Zombie - Untote unter Vista?

[AHT]

Download von meiner Homepage oder Link auf Anfrage per PM.

Ich dachte schon, ich wäre die Zombies nach dem Fixen von AntiVir los, Unter Vista scheinen aber manche Microsoftanwendungen selbst Zombies zu erzeugen!

Aber vorneweg - was sind Zombies oder Zombieprozesse eigentlich? Zombieprozesse sind nichts anderes als bereits beendete Prozesse, die aber nicht komplett aus dem Speicher gelöscht wurden. Vom Taskmanager werden diese "Untoten" leider nicht angezeigt - es ist also nicht so ganz einfach, diese überhaupt zu finden.
Es gibt verschiedene Ursachen für Zombies, im besten Fall wird ein nicht mehr benötigtes Handle nicht gelöscht, im schlimmsten Fall verhindert ein Treiber das Löschen eines Objektes.


Was tut Zombie?
Zombie sucht auf recht einfache Art und Weise nach übriggebliebenen PIDs, denen kein laufender Prozess mehr zugeordnet ist und die deshalb nicht im Taskmanager sichtbar sind. Im Gegensatz zu den wirklich laufenden Prozessen zeigt Zombie diese Fragmente nicht mit grünen, sondern mit blauen Dreiecken an. Die Infos zu den gefundenen Objekten werden im rechten Edit gelistet und können mittels Rechtsklick in die Zwischenablage kopiert werden. Wenn der Verursacher kein Treiber ist, kann man in der Regel sogar den Verursacher über Zombie auch ausfindig machen (Händleeigentümer).
Die von Zombie gesammelten Infos können mittels Rechtsklick in die Zwischenablage kopiert werden.
Es dauert etwas, bis Zombie mit dem Scannen fertig ist - Zombie listet nämlich auch Treiberinfos. In dieser Zeit des Scannens bitte nichts am Rechner tun (keine Prozesse starten zum Beispiel).

Bei mir erzeugt der InternetExplorer Zombies und zeitweise auch ein unter svchost laufender Prozess.
Wie zieht das bei euch unter Vista aus? Entstehen da auch Untote?
Sind alle XP Systeme zombiefrei?
Bei mir sieht es unter Vista mit laufendem InternetExplorer nach einer Zeit so wie im Anhang zu sehen ist aus:

[Frabbing]

Unter XP Home vier Zombies gefunden. Herkunft unbekannt...

[AHT]

Zitat:

Zitat von Frabbing

Unter XP Home vier Zombies gefunden. Herkunft unbekannt...

Na ja, geht ja noch. Bei der AntiVir Klamotte (RootKit Scanner Treiber fehlerhaft programmiert) hatte ich schon mal einige hundert beisammen.
Kopiere mal die Daten aus dem Edit in eine komprimierte Textdatei rein, vielleicht kann ich sehen, woran das liegt.
Ist der Handleeigentümer nicht zu ermitteln, liegt das unter XP vermutlich an einem Treiber, der nicht von M$ stammt.

[Frabbing]

Jetzt sind es nur noch drei, bitteschön.

[AHT]

Bitte mal die blauen Zombies einzeln hintereinander markieren und dann auf "nach Handleeigentümer suchen" klicken. Normalerweise müsste dann die PID des Prozesses angezeigt werden, der die Handles auf den Prozess geöffnet hat. Scheint ein Programm im Usermode zu sein.
Sollte der Handleeigentümer nicht ermittelt werden können, einfach noch einmal scannen und schauen, ob die PIDs immer noch angezeigt werden.

[Frabbing]

Zweimal kann er es nicht ermitteln, einmal Prozessname:soffice.bin. Gleiche Ergebnisse beim Neuscannen.

[AHT]

Zitat:

Zitat von Frabbing

Zweimal kann er es nicht ermitteln, einmal Prozessname:soffice.bin. Gleiche Ergebnisse beim Neuscannen.

Da schein OpenOffice ein paar Handles etwas länger geöffnet zu halten, als es unter Umständen nötig ist. Dürfte nichts tragisches sein. Bei mir werden zur Zeit 39 Zombies angezeigt - bei jedem Öffnen und Schließen einer Registrierkarte im InternetExplorer wird einer erzeugt. Und die gehen erst wieder weg, wenn ich den IE schließe . Kann das jemand unter Vista bestätigen?

Hi

ich verwende Vista 64 bit und bei mir besteht das Problem in einer immer steigenden handles anzahl im Tasmanager. Wenn ich das richtig verstanden habe sind das die von dir genannten Zombies, geöffnete aber nicht mehr verwendete Objekte.

Und zwar ist beim Neustarten des Systems die Handlesanzahl bei etwa 13000 was für mich plausibel erscheint mit den ganzen Grafischen schnick schnack den ich bei Vista an hab.

Aber mit der Zeit Tickt die Handlesanzahl hoch, nach 1 Stunde auf etwa 100000, das ist einiges mehr und wenn der Rechner mal einen Tag läuft, sind es bis zu 1 Million und der Rechner fängt zu ruckeln bzw die Leistung nimmt ab an.

Wenn ich heute Abend daheim bin werd ich mal das Tool beim mir testen hoffe das ich damit das Programm identifizieren kann was diesen Müll Produziert.

Hab auch mal im abgesicherten Modus gestartet da besteht das problem nicht.

Es muss also an irgendeinem Programm oder Vistadienst liegen, die Frage ist nur am welchen. Hab auch danach mit Google und in Vistaforen gesucht habe zwar ähnliche Fragen zu diesem Problem gefunden aber leider keine Antworten darauf. Hoffen nun das Zobmietool ist das wonach ich gesucht habe.


