[Windows XP-32 bit] generic host process for win32 services muss beendet werden

Hallo liebes Forum,

seit ca. 2 Monaten kann ich keine automatischen Sicherheitsupdates mehr machen, manuell funktioniert auch nicht (explorer zeigt an, dass keine Verbindung aufgebaut werden kann).
Montag kommt ca. 10min nach dem Hochfahren die Meldung "Generic host process for win32 services hat ein problem festgestellt und muss beendet werden".
Sobald die Meldung da ist, ist meine Internetverbindung (stick) gekappt und lässt sich nicht mehr aufbauen (außer nach Neustart, bis die Meldung wiederkommt).
Meine Taskleiste ist nach der Meldung im Standart-Windows-Design.
Gestern hat sowohl "Microsoft Windows Malicious Software Removal Tool" als auch "Microsoft Support Emergency Response Tool" den "Trojan: D/Alureon.A" gefunden. Aufgrund der nicht funktionierenden Internetverbindung, diesen aber nur teilweise löschen.
Zustand seitdem unverändert.

PHASE I:

RSIT:

File-Upload.net - info.txt

File-Upload.net - log.txt

MALWAREBYTES:

File-Upload.net - mbam-log-2011-05-12--13-28-34-.txt

DANKE im Voraus

[markusg]

hi
machst du onlinebanking /einkäufe oder sonst was wichtiges?

vom laptop aus eher selten

[markusg]

du willst mir doch nicht tatsächlich erklären, dass du auf nem gerät, welches probleme macht und keine updates mehr bekommt, onlinebanking machst....
1. bank anrufen, onlinebanking sperren lassen.
notfall nummer, falls bank zu ist:
116 116
2. sichere deine daten wie bilder dokumente instalationsdateien.
du hast ein rootkit, dieses kann man nicht 100 %ig sicher entfernen deswegen:
3. werden wir das system formatieren und windows neu instalieren.
danach können wir, falls erwünscht, das system absichern.

ich sagte eher selten...

und in den letzten Monaten gar net. bin ja net ganz doof

daten sichern mach ich dann alles wenn ich zuhause bin.

Bin dann erst morgen von 9-14 online, hab außer meinem arbeitsplatz keine möglichkeit online zu gehen (außer im 10min takt mit laufendem neustart).

aber wenn du mir aufschreibst was ich machen muss bekomm ich das hin. bin schließlich kein computer-legasteniker.

achso es ist ein netbook acer A0A150 one also mit cd's o.ä. arbeiten ist schlecht. xp war vorinstalliert, ich hab also auch nix in der hand

[markusg]

hast du nen handbuch? da müsste das drinnen stehen wie das funktioniert ihn auf werkszustand zu bringen.
ich schreib dir alles nach datensicherung auf, falls sich zwischendrinn fragen ergeben

also ...

handbuch vorhanden -> neuinstallation fehlgeschlagen:



File\minint\system32\KDCOM.DLL could not be loaded. The error code is 4.
Setup can not continue.



ähm ... hilfe

[markusg]

hmm, da wird wohl was deine instalations möglichkeit zerschossen haben.
das ist doch nen laptop mit cd laufwerk?
dann solltest du dir ne xp cd besorgen, kostet 20 € damit können wir dann arbeiten.

Zitat:

Zitat von annette

achso es ist ein netbook acer A0A150 one also mit cd's o.ä. arbeiten ist schlecht. xp war vorinstalliert, ich hab also auch nix in der hand

nein wie oben schon genannt ist es das nicht. hab noch ne fehlermeldung vom recovery-programm (die man auch ignorieren könnte?)



Informationen über das Aufrufen von JIT-Debuggen
finden Sie am Ende dieser Meldung, anstatt in diesem Dialogfeld.

