WinFuture-Forum.de: Explorer frisst Ram und stürzt ab - WinFuture-Forum.de

Zum Inhalt wechseln

Alle Informationen zum Thema Windows 7 in unserem Special. Windows 7 Download, FAQ und neue Funktionen im Überblick.
  • 2 Seiten +
  • 1
  • 2

Explorer frisst Ram und stürzt ab


#1 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 16. Februar 2013 - 12:23

Hi Zusammen,
Hab mir ein neues Lenovo X230-2325 TLU ohne Win. besorgt und dann selbst mit Win 7 Prof. 64Bit aufgesetzt. Zudem hab ich ne Samsung SSD 840 Basic eingebaut, alle Treiber sind installiert (per Lenovo SystemUpdate), funktioniert eigentlich einwandfrei, mit der nervigen ausnahme, dass wenn ich grössere Datenmengen übers netzwerk auf meinen WDTV live hub kopiere, der explorer plötzlich auf 2GB ram bedarf expandiert und abstürzt. I.wie komisch, da ja 8GB zur verfügung stehen würden. Deshalb schliess ich auch nen Virus aus, zudem hab ichs grad frisch aufgesetzt, und Virencheck (GDATA) findet auch nix...

Any ideas?

Edit: Es könnte noch relevant sein, dass ich von ner selbst zusammengebauten externen HD (USB 3.0 mit zusätzlichem USB 2.0 Stromkabel, Gehäuse: ICY BOX portable; HDD: Die ursprünglich von lenovo eingebaute 500GB@7200) aus kopiere.

Dieser Beitrag wurde von Petty bearbeitet: 16. Februar 2013 - 12:30

0

Anzeige



#2 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 16. Februar 2013 - 13:17

Irgentwelche Tools installiert die was am Explorer ändern? Sei es Sachen über Rechtsklick, etc.

Passiert das auch ohne Antivirus? Wie steht es mit per FTP mit zB Filezilla?
0

#3 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 16. Februar 2013 - 13:31

Ne, keine speziellen Tools installiert bis jetzt.
Schwer zu beobachten ob es auch sonst passiert, ist bis jetzt 4 mal passiert, aber total unregelmässig. Kann den Fehler schwer reproduzieren. Passiert immer dann wenn mans nicht will :/
manchmal funktioniert das kopieren auch fehlerfrei.
Bin hier echt ein bisschen ratlos. Hab so was noch nie gesehn bei nem frisch aufgesetzten System.
Bin mir auch ziemlich sicher, dass ich überall die aktuellen Treiber hab.
0

#4 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 16. Februar 2013 - 20:32

Update: Scheint doch nicht mit dem Kopieren von Daten zusammenzuhängen.... ist jetzt auch im normalen betrieb vorgekommen, ohne dass was anderes angschlossen war -.-

Irgendwer ne idee?
0

#5 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 16. Februar 2013 - 20:39

Steht irgentwas in der Ereignissanzeige?

Hast du schon ein sfc /scannow in einer Eingabeaufforderung mit Adminrechten durchgeführt?
0

#6 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 17. Februar 2013 - 15:54

...hat keine Integritätsverletzungen festgestellt.
Ereignisanzeige meldet auch nix.
Das interessante ist, dass es nicht plötzlich passiert, sondern der explorer langsam expandiert. Momentan ist er bei nem Speicherbedarf von 800MB und sobald er ca. bei 2.1GB ist reagiert der explorer nicht mehr.

Könnte es doch ein Virus o.ä. sein? Und wie kann ich das am besten feststellen wenn der Virenscan keine resultate liefert?
0

#7 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 17. Februar 2013 - 16:27

Hijackthislog, Autostarteinträge prüfen, offene Inetverbindungen prüfen, Scans von LiveCDs, ...
0

#8 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 17. Februar 2013 - 16:32

Die autoprüfung auf Hijckthis.de ergibt 2 Eventuell Schädliche Einträge:

C:\Windows\SysWOW64\rundll32.exe

Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\Windows\SysWOW64\RunDll32.exe

Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft


Hier mal der Log falls damit jemand was anfangen kann:)

Zitat

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:35:03, on 18.02.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16464)
Boot mode: Normal

