Programme lassen sich nicht starten

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Jaba86, 1. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Jaba86

    Jaba86 Byte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    9
    hi leute, vor einigen tagen fuhr ich mein pc hoch, so wie ich es immer tue und bemerkte zunächst auch nichts ungewöhnliches. dann klickte ich eine anwendung an doch sie startete nicht. auch weitere ließen sich nicht öffnen. es erschien für ein bruchtteil einer sekunde ein fenster (es sah so aus, wie das fenster, wenn man auf START-AUSFÜREN geht und dann cmd eingibt). Bei genauem hingucken, konnte ich den text auch lesen. er lautete: "Programm zu groß für den Arbeitsspeicher"

    Ich kann mir das nicht erklären, weil ich vorher nie so ein problem hatte. ich konnte auch einen teil des pfads erkennen, es muss irgendwas mit system32 zu tun haben, nur was weiß ich nicht. virenscanner funktionieren nicht mehr und lassen sich auch nicht neu installieren. xp updates lassen sich nur teilweise installieren.

    Achja, habe Windows XP
    533Mhz
    128 MB Ram
    19Gb HDD 17,5 frei

    nach diesem Problem habe ich meinen pc mehrmals formatiert und auch windows 98 ausprobiert doch der fehler blieb bestehen.
    hoffe ihr könnt mir helfen. wenn ihr weitere infos braucht, fragt nur...
    vielen dank schonmal
     
  2. MCSE-MCT

    MCSE-MCT Halbes Megabyte

    Registriert seit:
    5. Juli 2004
    Beiträge:
    876
    > so wie ich es immer tue
    Hey jo.

    > es muss irgendwas mit system32 zu tun haben
    Fachurteil.

    > virenscanner funktionieren nicht mehr
    Jo. Wenn sie schlau sind.

    > Achja, habe Windows XP
    Na klar.
    Und sonst?
     
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo,

    möglichweise könnte aktive Malware dafür verantwortlich sein.
    Erstelle mit HiJackThis ein Log-File und poste es hier rein.

    btw: Dein Arbeitspeicher ist für XP schon etwas eng bemessen!
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Bist du sicher dass du noch 128MB RAM hast (im BIOS nachsehn)?
    Falls die 128MB aus zwei 64er Riegeln bestehen und einer defekt ist dann könnte das dein Problem verursachen.


    Ist das Problem unter Win98 und XP wirklich exakt gleich?


    Welche Einstellungen hast du für die Auslagerungsdatei vorgenommen?

     
  5. Steffenxx

    Steffenxx Ehren-Moderator

    Registriert seit:
    25. August 2001
    Beiträge:
    6.148
    @ MCSE-MCT :

    Wegen ständiger Missachtung der Nettiquette und Spaming bekommst du einen 10tägige Sperre. Solltest du danach wieder so "nett" zu anderen Usern sein, kannst du mit einer Dauersperre rechnen.

    MfG Steffen
     
  6. Jaba86

    Jaba86 Byte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    9
    Logfile of HijackThis v1.98.0
    Scan saved at 14:27:09, on 01.08.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\Oleco\_Oleco.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://einwahl.oleco.de/willkommen/
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{15C8A487-5211-4738-9252-F87E760A0A17}: NameServer = 195.71.159.16 193.189.244.205
    O17 - HKLM\System\CS1\Services\Tcpip\..\{15C8A487-5211-4738-9252-F87E760A0A17}: NameServer = 195.71.159.16 193.189.244.205



    ich hoffe ihr meint das, mit dieser logfile. wenn euch das was sagt, dann bin ich echt erstaunt. hoffe ihr findet noch eine lösung für mein problem. achja, könnt mir glauben, dass 128mb für xp ausreichen. und ja, das problem ist identisch bei 98 und xp.
     
  7. Jaba86

    Jaba86 Byte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    9
    Auslagerungsdatei:
    192 mb-384mb
    das ist die standardeinstellung von xp bei mir
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    C:\Programme\Oleco\_Oleco.exe
    Ist dir dieses Programm bekannt?

    C:\WINDOWS\svchost.exe
    Ich hab zwar kein XP, aber bei mir (Win2000) gibts die svchost.exe nur im Ordner System32. Ich denke das könnte ein Schädling sein.
    Ich würd ja sagen lass en Virenscanner, Spybot S&D und Ad-aware laufen, aber das geht ja eben nicht...

    Wenn das die Ursache ist dann heißt es System neu aufsetzen.



    Mach mal die Auslagerungsdatei größer wenn du schon so wenig RAM hast.

    Hast du mal im BIOS nachgesehn ob die 128MB noch voll erkannt werden?



    @ all

    Kann das ein XP-User bestätigen, dass es C:\WINDOWS\svchost.exe normalerweise nicht gibt?
     
  9. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hab ich mir doch fast gedacht. Dann ist das andere wohl ein Schädling. Tja, dann heißt es eben format c:
     
  10. Jaba86

    Jaba86 Byte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    9
    format c: toll! hab ich alles schon hinter mir. fdisk, format c: und neuinstallationen usw. hat alles nichts gebracht. oleco ist mir bekannt. ist mein call by call anbieter...
     
