OK, Statusbar hinzugefügt und Update Programmes hochgeladen.
Die Statusbar zeigt nun an, wie viele sichtbare Prozesse gefunden wurden, wie viele blaue PIDs gefunden wurden und ob evtl. einer der blauen PIDs zu einem RootKit gehört.

Versuche, gleich mal nach den Hooks zu schauen. Muss noch warten, bis der passende PC mit dem Fehler frei ist.

Gruß

AHT

So... Habe mal alle Hooks auf die ich Zugriff hatte mit einem Programm von mir entfernt - kein Erfolg, der Fehler tritt immer noch auf.
Was mir aber aufgefallen ist:
Bear ( www.geocities.com/th...eal_sz/misc/Bear.zip )
zeigt mir an, das CSRSS.EXE ein Handle auf einen Hook geöffnet hat. Das zeigt es mir aber bislang nur auf dem Gerät an, das den Fehler produziert! Auf allen anderen Geräten mit XP hat CSRSS.EXE kein Handle auf einen Hook geöffnet!!! Bitte, bitte mal testen - was sagt Bear auf anderen Geräten? Hat CSRSS.EXE ein Handle auf einen Hook geöffnet? Und was sagt dabei mein Prozesshandle Test? Sind blaue Dreiecke zu sehen?

Evtl. liegt da eine Macke in WindowsXP selbst vor, die sich nur unter ganz bestimmten Voraussetzungen (einem bestimmten Betriebssystem-Update) zeigt?

Gruß

AHT

Bei csrss.exe und Hook steht bei mir mal 2 dran. explorer.exe hat ganz viele Hooks, und viele andere Programme auch.

Chryzler hat folgendes geschrieben:

Bei csrss.exe und Hook steht bei mir mal 2 dran.

Jetzt wirds interessant, da könnte der Grund liegen!

Zeigt irgendwo Bear bei CSRSS.EXE kein Handle auf einen Hook an aber der Prozesshandle Test blaue Dreiecke?

Zeigt irgendwo Bear bei CSRSS.EXE ein Handle auf einen Hook an aber der Prozesshandle Test keine blauen Dreiecke?

Kann irgendjemand meine Vermutung bestätigen, dass das an den Hooks von CSRSS.EXE liegen könnte?

Chryzler hat folgendes geschrieben:

explorer.exe hat ganz viele Hooks, und viele andere Programme auch.

An den anderen Anwendungen, einschließlich dem Explorer, liegt das nicht. Die habe ich überprüft.

Gruß

AHT

Hier noch meine Werte:

- Windows XP Home
- kein blaues Dreieck
- CSRSS.exe hat kein Handle auf einen Hook

XP pro SP2. Bei mir kommen ein paar blaue Dreiecke. Prozessname und Dateiname sind dabei leer. Dann noch ein Haufen grüne Dreiecke.

Aber wieso das :

AHT hat folgendes geschrieben:

(Scan dauert ein paar Sekunden).

Könnte wohl wesentlich schneller gehen. Kenne den Effekt zwar nur vom Stringrid, aber dürfte hier ähnlich sein. Die Listview wird offensichtlich gezwungen, sich andauernd neu zu zeichnen (kostet Faktor 10-100). So was merkt man. Setze mal visible auf false und erst dann auf true, wenn das Ergebnis feststeht.

hansa hat folgendes geschrieben:

XP pro SP2. Bei mir kommen ein paar blaue Dreiecke. Prozessname und Dateiname sind dabei leer. Dann noch ein Haufen grüne Dreiecke. Aber wieso das : AHT hat folgendes geschrieben: (Scan dauert ein paar Sekunden). Könnte wohl wesentlich schneller gehen. Kenne den Effekt zwar nur vom Stringrid, aber dürfte hier ähnlich sein. Die Listview wird offensichtlich gezwungen, sich andauernd neu zu zeichnen (kostet Faktor 10-100). So was merkt man. Setze mal visible auf false und erst dann auf true, wenn das Ergebnis feststeht.