Running processes:
C:\PROGRA~1\Lenovo\HOTKEY\TPONSCR.EXE
C:\Program Files\Lenovo\Communications Utility\TpKnrres.exe
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Users\Petty\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe
C:\PROGRA~2\ThinkPad\UTILIT~1\SCHTASK.exe
C:\Windows\SysWOW64\RunDll32.exe
C:\PROGRA~1\Lenovo\HOTKEY\TPONSCR.EXE
C:\Program Files\Lenovo\Communications Utility\TpKnrres.exe
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\PROGRA~2\ThinkPad\UTILIT~1\SCHTASK.exe
C:\Windows\SysWOW64\RunDll32.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: Adobe Acrobat Create PDF Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: G Data BankGuard - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\BanksafeBHO.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Program Files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
O4 - HKLM\..\Run: [Dolby Advanced Audio v2] "C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe" -autostart
O4 - HKLM\..\Run: [RotateImage] C:\Program Files (x86)\Integrated Camera Driver\X64\RCIMGDIR.exe
O4 - HKLM\..\Run: [IMSS] "C:\Program Files (x86)\Intel\Intel® Management Engine Components\IMSS\PIconStartup.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [AcronisTibMounterMonitor] C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Dropbox.lnk = Petty\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Acronis Nonstop Backup Service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\AVK\AVKWCtlX64.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\ThinkPad\Bluetooth Software\btwdins.exe
O23 - Service: Intel® Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Intel® PROSet/Wireless WiMAX Red Bend Device Management Service (DMAgent) - Red Bend Ltd. - C:\Program Files\Intel\WiMAX\Bin\DMAgent.exe
O23 - Service: Lenovo Doze Mode Service (DozeSvc) - Lenovo. - C:\Program Files (x86)\ThinkPad\Utilities\DZSVC64.EXE
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFwSvcx64.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe
O23 - Service: Lenovo PM Service (IBMPMSVC) - Unknown owner - C:\Windows\system32\ibmpmsvc.exe (file missing)
O23 - Service: Intel® Capability Licensing Service Interface - Intel® Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel® Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lenovo Camera Mute (LENOVO.CAMMUTE) - Lenovo Group Limited - C:\Program Files\Lenovo\Communications Utility\CAMMUTE.exe
O23 - Service: Lenovo Microphone Mute (LENOVO.MICMUTE) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe
O23 - Service: Lenovo Keyboard Noise Reduction (LENOVO.TPKNRSVC) - Lenovo Group Limited - C:\Program Files\Lenovo\Communications Utility\TPKNRSVC.exe
O23 - Service: ThinkVantage Virtual Camera Controller (LENOVO.TVTVCAM) - Lenovo Group Limited - C:\Program Files\Lenovo\Communications Utility\vcamsvc.exe
O23 - Service: Lenovo Auto Scroll (Lenovo.VIRTSCRLSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\VIRTSCRL\lvvsst.exe
O23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files (x86)\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cisco EnergyWise Enabler (PwmEWSvc) - Lenovo Group Limited - C:\Program Files (x86)\ThinkPad\Utilities\PWMEWSVC.EXE
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: System Update (SUService) - Unknown owner - C:\Program Files (x86)\Lenovo\System Update\SUService.exe
O23 - Service: Acronis Sync Agent Service (syncagentsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\SyncAgent\syncagentsrv.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Unknown owner - C:\Windows\System32\TPHDEXLG64.exe (file missing)
O23 - Service: Lenovo Hotkey Client Loader (TPHKLOAD) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKLOAD.exe
O23 - Service: Anzeige am Bildschirm (TPHKSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel® Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Intel® PROSet/Wireless WiMAX Service (WiMAXAppSrv) - Intel® Corporation - C:\Program Files\Intel\WiMAX\Bin\AppSrv.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Zero Configuration Service (ZeroConfigService) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe

--
End of file - 13112 bytes

Dieser Beitrag wurde von Windows 8 User bearbeitet: 17. Februar 2013 - 16:53
Änderungsgrund: Quotebox eingefügt.

0

#9 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 17. Februar 2013 - 16:50

Naja, rundll32 ist tatsächlich immer etwas fragwürdig, weil damit jede beliebige DLL ausgeführt werden kann - wo dann der Schadcode drin wäre (potentiell).

Aber das mit dem "nicht in System32" ist irreführend. SYSWOW64 ist schon der richtige Ort - das ist einfach "System32 für Win32" auf einem Win64-System.

Die "UI0Detect" find ich viel eher suspekt. Allerdings scheint die, laut Log, gar nicht dazusein.

... Und die LSASS auch nicht. :blink:

Guck mal unter C:\Windows\System32, ob da eine lsass.exe vorhanden ist oder nicht.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#10 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 17. Februar 2013 - 16:50

C:\Windows\SysWOW64\RunDll32.exe ist bei mir nicht vorhanden. Solltest du mal bei VirusTotal hochladen.

C:\Windows\SysWOW64\rundll32.exe hingegen ist normal. Meine hat eine MD5 Checksumme von 51138beea3e2c21ec44d0932c71762a8. Sollte bei dir auch so seien.

Ansonsten sieht das bis auf viel an unnötigem Zeug, sauber aus.
Allerdings kann Hijackthis nie alles anzeigen.

Edit:
@RalphS: Das ist doch alt. Hijackthis ist nicht für NT 6+ Systeme angepasst, daher erkennt es die Pfade als falsch an.

Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 17. Februar 2013 - 16:51

1

#11 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 17. Februar 2013 - 16:55

LSASS ist vorhanden
MD5 der rundll32 ist dieselbe.

C:\Windows\SysWOW64\RunDll32.exe ist bei mir nicht vorhanden. Solltest du mal bei VirusTotal hochladen.
==> Wird bei mir im explorer gar nicht angezeigt :blink:

Dieser Beitrag wurde von Petty bearbeitet: 17. Februar 2013 - 17:08

0

#12 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 17. Februar 2013 - 17:04

MD5sum für SYSWOW64\rundll32, v6.1.7600.16385:

51138beea3e2c21ec44d0932c71762a8 *rundll32.exe



@Darkness: Weiß ich, aber für den unbedarften Leser ist es trotzdem irreführend.

~ Bah, EDIT :P

Klar rundll32 statt RunDll32. Aber NTFS ist, *standardmäßig zumindest*, case insensitive. Wenn da nichts verändert wurde, ist beides dasselbe; wenn natürlich zwei Dateien angezeigt werden (unter der Eingabeaufforderung) ist das erwartungsgemäß ein Problem.

Dieser Beitrag wurde von RalphS bearbeitet: 17. Februar 2013 - 17:08

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#13 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 17. Februar 2013 - 17:10

Fun-fact:

rundll32.exe wird bei mir 4x ausgeführt.
2x als x86 prozess und 2x als x64 prozess. Wobei der eine x64prozess nicht gekennzeichnet ist (die anderen sind als Windows-Hostprozess benannt. Ich kann diesen prozess auch nicht beenden. auch keine eigenschaften dazu anpassen oder dateipfad aufrufen...

Weiteres vorgehen?

auf Virustotal lässt sich die RunDll32.exe auch nicht hochladen, da sie nicht erkannt wird...

Dieser Beitrag wurde von Petty bearbeitet: 17. Februar 2013 - 17:27

0

#14 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 17. Februar 2013 - 18:17

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 17. Februar 2013 - 16:50)

Das ist doch alt. Hijackthis ist nicht für NT 6+ Systeme angepasst, daher erkennt es die Pfade als falsch an.

Das hat mehr was mit 32bit/64bit zu tun. Das Tool ist immer noch nicht ganz in der 64bit Welt angekommen. Daher werden da einige Dateien als "(file missing)" angegeben, obwohl sie vorhanden sind, aber halt nur als 64bit Version in System32. Da aber eine 32bit Anwendung nach SysWOW64 umgeleitet wird, diesen aber als System32 sieht, entstehen da diese Missverständnisse.

Beitrag anzeigenZitat (Petty: 17. Februar 2013 - 17:10)

rundll32.exe wird bei mir 4x ausgeführt.

Weiteres vorgehen?

Hier könntest Du mal mit dem Process Explorer die einzelnen Aufrufe untersuchen und scheuen, was die im einzelnen ausführen und wo sie gestartet wurden.

Bei mir kann ich gerade gar keine rundll32 Instanz entdecken (Windows 8 EnterpriseEval 64bit). Das hat aber erst einmal nichts zu bedeuten.

Dieser Beitrag wurde von DK2000 bearbeitet: 17. Februar 2013 - 18:19

Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#15 Mitglied ist offline   Petty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 440
  • Beigetreten: 25. Mai 06
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 17. Februar 2013 - 18:38

Hab 3 instanzen.
2 von lenovo programmen (hotkey manager und background battery monitor)
1 Bluetooth (BTTray.exe)
Die 4 welche im normalen taskmanager erscheint wird dort nicht aufgelistet...

Dieser Beitrag wurde von Petty bearbeitet: 17. Februar 2013 - 18:45

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0