  11. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du kannst auch warten, bis Cidre sich das Log angesehn hat, der ist da erfahrener. Obwohl ich nicht glaube dass das was ändert, die svchost.exe im falschen Ordner ist höchst verdächtig. Schau mal hier nach:
    http://www.sophos.de/virusinfo/analyses/trojtofgero.html
    und prüfe ob es die dort erwähnten Dateien bei dir gibt.


    Nachdem du das System das letzte mal neu installiert und XP drauf gemacht hast, warst du da im Internet bevor du SP1 und die folgenden Updates installiert hast?

     
  12. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Jaba86

    TheD0CT0R hat Recht, diese C:\WINDOWS\svchost.exe ist eine gefakte Datei die von mehrerer Würmer/Trojaner verwendet wird.

    Die richtige System-Datei liegt im System Verzeichnis => C:\WINDOWS\System32\svchost.exe.

    Überprüfe deshalb diese C:\WINDOWS\svchost.exe bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.
    Sollte es sich um einen aktiven Backdoor handeln, kann mich TheD0CT0R nur anschließen, die logische Konsequenz wäre dann ein Neuaufsetzen deines Systens.

    Ich poste gleich mal die Vorgehensweise nach dem Neuaufsetzen und vor der ersten Internet Verbindung folgende Punkte abarbeiten:

    1. Eingeschränktes Benutzerkonto erstellen
    2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
    3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    5. Deine Passwörter ändern
    6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozilla oder Firefox
    7. Image deiner Systempartition erstellen
    8. Surfverhalten überdenken
     
  13. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hey Cidre, ich glaub ich muss meine eigene Neuinstallations-Checkliste nochmal überdenken, offenbar hab ich da einiges vergessen. :D

    Eine Frage hätt ich da noch:
    Reichen die Punkte 1.-3. aus, um bei 4. alle Updates aus dem Netz zu ziehn ohne Risiko?
    Ich hab das sicherheitshalber immer von ner CD gemacht da ich davon ausging dass ein ungepatchtes System unter keinen Umständen online gehen sollte.

    Du schreibst ja selbst "vor der ersten Internet Verbindung folgende Punkte abarbeiten".

     
  14. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hi TheD0CT0R,

    diese Vorgehensweise wäre die einfachste und reicht natürlich völlig aus, um nicht ungebetenen Besuch von Blaster, Welchia und Co. zu kriegen. Durch die interne Verbindungsfirewall wird das ungepatchte System geschützt, bis die NT Dienste sicher konfiguriert - und die Windows Updates geladen sind. Danach kann man die interne Verbindungsfirewall wieder deaktivieren, da sie ihren Dienst erfüllt hat und danach eh keinen weiteren Sinn hat.

    Die sicherste Lösung wäre, wie du ja schon selbst schreibst, von einem sauberem System oder einer Linux Distribution aus das Skript für die NT Konfiguration, sowie Windows Updates zu laden und zu speichern. Dann auf das ungepatche Systems zu übertragen.
    Da tauchen dann schon wieder Probleme auf, wer hat in seinem Bekanntenkreis ein sauberes System bzw. Linux und dazu noch die ganze Rennerei?
     
  15. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Gut, das wäre jetzt weniger ein Problem bei mir, ich hab sowohl Linux als auch 2 weitere PCs im Haus zur Verfügung. :D
    Aber hoffen wir dass ich das nie selbst machen muss (siehe Signatur).


    PS: Bei Anreden kannst du den Artikel ruhig weglassen, also nur Doctor statt TheDoctor, das liest sich besser.
     
  16. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Ok Doc,;)

    wie ist im allgemeinen deine Vorgehensweise?
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    So, Versuch Nummer 3 (Sch*** Forensoftware)

    Bis jetzt hab ich immer das hier empfohlen:

    ---
    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System alle Service Packs sowie falls in den SPs nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - format c:
    - Windows neu installieren
    - die Service Packs und Patches von der CD installieren
    - nach Anleitung von http://www.ntsvcfg.de/ vorgehen
    - Virenscanner installieren (AntiVir und AVG gibts kostenlos)
    - jetzt erst können übers Windows-Update die noch fehlenden Updates installiert werden.
    - Spybot S&D installieren und das System damit immunisieren
    - die automatische Windows-Update Funktion aktivieren um das System aktuell zu halten
    ---
     
  18. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
  19. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Ok, wäre auch ne Möglichkeit.
    Aber was mir persönlich fehlt:
    Nach einem Neuaufsetzen eines kompromittierten Systems, sollten unbedingt die Passwörter geändert werden.

    Zu patan:
    Ich hab den nicht übernommen, eigentlich hätt ich dazu nichts mehr schreiben brauchen, denn es wurde von dir schon ausführlich beschrieben.
    Hab lediglich das EOD vergessen. ;)
     
  20. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Passwörter ändern hab ich nicht drin gehabt, stimmt.
    Werds noch hinzufügen, danke für den Hinweis.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen