Programme lassen sich nicht starten

hi leute, vor einigen tagen fuhr ich mein pc hoch, so wie ich es immer tue und bemerkte zunächst auch nichts ungewöhnliches. dann klickte ich eine anwendung an doch sie startete nicht. auch weitere ließen sich nicht öffnen. es erschien für ein bruchtteil einer sekunde ein fenster (es sah so aus, wie das fenster, wenn man auf START-AUSFÜREN geht und dann cmd eingibt). Bei genauem hingucken, konnte ich den text auch lesen. er lautete: "Programm zu groß für den Arbeitsspeicher"

Ich kann mir das nicht erklären, weil ich vorher nie so ein problem hatte. ich konnte auch einen teil des pfads erkennen, es muss irgendwas mit system32 zu tun haben, nur was weiß ich nicht. virenscanner funktionieren nicht mehr und lassen sich auch nicht neu installieren. xp updates lassen sich nur teilweise installieren.

Achja, habe Windows XP
533Mhz
128 MB Ram
19Gb HDD 17,5 frei

nach diesem Problem habe ich meinen pc mehrmals formatiert und auch windows 98 ausprobiert doch der fehler blieb bestehen.
hoffe ihr könnt mir helfen. wenn ihr weitere infos braucht, fragt nur...
vielen dank schonmal

 

> so wie ich es immer tue
Hey jo.

> es muss irgendwas mit system32 zu tun haben
Fachurteil.

> virenscanner funktionieren nicht mehr
Jo. Wenn sie schlau sind.

> Achja, habe Windows XP
Na klar.
Und sonst?

 

Hallo,

möglichweise könnte aktive Malware dafür verantwortlich sein.
Erstelle mit HiJackThis ein Log-File und poste es hier rein.

btw: Dein Arbeitspeicher ist für XP schon etwas eng bemessen!

 

Bist du sicher dass du noch 128MB RAM hast (im BIOS nachsehn)?
Falls die 128MB aus zwei 64er Riegeln bestehen und einer defekt ist dann könnte das dein Problem verursachen.


Ist das Problem unter Win98 und XP wirklich exakt gleich?


Welche Einstellungen hast du für die Auslagerungsdatei vorgenommen?

 

@ MCSE-MCT :

Wegen ständiger Missachtung der Nettiquette und Spaming bekommst du einen 10tägige Sperre. Solltest du danach wieder so "nett" zu anderen Usern sein, kannst du mit einer Dauersperre rechnen.

MfG Steffen

 

Logfile of HijackThis v1.98.0
Scan saved at 14:27:09, on 01.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://einwahl.oleco.de/willkommen/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{15C8A487-5211-4738-9252-F87E760A0A17}: NameServer = 195.71.159.16 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{15C8A487-5211-4738-9252-F87E760A0A17}: NameServer = 195.71.159.16 193.189.244.205



ich hoffe ihr meint das, mit dieser logfile. wenn euch das was sagt, dann bin ich echt erstaunt. hoffe ihr findet noch eine lösung für mein problem. achja, könnt mir glauben, dass 128mb für xp ausreichen. und ja, das problem ist identisch bei 98 und xp.

 

Auslagerungsdatei:
192 mb-384mb
das ist die standardeinstellung von xp bei mir

 

C:\Programme\Oleco\_Oleco.exe
Ist dir dieses Programm bekannt?

C:\WINDOWS\svchost.exe
Ich hab zwar kein XP, aber bei mir (Win2000) gibts die svchost.exe nur im Ordner System32. Ich denke das könnte ein Schädling sein.
Ich würd ja sagen lass en Virenscanner, Spybot S&D und Ad-aware laufen, aber das geht ja eben nicht...

Wenn das die Ursache ist dann heißt es System neu aufsetzen.



Mach mal die Auslagerungsdatei größer wenn du schon so wenig RAM hast.

Hast du mal im BIOS nachgesehn ob die 128MB noch voll erkannt werden?



@ all

Kann das ein XP-User bestätigen, dass es C:\WINDOWS\svchost.exe normalerweise nicht gibt?

 

Hab ich mir doch fast gedacht. Dann ist das andere wohl ein Schädling. Tja, dann heißt es eben format c:

 

format c: toll! hab ich alles schon hinter mir. fdisk, format c: und neuinstallationen usw. hat alles nichts gebracht. oleco ist mir bekannt. ist mein call by call anbieter...

 

Du kannst auch warten, bis Cidre sich das Log angesehn hat, der ist da erfahrener. Obwohl ich nicht glaube dass das was ändert, die svchost.exe im falschen Ordner ist höchst verdächtig. Schau mal hier nach:
http://www.sophos.de/virusinfo/analyses/trojtofgero.html
und prüfe ob es die dort erwähnten Dateien bei dir gibt.