MfG Amateur

[AHT]

Zitat:

Zitat von Amateur

Hi

ich verwende Vista 64 bit und bei mir besteht das Problem in einer immer steigenden handles anzahl im Tasmanager. Wenn ich das richtig verstanden habe sind das die von dir genannten Zombies, geöffnete aber nicht mehr verwendete Objekte.

Nein, bei "Zombie" geht es um etwas anderes, nämlich nur um Prozesse.

Zitat:

Zitat von Amateur

Und zwar ist beim Neustarten des Systems die Handlesanzahl bei etwa 13000 was für mich plausibel erscheint mit den ganzen Grafischen schnick schnack den ich bei Vista an hab.

Hab das noch nicht überprüft, könnte aber sehr gut sein.

Zitat:

Zitat von Amateur

Aber mit der Zeit Tickt die Handlesanzahl hoch, nach 1 Stunde auf etwa 100000, das ist einiges mehr und wenn der Rechner mal einen Tag läuft, sind es bis zu 1 Million und der Rechner fängt zu ruckeln bzw die Leistung nimmt ab an.

Also ein schwerwiegendes Problem. Werde dir helfen (aber mit anderen Programmen), so gut ich kann. Ob ich dir helfen kann, hängt unter anderem davon ab, um welche Art von Handles es sich dort handelt - Userobjekt, Kernelobjekt oder GDi Handles.

Zitat:

Zitat von Amateur

Wenn ich heute Abend daheim bin werd ich mal das Tool beim mir testen hoffe das ich damit das Programm identifizieren kann was diesen Müll Produziert.

Es wird sich da wohl kaum um Prozessobjekte handlen, die dort nicht entfernt werden. Dieses Tool wird dir dort also leider wohl nicht helfen können, dafür ist es zu speziell.

Zitat:

Zitat von Amateur

Hab auch mal im abgesicherten Modus gestartet da besteht das problem nicht.

Wichtiger hinweis!
Das Problem wird also durch einen Service, einen Treiber oder ein sonstwie immerfort laufendes Programm verursacht, nicht durch das OS selbst.

Zitat:

Zitat von Amateur

Es muss also an irgendeinem Programm oder Vistadienst liegen

Tippe da auf einen Dienst, Treiber oder ein Programm eines Drittanbieters.

[Amateur]

Ja wie gesagt mir ist im Prinzip klar, dass das ein Dienst oder Treiber oder ein Programm verursacht aber mir fehlt ein Tool mit dem ich die Handles analysieren kann zu welchem Programm die gehören und welcher art die sind.


Edit

Ich hab trotzdem mal das Zombieprogramm lauf lassen und bei mir sind alle Prozesse so Türkis kein einziger grüner weis nicht ob das am Tool oder am System von mir liegt.

[AHT]

Zitat:

Zitat von Amateur

Ja wie gesagt mir ist im Prinzip klar, dass das ein Dienst oder Treiber oder ein Programm verursacht aber mir fehlt ein Tool mit dem ich die Handles analysieren kann zu welchem Programm die gehören und welcher art die sind.

Vielleicht hilft das: MWatch

Zitat:

Zitat von Amateur

Edit

Ich hab trotzdem mal das Zombieprogramm lauf lassen und bei mir sind alle Prozesse so Türkis kein einziger grüner weis nicht ob das am Tool oder am System von mir liegt.

Mal Rechtsklick auf das Edit rechts, danach Daten als Logfile speichern und mir das Logfile bitte zuschicken oder hier posten. Könnte am 64Bit Vista liegen.

[Amateur]

Erstmal hier ein Logfile von deinem Zombietool wie gesagt werden alle alle Prozesse türkis angezeigt.

Hab mit MWatch dann die Prozesse durchgeschaut und bei einem Prozess konnten die Handles nicht ausgelesen werden audiobg.exe hab den mal ausgemacht und die Handles haben aufgehört zu ticken dafür kein Sound

Immer diese Pfuscher bei Microsoft aber dank dir fürs Tool sowas hab ich gesucht, wie gesagt das Problem liegt anscheinend an dem audiobg.exe Prozess ist ein Vistaprozess anscheinend so eine Art gerüst für Treibe so wie ich das verstanden habe.

Hier ein link zur Datei

audiodg.exe Windows Prozess - Was ist das?

MfG Amateur

[AHT]

Hallo Amateur...

Dafür, dass das Programm bei dir nicht funktioniert, fallen mir im Augenblick 2 mögliche Gründe ein:

1.) Aufgrund eines Bugs in Vista 64 Bit liefert die native API, die ich dort verwende, bei bestimmten Voraussetzungen keine korrekten Rückgaben -< also Bug in ista 64Bit

2.) Ein Programm hookt die API, die ich dort verwende, nicht korrekt -> es läuft also möglicherweise ein Trojaner auf deinem Rechner.

Ich bräuchte jetzt unbedingt jemanden, der ebenfalls Vista 64 Bit besitzt, um mal zu testen, ob Zombie bei ihm läuft.

[Amateur]

Also hab antivir durchlaufen lassen nichts gefunden.

Es kann zwar kein Trojaner ausgeschlossen werden aber das ich einen habe ist eher unwahrscheinlich.

[AHT]

Zitat:

Zitat von Amateur

Also hab antivir durchlaufen lassen nichts gefunden.

RootKit Scan machen nicht nur normalen Scan!

Zitat:

Zitat von Amateur

Es kann zwar kein Trojaner ausgeschlossen werden aber das ich einen habe ist eher unwahrscheinlich.

Bitte mal hier weiter beobachten - oder evtl. das Proggie auf einer anderen Kiste mit Vista 64 testen. Wenn feststeht, dass das Proggie auf anderen Maschinen ebenfalls nicht läuft, schreibe ich es um. Ich will aber gerne erst ausschließen, dass ein RootKit dahinter steckt.