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 27.05.2006 14:25:00
AVSCAN.DLL : 7.0.0.42 57384 27.05.2006 14:25:00
LUKE.DLL : 7.0.0.42 118824 27.05.2006 14:25:00
LUKERES.DLL : 7.0.0.42 32808 27.05.2006 14:25:00
ANTIVIR0.VDF : 6.35.0.1 7371264 27.05.2006 14:25:00
ANTIVIR1.VDF : 6.35.0.168 730112 27.05.2006 14:25:00
ANTIVIR2.VDF : 6.35.1.86 506880 27.05.2006 14:25:00
ANTIVIR3.VDF : 6.35.1.115 59904 27.05.2006 14:25:00
AVEWIN32.DLL : 7.1.1.2 1782272 27.05.2006 14:25:00
AVPREF.DLL : 7.0.0.1 53288 27.05.2006 14:25:00
AVREP.DLL : 6.35.1.100 757800 27.05.2006 14:25:00
AVRPBASE.DLL : 7.0.0.0 2162728 27.05.2006 14:30:42
AVPACK32.DLL : 7.1.0.1 335912 27.05.2006 14:25:00
AVREG.DLL : 6.31.0.90 27688 27.05.2006 14:25:00
NETNT.DLL : 6.32.0.0 6696 27.05.2006 14:25:00
NETNW.DLL : 6.32.0.0 9768 27.05.2006 14:25:00
RCIMAGE.DLL : 7.0.0.71 1642536 27.05.2006 14:25:00
RCTEXT.DLL : 7.0.0.75 77864 27.05.2006 14:25:00

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 20. August 2006 20:03


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 46 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 37 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.ES
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\nadine\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\nadine\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\nadine\Lokale Einstellungen\Temp\~DFC152.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\nadine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\nadine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{DA09ED5C-23F1-4847-ADAF-210004B921AB}\RP54\A0006386.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.ES
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Sonntag, 20. August 2006 20:31
Benötigte Zeit: 28:58 min

Der Suchlauf wurde vollständig durchgeführt.

3872 Verzeichnisse wurden überprüft
208002 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1359 Archive wurden durchsucht
25 Warnungen
0 Hinweise


Ich habe einfach mal alles kopiert, weil ich nicht weiß was wichtig ist

mfg koellegirl

 

Weitere Info's hier:

http://www.pcwelt.de/forum/viren-tr...blem-trojaner-bitte-um-hilfe.html#post1132241

und
http://www.heise.de/newsticker/meldung/76118/from/rss09
Patch:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-040.mspx

 

also ich habe gerade mal nachgeguckt, meine xp firewall ist aktiv.
was heißt denn dieses nicht gepacht?

mfg koellegirl

 

Prüfe einmal ob der Patch installiert ist:
KB921883
http://www.microsoft.com/downloads/...b6-03ff-4636-861a-46b3eac7a305&displaylang=de

 

Hallo,
hmmm, gefällt mir nicht. Schade das Antivir die Datei schon gelöscht hat, poste mal den Link zu deinem HijackThis Logfile wie hier beschrieben.
Zu dem eigentlichen Problem sollte der Lösungsansatz von Wolfgang77 verfolgt werden.


Grüße Jasager

 

also das ist der link zum ausgewerteten hijack http://www.hijackthis.de/logfiles/a88aca8757b4872f70a0106443fa8a97.html
war das jetzt richtig?

Habe eben diesen patch installiert, bis jetzt bin ich noch nicht rausgeflogen *dreimalaufholzklopf*

mfg koellegirl

 

Prüfe nochmal die WIN XP SP2 Firewall..

Damit ein Angriff wirksam werden kann, müssen die Ports 135, 139 oder 445 erreichbar sein. Das ist jedoch bei einem Windows-XP-System mit Service Pack 2 schon dann der Fall, wenn man in der eingebauten Firewall die Ausnahme für die Datei- und Druckfreigabe aktiviert. Standardmäßig ist diese Ausnahme nicht aktiv.

 

also meine datei und druckerfreigabe aktiviert (also da ist ein häckchen dran)

Mfg Koellegirl

 

Der hätte längst installiert sein müssen, hochgradig gefährdet da scheinbar die Firewall auch noch löchrig ist.

Es gibt Anhaltspunkte das Microsoft das Problem (Sicherheitsloch) mit dem Update nicht ganz in den Griff bekommen hat. Also beachte den Hinweis in Sachen Firewall, die Ports müssen dicht sein.

 

und was muss ich jetzt noch machen?

mfg koellegirl

 

Und dadurch waren die Ports offen, dein Rechner angreifbar und der Dienst abgschossen und eventuell Schadcode eingeschleußt. Enterne den Haken da weg dann sollten die Ports dicht sein. Eventuell bei Gelegenheit einmal einen Router vorschalten für den DSL-Zugang, falls DSL und Flatrate.

 

router vorschalten?

also ich habe dsl und auch ne flatrate.

mfg koellegirl

p.s: den hacken mache ich sofort weg danke

 

Hallo,
das Log ist sauber, ich gehe jetzt einfach mal davon aus das der Trojaner entweder nicht aktiv war oder es sich um einen Fehlalarm von Antivir handelt.
@Wolfgang77
Wie ist es möglich trotz gepatchter Lücke (MS06-040) angreifbar zu sein, oder verstehe ich das falsch?



Grüße Jasager

 

vielen dank für die mühe die ihr beiden euch gemacht habt ihr habt mir sehr sehr geholfen.

mfg koellegirl

 

Sie war ja nicht gepatcht.. ich meine den Rechner. Das Update hat sie doch jetzt erst installiert.

 

Hallo,

ROFL

Dann habe ich etwas im Ursprungposting falsch verstanden:

Grüße Jasager

 

Hoffe es war einigermaßen verständlich ausgedrückt und du konntest nachvollziehen was passiert ist ist warum..

Ein Router hat den Vorteil dass sich die "Firewall" vor deinem Rechner (der zu schützen ist) befindet und nicht als Software auf dem Rechner läuft.