Nachdem du das System das letzte mal neu installiert und XP drauf gemacht hast, warst du da im Internet bevor du SP1 und die folgenden Updates installiert hast?

 

@ Jaba86

TheD0CT0R hat Recht, diese C:\WINDOWS\svchost.exe ist eine gefakte Datei die von mehrerer Würmer/Trojaner verwendet wird.

Die richtige System-Datei liegt im System Verzeichnis => C:\WINDOWS\System32\svchost.exe.

Überprüfe deshalb diese C:\WINDOWS\svchost.exe bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.
Sollte es sich um einen aktiven Backdoor handeln, kann mich TheD0CT0R nur anschließen, die logische Konsequenz wäre dann ein Neuaufsetzen deines Systens.

Ich poste gleich mal die Vorgehensweise nach dem Neuaufsetzen und vor der ersten Internet Verbindung folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken

 

Hey Cidre, ich glaub ich muss meine eigene Neuinstallations-Checkliste nochmal überdenken, offenbar hab ich da einiges vergessen.

Eine Frage hätt ich da noch:
Reichen die Punkte 1.-3. aus, um bei 4. alle Updates aus dem Netz zu ziehn ohne Risiko?
Ich hab das sicherheitshalber immer von ner CD gemacht da ich davon ausging dass ein ungepatchtes System unter keinen Umständen online gehen sollte.

Du schreibst ja selbst "vor der ersten Internet Verbindung folgende Punkte abarbeiten".

 

Hi TheD0CT0R,

diese Vorgehensweise wäre die einfachste und reicht natürlich völlig aus, um nicht ungebetenen Besuch von Blaster, Welchia und Co. zu kriegen. Durch die interne Verbindungsfirewall wird das ungepatchte System geschützt, bis die NT Dienste sicher konfiguriert - und die Windows Updates geladen sind. Danach kann man die interne Verbindungsfirewall wieder deaktivieren, da sie ihren Dienst erfüllt hat und danach eh keinen weiteren Sinn hat.

Die sicherste Lösung wäre, wie du ja schon selbst schreibst, von einem sauberem System oder einer Linux Distribution aus das Skript für die NT Konfiguration, sowie Windows Updates zu laden und zu speichern. Dann auf das ungepatche Systems zu übertragen.
Da tauchen dann schon wieder Probleme auf, wer hat in seinem Bekanntenkreis ein sauberes System bzw. Linux und dazu noch die ganze Rennerei?

 

Gut, das wäre jetzt weniger ein Problem bei mir, ich hab sowohl Linux als auch 2 weitere PCs im Haus zur Verfügung.
Aber hoffen wir dass ich das nie selbst machen muss (siehe Signatur).


PS: Bei Anreden kannst du den Artikel ruhig weglassen, also nur Doctor statt TheDoctor, das liest sich besser.

 

Ok Doc,

wie ist im allgemeinen deine Vorgehensweise?

 

So, Versuch Nummer 3 (Sch*** Forensoftware)

Bis jetzt hab ich immer das hier empfohlen:

---
Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System alle Service Packs sowie falls in den SPs nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- format c:
- Windows neu installieren
- die Service Packs und Patches von der CD installieren
- nach Anleitung von http://www.ntsvcfg.de/ vorgehen
- Virenscanner installieren (AntiVir und AVG gibts kostenlos)
- jetzt erst können übers Windows-Update die noch fehlenden Updates installiert werden.
- Spybot S&D installieren und das System damit immunisieren
- die automatische Windows-Update Funktion aktivieren um das System aktuell zu halten
---

 

Teil 2:

Ich denke ich werde den hier hinzufügen:

- nach Anleitung von http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm den IE sichern



In Härtefällen (wie z.B. Patan, den hast du ja jetzt übernommen wie ich sehe, viel Glück dabei ) kommt dann noch das hier dazu:

---
Zur Erhöhung der Sicherheit:

- eingeschränktes Benutzerkonto zum Surfen anlegen
- auf einen alternativen Browser umsteigen
---

 

Ok, wäre auch ne Möglichkeit.
Aber was mir persönlich fehlt:
Nach einem Neuaufsetzen eines kompromittierten Systems, sollten unbedingt die Passwörter geändert werden.

Zu patan:
Ich hab den nicht übernommen, eigentlich hätt ich dazu nichts mehr schreiben brauchen, denn es wurde von dir schon ausführlich beschrieben.
Hab lediglich das EOD vergessen.

 

Passwörter ändern hab ich nicht drin gehabt, stimmt.
Werds noch hinzufügen, danke für den Hinweis.