Hier habe ich mal eine kleine Merkwürdigkeit zum Testen unter NT-basierenden Systemen (Vista, XP und 2000 vor allen Dingen).
freenet-homepage.de/ahfundgrube/PH.zip
Das Proggie zeigt beim Start laufende Prozesse an und gibt im Edit rechts einige erhaltene Daten zurück und scannt PIDs.

Problem: Auf einigen (wenigen) Rechnern werden nicht nur Prozesse mit grünen Dreiecken angezeigt, sondern auch PIDs mit blauen Dreiecken (und ich weiß beim besten Willen nicht warum). Einen Fehler von mir schließe ich aus, es muss an Windows oder an laufenden Systemprogrammen liegen. Ich möchte nun gerne wissen, bei wem nur grüne Dreiecke zu sehen sind, wer auch blaue Dreiecke sieht und was genau im Edit steht (lässt sich mit Rechtsklick kopieren und einfügen). Keine Angst, die blauen PIDs sind in der Regel keine RootKits, die meisten verstecken sich besser - da wird scheinbar nur im Speicher etwas nicht gelöscht.

Also:
Wer sieht nur grüne Dreiecke, wer sieht auch blaue Dreiecke und was steht im Edit.
Bei allen, die bislang blaue Dreiecke gesehen haben, war irgendetwas auf dem Rechner nicht so, wie es sein sollte - also Zusatzfrage für die "Blauen":
- Läuft der Rechner auffällig langsam?
- Stürzt da öfters mal was ohne ersichtlichen Grund ab?
- etc...

Programm starten (am besten direkt nach dem Booten) und während des Scans auf keinen Fall irgendwelche anderen Programme starten oder beenden (Scan dauert ein paar Sekunden). Wer blaue Dreiecke sieht, sollte nach einiger Zeit (in dieser Zeit bitte auch was am PC machen) nochmals Scannen und auch das zweite Ergebnis hier posten.
Ich möchte gerne Wissen, ob das mit den blauen Dreiecken öfters auftritt und bitte (bitte bitte) deshalb um rege Beteiligung.
Will hoffen, das es überall funzt - sitzt einiges an Native API drin.


Gruß und besten Dank

AHT

Der Link ist kaputt.

EDIT: Ok geht jetzt.

Also bei mir tauchen genau 58 PIDs mit blauem Pfeil auf. Die meisten liefen nur ungefähr 100 ms, ein paar jedoch auch ungefähr eine Minute. Ist das normal?

Chryzler hat folgendes geschrieben:

Der Link ist kaputt.

OK, jetzt mal versuchen (?Kaum gepostet und schon das erste Problem? ).

Gruß

AHT

Chryzler hat folgendes geschrieben:

Der Link ist kaputt. EDIT: Ok geht jetzt. Also bei mir tauchen genau 58 PIDs mit blauem Pfeil auf. Die meisten liefen nur ungefähr 100 ms, ein paar jedoch auch ungefähr eine Minute. Ist das normal?

Bitte auch den Inhalt des Edits posten - fängt ja gut an.
Ob das normal ist, will ich herausfinden - das ist auf jeden Fall nicht überall so.

Ähm, also das Edit ist schonmal zu klein für den ganzen Text, der eingefügt werden sollte, deswegen ist das jetzt auch nur die Hälfte. Die letze PID wäre 6092 gewesen, der Text geht aber nur bis 2488. Ich hab mal die Einträge mit den grünen Pfeilen weggelassen.. außerdem die log.txt erst runterladen und dann öffnen, im Browser wirds falsch formatiert.

Ich habe nicht mit einer solchen Menge gerechnet - was ich sehe reicht aber. Alles , wo der Exitcode 0 ist, ist schon mal kein RootKit.
Vom HandleCount muss man 1 abziehen, das hat ja mein Testprozess geöffnet. Was mich da besonders irritiert - alle Handles sind ja dicht, bevor mein Prozess eins geöffnet hat - warum ist das Prozessobjekt dann immer noch im Speicher?
Das es wirklich im Speicher ist und hier nicht nur heiße Luft ausgelesen wird, sieht man an den Zugriffsrechten, am ausgelesenen PEB und den Zeiten.
Läuft da in manchem Windows etwas schief oder liegt die Schieflage in meiner Gedankenwelt?

PS: Bitte das ganze Edit posten - ganz oben steht Servicepack und Windowsversion.

oO also bei mir ist bald über die hälfte an prozessen blau markiert ....

Bei mir gehts bis 8060... hab jetzt die log.txt nicht nochmal nachgeschaut aber vll fehlt ja was...

Besten Dank, auch hier das gleiche. Prozesse laufen nur wenige Sekunden, sind beendet und haben kein offenes Handle auf den Prozess.
Global Flag steht auf 0, das dürfte also nicht an einer gespeicherten Objektliste liegen. Ich lade nachher mal einige Tests von meinen Rechnern hoch (fast alle ohne blaue PIDs) und ersetze das Edit gegen ein RichEdit - da passt mehr rein.
Wer von euch sieht keine blauen Dreiecke (so wie ich)?
Welches OS und Servicepack benutzen die, die keine blauen Dreiecke sehen? Welche Prozessse laufen dort? Welche Firewall wird verwendet?
Benutzt jemand noch Windows2000 und sieht dort blaue Dreiecke?
Ich habe im Augenblick den Eindruck, das die Startzeiten dieser "Prozesse" immer innerhalb der Zeit eines LogIns liegen - kann das jemand bestätigen?

Gruß

AHT

So, langsam wird es klarer, woran das liegt.
Ich habe jetzt mal ein Update der Testdatei hochgeladen und möchte noch ein paar Leute mit XP Professionell bitten, mir Rückmeldung zu geben. Wenn jemand mit XP Home die blauen Dreiecke nicht sieht, bitte auch noch hier posten.

Gruß

Opa AHT

AHT hat folgendes geschrieben:

So, langsam wird es klarer, woran das liegt.

An was? *neugierig*

Ich habs jetzt nochmal neu durchlaufen lassen, außerdem hab ich Win XP Professional. Die Anzahl der blauen Dreiecke ist noch relativ niedrig, hab das System auch erst gestartet gehabt.

Ich bekomme auch eine große menge an Blauen. (XP Prof)
Mein Rechner läuft jetzt seit rund einer Woche ohne das ich ihn zwischenzeitlich mal richtig neu gestartet habe. Der ist immer nur im Ruhezustand wenn er aus ist. Er macht also fast da weiter wo ich ihn angehalten habe.
Somit ist noch alles im Ram wozu Windows keine Luste hatte es frei zu geben. Und genau danach sieht es aus. es wird einfach die prozesstabelle erweitert, anstatt alte einträge zu überschreiben. (vieleicht ist das der Grund warum der manchmal nach rund zwei Monaten anfängt komische Sachen zu machen).

Ich bin im Augenblick etwas in "Opastress" werde da aber noch weiter schauen.
Ich hatte erst die Vermutung, dass das an XP Home liegt - das ist aber nicht der Fall.
Wo keine blauen Dreiecke zu sehen sind, erscheinen später auch keine.
Wo blaue Dreicke zu sehen sind, wird scheinbar jeder beendete Prozess zu einem blauen Dreieck.

Ich werde mir demnächst mal die Liste der laufenden Programme anschauen - vielleicht finde ich da irgendwelche Übereinstimmungen.

Wer sieht, außer mir, auch keine blauen Dreiecke?

Hier noch ein paar Beispiele...

Ich hatte schon den Verdacht, dass das am Netzwerk und der XP Firewall liegt - dem ist aber scheinbar nicht so. Zum Test habe ich mal bei mir auf Lappi00 Netzwerk und Firewall installiert - ebenfall keine blauen Dreiecke zu sehen.

Gibt es hier irgendwo im Forum die Möglichkeit, mal eine Umfrage zu starten, wieviele Leute genau keine blauen Dreiecke sehen???

Hmmm...
Also ich hab Windoof Vista, da gibts keine blauen Dreiecke... Mit Netzwerk und Firewall... nix...
Habs auch mal als Admin ausgeführt, auch keine...