************** Ausnametext **************
System.Runtime.InteropServices.COMException (0x8007041D): Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.
at System.Management.ManagementScope.Initialize()
at System.Management.ManagementObjectSearcher.Initialize()
at System.Management.ManagementObjectSearcher.Get()
at eRecovery.PopUp_RestoreDiskPartitionInfo.timer_Start_Tick(Object sender, EventArgs e)
at System.Windows.Forms.Timer.OnTick(EventArgs e)
at System.Windows.Forms.Timer.Callback(IntPtr hWnd, Int32 msg, IntPtr idEvent, IntPtr dwTime)


************** Geladene Assemblys **************
mscorlib
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.2470
CodeBase: file:///c:/windows/microsoft.net/framework/v1.1.4322/mscorlib.dll
----------------------------------------
eRecoveryUI
Assembly-Version: 2.1.3.0
Win32-Version: 2.1.3.0
CodeBase: file:///C:/Acer/Empowering%20Technology/eRecovery/eRecoveryUI.exe
----------------------------------------
Acer.Empowering.Windows.Forms
Assembly-Version: 1.0.1.31810
Win32-Version: 1.0.1.31810
CodeBase: file:///C:/Acer/Empowering%20Technology/eRecovery/Acer.Empowering.Windows.Forms.DLL
----------------------------------------
System.Windows.Forms
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.2032
CodeBase: file:///c:/windows/assembly/gac/system.windows.forms/1.0.5000.0__b77a5c561934e089/system.windows.forms.dll
----------------------------------------
System
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.2470
CodeBase: file:///c:/windows/assembly/gac/system/1.0.5000.0__b77a5c561934e089/system.dll
----------------------------------------
System.Drawing
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.2032
CodeBase: file:///c:/windows/assembly/gac/system.drawing/1.0.5000.0__b03f5f7f11d50a3a/system.drawing.dll
----------------------------------------
eRecoveryUI.resources
Assembly-Version: 2.1.1.0
Win32-Version: 2.1.1.0
CodeBase: file:///C:/Acer/Empowering%20Technology/eRecovery/de/eRecoveryUI.resources.DLL
----------------------------------------
Acer.Empowering.Framework.PasswordSetting
Assembly-Version: 2.3.4000.0
Win32-Version: 2.3.4000.0
CodeBase: file:///C:/Acer/Empowering%20Technology/eRecovery/Acer.Empowering.Framework.PasswordSetting.DLL
----------------------------------------
Accessibility
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.573
CodeBase: file:///c:/windows/assembly/gac/accessibility/1.0.5000.0__b03f5f7f11d50a3a/accessibility.dll
----------------------------------------
System.resources
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.573
CodeBase: file:///c:/windows/assembly/gac/system.resources/1.0.5000.0_de_b77a5c561934e089/system.resources.dll
----------------------------------------
System.Management
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.2032
CodeBase: file:///c:/windows/assembly/gac/system.management/1.0.5000.0__b03f5f7f11d50a3a/system.management.dll
----------------------------------------
mscorlib.resources
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.573
CodeBase: file:///c:/windows/assembly/gac/mscorlib.resources/1.0.5000.0_de_b77a5c561934e089/mscorlib.resources.dll
----------------------------------------
System.Windows.Forms.resources
Assembly-Version: 1.0.5000.0
Win32-Version: 1.1.4322.573
CodeBase: file:///c:/windows/assembly/gac/system.windows.forms.resources/1.0.5000.0_de_b77a5c561934e089/system.windows.forms.resources.dll
----------------------------------------

************** JIT-Debuggen **************
Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der
Konfigurationsdatei der Anwendung oder des Computers
(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.
Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.

Zum Beispiel:

<configuration>
<system.windows.forms jitDebugging="true" />
</configuration>

Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten
Ausnahmen an den JIT-Debugger gesendet, der auf dem
Computer registriert ist, und nicht von diesem Dialogfeld behandelt.

[markusg]

was passiert denn wenn du sie ignorierst?

woher soll ich das wissen? ihr seit die experten.
aber hat sich sowieso erledigt ... selbst ist die Frau ...

nachdem ich den tdss-killer hier gefunden und erfolgreich ausgeführt habe ging das recovery-programm und windows ist neu installiert.