Biite nochmals testen. Habe gerade eine neue Version hochgeladen, diese Version zeigt nun auch die Anzahl der von jedem Prozess geöffneten Hooks an:
freenet-homepage.de/ahfundgrube/PH.zip

Wichtig ist für mich, ob CSRSS.EXE einen Hook öffnet. Deswegen bitte den Inhalt des Edits mit WordPad in eine Datei kopieren und dann hier posten. Ich vermute im Augenblick einen Fehler im Subsystem von Windows, der evtl. bei bestimmten grafischen Einstellungen auftritt.

Das der Scan so lange dauert, liegt an der von mir hier verwendeten Programmiersprache - ist mir im Augenblick auch egal, wichtig ist das Ergebnis (ob der Bug in Windows liegt oder nicht). Mit dem Listview hast du natürlich ebenfalls Recht.

Gruß

AHT

So, nach einer Weile zocken und arbeiten, habe ich 10 blaue Dreiecke und 1 mögl. Rootkit.

GTA-Place hat folgendes geschrieben:

So, nach einer Weile zocken und arbeiten, habe ich 10 blaue Dreiecke und 1 mögl. Rootkit.

Ein RootKit läuft bei dir nicht ( -1 hatte ich bislang noch nicht ). Das ist nur ein Hinweis für mich bei Rückmeldungen da mal etwas näher nachzuschauen.
Das nach längerem Arbeiten mehere blaue PIDs erscheinen wenn bei dir das Phänomen auftritt, ist klar. Jeder Prozess mit einem Fenster wird nach dem Beenden zu einer blauen PID.

An dem Hook im Subsystem scheint das ebenfalls nicht zu liegen, der ist bei dir nicht vorhanden.
Bin im Augenblick ratlos und lege die Sache erst einmal zu den Akten. Vielleicht komme ich später nochmal auf Ideen.

Gruß

AHT

Ich hab 16 Rootkits auf meinem System.

Chryzler hat folgendes geschrieben:

Ich hab 16 Rootkits auf meinem System.

Wie gesagt, das sind keine RootKits. Ich kontrolliere da nur den ExitCode, und wenn der nicht 0 ist, wollte ich etwas genauer nachsehen, woran das liegt .
Bei mir habe ich das Problem mit den blauen Dreiecken ja nicht; und ich bin, weil die Programme ja in der Regel normal beendet wurden davon ausgegangen, dass der Exitcode bei den Prozessleichen immer 0 ist. Da die einfachen RootKits, die für mein Programm sichtbar sind, in der Regel den Exitcode nicht ändern, wäre ein sichtbarer Pfad und ein Exitcode mit 259 ein recht guter Hinweis auf ein laufendes RootKit (kann natürlich aber auch andere Ursachen haben). Ich werde mal den Hinweis in der Statusbar abändern - ist doch zu Haarsträubend .

PS: Macke beseitigt, Update hochgeladen (Aua ). Vielleicht war ich da doch etwas zu übervorsichtig...

Gruß

AHT

Da mir immer noch ein Überblick fehlt, wie oft diese "Merkwürdigkeit" unter XP auftritt, habe ich hier
forum.freenet.de/app...erEcke_Computer.html
mal eine Umfrage veröffentlicht. Um daran teilnehmen zu können, muss man sich kostenlos bei der Freenet-Community registrieren lassen. 60MB werbefreien Homepageplatz und eine kostenlose E-Mail Adresse gibt es dann von Freenet für diese "Unannehmlichkeit" kostenlos dazu...

Glaubst du, das du dort vernünftige Antworten bekommst? Ich war dort früher mal recht fleißig in der Programmierer Sektion am Lesen und Posten. Die Fragen und Antworten der User waren aber zum sehr großen Teil unterkannte Bodenplatte.
Und du suchst ja doch eher Hinweise darauf woran es liegen könnte das bei machen Rechnern ein haufen tote Prozesse angezeigt werden und bei anderen nicht.
Ich kenne zwar einige Leute die versuchen werden dich dort zu unterstützen. Aber der Rest

Sinspin hat folgendes geschrieben:

Glaubst du, das du dort vernünftige Antworten bekommst?

Nein, vernünftige Anworten habe ich schon hier bekommen (nochmals besten Dank dafür an alle).
Bei mir laufen nur Rechner mit einem extrem Abgespecktem XP - ich habe im Augenblick also keine Ahnung, ob dies "Merkwürdigkeir" vielleicht der Regelfall ist und nicht die Ausnahme. Ich hofe, dass mir eine Umfrage dabei helfen wird, das etwas genauer zu beurteilen. Ob ich dört überhaupt irhendwelche Rückmeldungen bekomme, steht auf einem ganz anderen Blatt.