Danke für die Rückmeldung, von Vista weiß ich darüber noch gar nichts.

Nochmals Zusammenfassung: Unter XP werden aus irgendeinem Grund auf manchen Systemen die PIDs schon beendeter Prozesse (und Threads, die Teste ich mit dem Programm aber nicht) nicht wieder freigegeben, obwohl kein Handle auf diese beendeten Prozesse offen ist. Auch im Usermode auslesbare Prozessdaten werden nicht gelöscht, was eigentlich nur bedeuten kann, dass Speicher nicht wieder freigegeben wird.

Was kann das bedeuten:
- Wo Speicher nicht wieder freigegeben wird, wird (auch wenn es sich um wenig Speicher handelt) der reale Speicherverbrauch im Laufe der Zeit immer größer und es kommt evtl. zu Problemen.
- Wo es darum geht, auf Low-Level ebene den Speicher auszulesen, kommt es auf unterschiedlichen Geräten mit dem gleichen OS zu unterschiedlichen und irreführenden Ergebnissen (da liegt mein Problem mit der Sache).

Und nochmal:
Wer unter XP sieht diese blauen Dreiecke nicht?
Gibt es hier in diesem Forum eine Möglichkeit, dazu eine Umfrage (zum Ankreuzen) zu erstellen? In manchen Foren geht das...

Es scheint so, als würden nur manche Programme diese "PID-Leichen" erzeugen. Notepad erzeugt immer welche, der Ping-Befehl aber anscheinend nicht. Vielleicht bleiben nur die PIDs von Programmen im Speicher, die ein (sichtbares?) Fenster haben, ober halt keine Konsolenanwendung sind.

Wenn man sehr viele Programme startet, dann zwingt das Windows theoretisch dazu, für neue Anwendungen immer höhere PIDs zu vergeben, auch wenn die alten schon längst beendet wurden. Hatte gerade 100 Mal Notepad gestartet, und Windows vergibt jetzt bei neuen Prozessen PIDs im 4-stelligen Bereich.

Chryzler hat folgendes geschrieben:

Es scheint so, als würden nur manche Programme diese "PID-Leichen" erzeugen. Notepad erzeugt immer welche, der Ping-Befehl aber anscheinend nicht. Vielleicht bleiben nur die PIDs von Programmen im Speicher, die ein (sichtbares?) Fenster haben, ober halt keine Konsolenanwendung sind. Wenn man sehr viele Programme startet, dann zwingt das Windows theoretisch dazu, für neue Anwendungen immer höhere PIDs zu vergeben, auch wenn die alten schon längst beendet wurden. Hatte gerade 100 Mal Notepad gestartet, und Windows vergibt jetzt bei neuen Prozessen PIDs im 4-stelligen Bereich.

Besten Dank für die Rückmeldung! Wenn das wirklich nur bei Prozessen auftritt die ein Fenster haben, ist da evtl. ein Fenster-Hook aktiv, der da Probleme macht. Im Anhang befindet sich ein Testprogramm, das sich mit SetWindowsHookEx nit hooken lässt und keine Fenster hat. Kannst du mal schauen, ob diese PID nach dem Beenden über den Taskmanager ebenfalls noch blau sichtbar ist?

Gruß

AHT

Okay..

keine blauen Dreiecke bei der test.exe. Was übrigens extrem hilfreich wäre, wenn du in das Analysierungsprogramm eine kleine Anzeige einbauen könntest, wieviele blauen Dreiecke gefunden wurden.

Chryzler hat folgendes geschrieben:

Okay.. keine blauen Dreiecke bei der test.exe. Was übrigens extrem hilfreich wäre, wenn du in das Analysierungsprogramm eine kleine Anzeige einbauen könntest, wieviele blauen Dreiecke gefunden wurden.

Das könnte also ein über SetWindowsHookEx aufgerufener Hook sein, der dort die Prozesse nicht richtig sterben lässt. Ich schaue da nochmal etwas genauer nach...

Gruß

AHT

Zum Programm werde ich noch eine Statusbar hinzufügen, die die Anzahl der sichtbaren Prozesse und der blauen PISs anzeigt.

Gruß

AHT