*.exe hat ein Problem festgestellt

[Sammy]

Hallo zusammen,

Ich brauche mal wieder eure Unterstützung
ich habe an einem Rechner ganz plötzlich folgendes Problem:

Es taucht sehr sehr häufig dieseFehlermeldung auf: xy.exe hat einen Fehler verursacht und muss beendet werden. (siehe Anhang)

Es handelt sich meistens um die iexplorer.exe und taucht auch auf wenn keine Eingaben getätigt werden, also der PC im Leerlauf steht.
Startet man diverse andere Programme taucht der Fehler aber auch bei diesen auf wie z.B. Outlook, Firefox, Teamviewer... aber auch nur sporadisch.
Es lässt sich anhand des Auftretens und der .exe die den Fehler verursacht einfach kein Muster erkennen.

in der Minute passiert dies ca 5-10 mal :-/
AntiVir und Ad-Aware haben keine Malware o.Ä. finden können.

Es handelt sich um WinXP Prof SP2

Hat jemand soetwas schonmal beobachten oder sogar lösen können?
Die Fehlermeldung habe ich mal angehangen.

Danke schonmal

 

[Digital_D99]

evt. defekter ram, kann man testen - oder latenzen schlecht konfiguriert oder übertaktet?

 

[Sammy]

Hm also bei unseren Clients in der Firma zeichnet sich defekter RAM immer anders aus,
ich werde mir aber trotzdem mal einen Memtest zu Gemüte führen. Man weiß ja nie...

oder latenzen schlecht konfiguriert oder übertaktet?

Die hardware ist nicht übertaktet o.Ä.
Was meinst du könnte schlecht konfiguriert sein?

Der Rechner lief auf jeden Fall schon einige Zeit fehlerfrei in genau dieser Kostellation / Konfiguration.

 

[Raptor1992]

Versuchs mal mit Avast Antivirus Home. Der durchsucht Viren auch im RAM (http://www.chip.de/downloads/c1_downloads_auswahl_15815267.html?t=1265922523&v=3600&).

 

[frogger9]

das kann AntiVir genauso.

Der Fehler kann genauso von einem fehlerhaften Plug-In/Add-In stammen oder auch von einer Personal Firewall.

Am besten erstellst du erstmal einen Hijackthis Log.

 

[Sammy]

So,

Eine Personal Firewall ist nicht installiert.
Habe ausserdem jetzt den Avast AntiVirus installiert, hat auch lt. Aussage ein paar Funde entfernt.

Hier das HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:22:59, on 14.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msnpjp32.exe,
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Krnat] rundll32.exe "C:\Dokumente und Einstellungen\dj\Anwendungsdaten\Adobe\Update\hlpsys.dat""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5082 bytes

 

[frogger9]

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msnpjp32.exe,

,C:\WINDOWS\system32\msnpjp32.exe,

Gehört mit Sicherheit nicht dort hin. Such die Datei und lade sie bei www.virustotal.com hoch.

 

[Christine A.]

Testweise würde ich die resident geladenen Programme aus den Autostartbereichen nehmen.

Skype, AntiVir oder Avast, ICQ, MSN, ... die Updater von Adobe und Java, die Services von Lavasoft, JAVA, ATi,... eben alles was der Mensch und der PC nicht braucht.


Christine A.

 

[Sammy]

,C:\WINDOWS\system32\msnpjp32.exe,

Gehört mit Sicherheit nicht dort hin. Such die Datei und lade sie bei www.virustotal.com hoch.

Gab kein Ergebnis aus da 0-Byte Datei

Testweise würde ich die resident geladenen Programme aus den Autostartbereichen nehmen.

Skype, AntiVir oder Avast, ICQ, MSN, ... die Updater von Adobe und Java, die Services von Lavasoft, JAVA, ATi,... eben alles was der Mensch und der PC nicht braucht.

Habe einige Dienste aus dem Autostart genommen:
jusched, realsched, adobe updater, icq, skype, msn, java

Seither scheint es zu laufen. Meine Vermutung liegt übrigens auf dem Adobe Updater denn der sieht mir zuwider aus bezgl "hlpsys":
O4 - HKCU\..\Run: [Krnat] rundll32.exe "C:\Dokumente und Einstellungen\dj\Anwendungsdaten\Adobe\Update\hlpsys.dat"

Ich danke euch für eure Tipps!

Ergänzung (18. Februar 2010)

Kommando zurück!

Soeben erreichte mich die Nachricht dass der Fehler wieder auftritt :-(

 

[frogger9]

Gab kein Ergebnis aus da 0-Byte Datei

verstärkt meine Vermutung, dass es sich hier um ein Rootkit handeln könnte.

Benutz mal einen Virenscanner auf Linux Live OS Basis wie F-Secure oder Avira Rescue CD.

 

[firexs]

Veralteter Browser mit veraltetem OS. SP3 Update installieren und glücklich sein.

lg fire

 

[Sammy]

Veralteter Browser mit veraltetem OS. SP3 Update installieren und glücklich sein.

Das ist natürlich keine schlechte Idee, aber meinst du das wird das vorhandene Problem beheben?

verstärkt meine Vermutung, dass es sich hier um ein Rootkit handeln könnte.

Benutz mal einen Virenscanner auf Linux Live OS Basis wie F-Secure oder Avira Rescue CD.

Aye Aye, wird gleich morgen getestet :-)

 

[firexs]

Also derartige *.exe Fehler, sofern es kein Virus ist, kenn ich nur noch von XP *pur*, sp1 & sp2 und windows2000. Da du ja schon Viren etc entfernen musstest, schein dein System also schon unter Beschuß gestanden zu haben. Und was läge da näher, als Systemdaten anzugreifen wie den IE und alle weiteren Windowskomponenten.

lg, fire

 

[Sammy]

Sooooo

Die Avira Rescue CD hat 22 Viren gefunden, unter anderem auch in der ominösen "msnpjp32.exe"
Ich lasse diese gerade entfernen und hoffe dass der Rechner gleich noch hochfährt

 

[Agi Hammerklau]

Oooh...(Sheet...) 22Vieren..,entweder haben die noch niemander interesiert, oder Du solltest das System TOTAL noch mal NEU aufsetzen!

 

[Sammy]

So,

nachdem die Avira Rescue CD die infizierten Dateien / Einträge gelösscht hat ist das Problem nun seither nicht mehr aufgetreten :-)

Danke an alle

 

[frogger9]

bedeutet aber nicht, dass dein System nun komplett frei von Viren ist.

Einem kompromittierten System kann man nicht mehr voll vertrauen.
http://de.wikipedia.org/wiki/Technische_Kompromittierung

 

[Sammy]

dessen bin ich mir bewusst, allerdings kommt für den Anwender des Systems momentan absolut keine neuinstallation in Frage. Daher werde ich seinem Wunsch nachgeben und es mit einer aufrüstung auf SP3 gut sein lassen.