Zitat:

Zitat von markusg

3. werden wir das system formatieren und windows neu instalieren. danach können wir, falls erwünscht, das system absichern.

ich bin also bereit für 3.

[markusg]

das heißt doch nicht, dass wir jede meldung kennen die es gibt, und nichts mehr dazu lernen.
ok windows ist neu drauf, dann wird jetzt abgesichert.
in reihenfolge bitte.
bei rückfragen, schreien
- servicepack3:
Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Detail Seite Windows Internet Explorer 8 für Windows XP
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Das Konfigurieren und Verwenden von automatischen Updates in Windows XP
eingeschrenktes nutzerkonto einrichten:
Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen
dieses nutzerkonto ist für die tägliche arbeit, instalationen kannst du im admin konto machen, nur dafür ist es gedacht.
bzw kann man auch über rechtsklick, ausführen als, admin, ein programm starten. besser aber, wie gesagt, als admin anmelden und dann instalieren.
die folgenden schritte im admin konto ausführen.
dienste konfigurieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 3 wählen, diese ist die sicherste.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch
das selbe gilt für die windows firewall.

dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.
avira genauestens nach anleitung instalieren:
Avira 10 Free Einrichtung
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
Opera URLFilter Downloader ? OperaWiki
dieses tool 1x pro woche manuell ausführen.
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Pi - Proud Members of Computerbase.de - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen


um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie - Download - CHIP Online
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
Secunia Personal Software Inspector (PSI) - Download - CHIP Online
bitte die erweiterte ansicht auswählen
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.


achtung:
bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden.
Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein

regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Paragon Backup & Recovery Free Edition - Das Produkt
anleitung als pdf:
http://download.paragon-software.com...me_evo_ger.pdf
schau dir mal das handbuch an.
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.



allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.
- programme patches etc immer nur vom hersteller direkt laden.
- über start ausführen (vista/ win 7 suchen) bei msconfig, systemstart, die menge der gestarteten programme prüfen, so wenig wie möglich automatisch starten.
antivirus, sandboxie, secunia und file hippo. bei laptops noch das touchpad, mehr braucht man eigendlich nicht.


online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia

instaliere jetzt die von dir benötigten programme.
endere alle passwörter.
surfe nur noch in der sandbox, mit klick auf sandboxed web browser.
natürlich, wie bereits oben geschrieben, ausschließlich im eingeschrenktem nutzerkonto.
wenn du dass alles einhällst solltest du nun besser geschützt sein.

servicepack 3 und explorer 8 sind von werk aus drauf ... schrit 1 und 2 kann ich dann also weglassen?!

na dann leg ich jetzt mal los...

Zitat:

Zitat von markusg

dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

ich finde die boot.ini nicht...

Zitat:

Zitat von markusg

mit diesem tool lässt sich ein werbeblocker laden
Opera URLFilter Downloader ? OperaWiki
dieses tool 1x pro woche manuell ausführen.

funktioniert bei mir nicht oder ich bin zu doof dafür

Zitat:

Zitat von markusg

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie - Download - CHIP Online

hab ich jetzt. aber ich habe ich fand das pdf wenig hilfreich und weiß nicht ob ich das ding richtig eingestellt habe

Zitat:

Zitat von markusg

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten -

ich habe jetzt (von den vielen Möglichkeiten) das gemacht:

**********Über die Registry unter (Start - Ausführen: regedit - [OK] - für Windows 2000 und Windows NT gilt regedt32 statt regedit)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom

kann man bei Windows 2000/XP/2003/Vista/2008/7 den Wert Autorun von 1 auf 0 ändern und schaltet damit radikal Autorun ab.*************

war das richtig?

Zitat:

Zitat von markusg

usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY

der zip ordner per mail verweist zwar auf die panda-site, aber außer der maske ist dann nix zu sehen