Evtl. komme ich nicht dahinter, was genau Prozesse mit einem Fenster auf manchen XP Systemen nicht richtig sterben lässt (was unter anderem zum unaufhörlichen Ansteigen der PIDs führt) - aber eine "etwa" Vorstellung, ob das die Ausnahme oder der Regelfall ist, hatte schon gerne.

Hab das bei mir auch mal laufen lassen. Siehe Anhang.

Mmmh...

Das was da rumzickt scheint sich schon vor CSRSS.EXE zu starten, ist also scheinbar eine Komponente des Betriebssystems oder ein Treiber.

AHT hat folgendes geschrieben:

wäre ein sichtbarer Pfad und ein Exitcode mit 259 ein recht guter Hinweis auf ein laufendes

Öhm, der ExitCode sagt gar nicht aus. Den kann jeder Programmierer beliebig setzen, wie ihm lustig ist. Konsolenprogramme nutzen ihn manchmal, um dem aufrufenden Programm mitzuteiln, ob ein Fehler aufgetreten ist oder nicht.

Luckie hat folgendes geschrieben:

AHT hat folgendes geschrieben: wäre ein sichtbarer Pfad und ein Exitcode mit 259 ein recht guter Hinweis auf ein laufendes Öhm, der ExitCode sagt gar nicht aus. Den kann jeder Programmierer beliebig setzen, wie ihm lustig ist. Konsolenprogramme nutzen ihn manchmal, um dem aufrufenden Programm mitzuteiln, ob ein Fehler aufgetreten ist oder nicht.

Das ist richtig - mit TerminateProcess oder WriteProcessMemory zum Beispiel, das Programm scannt ja auch nicht nach RootKits. Ein Exitcode von 259 kennzeichnet aber einen laufenden Prozess. Ein ProcessHider oder ein RootKit, das so einfach gestricktes ist, das dieser Test es blau anzeigt, wird wohl kaum über WriteProcessMemory und Native-API den ExitCode ändern. Ein Exitcode von 259 wäre also ein recht guter Hinweis für mich, dass dieses spezielle blaue Dreieck auf keinen Fall durch das hier beschriebene Phänomen sondern eventuell durch einen sehr einfachen ProcessHider erzeugt wurde und ein recht guter Hinweis für den Tester, sein System vielleicht mal (mit RootKit Unhooker) auf RootKits zu scannen. Dass ein ExitCode von 259 nicht unbedingt von einem RootKit stammen muss, steht außer Frage - es geht hier auch nicht um RootKits, sondern um "Prozessleichen".

Du solltest eventuell das nächste mal etwas klarer sagen, um was es dir eigentlich geht, anstatt von grünen und blauen Dreiecken zu reden. Hättest du das getan, dann hätte ich gleich gewusst, um was es geht. Das läuft im Allgemeinen unter der Bezeichnung "Zombie Prozesse", such da nach mal mit Google.

Luckie hat folgendes geschrieben:

Du solltest eventuell das nächste mal etwas klarer sagen, um was es dir eigentlich geht, anstatt von grünen und blauen Dreiecken zu reden. Hättest du das getan, dann hätte ich gleich gewusst, um was es geht. Das läuft im Allgemeinen unter der Bezeichnung "Zombie Prozesse", such da nach mal mit Google.

Besten Dank, das trifft es (glaube ich) ziemlich gut.
de.wikipedia.org/wiki/Zombie_(EDV)
Jetzt fragt sich nur noch, ob diese "Zombieprozesse" nach dem Beenden und Neustart des WindowsExploreres (der dürfte ihn der Regel der Vater sein) verschwinden. Wenn dem so ist und nur die PID des alten WindowsExplorers als "Zombie" übrig bleibt, dürfte der WindowsExplorer selbst dieses Problem verursachen - sehe ich das richtig?

Es wäre demnach ja auch noch wichtig, beim Auftreten solcher "Macken" den Elterprozess mit auszulesen. Das dürfte machbar sein - werde mal ein Update schreiben.

Besten Dank

AHT