svchost.exe 100% cpu auslastung, bitte mal den hijackthis log angucken |
||
---|---|---|
#0
| ||
20.08.2006, 23:54
...neu hier
Beiträge: 10 |
||
|
||
21.08.2006, 15:20
Ehrenmitglied
Beiträge: 29434 |
#2
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2006, 17:06
...neu hier
Themenstarter Beiträge: 10 |
#3
/e den ipod process da unten brauch ich eig nich, hab jedenfalls keinen ipod, also wenn man das abstellen kann, dann würd ich das gern tun, wie gehtn das?
The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 1 Aug 21, 2006 17:05:13 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: f:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1964 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: f:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 2020 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 3 Service Name: app_filter Display Name: app_filter Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\nvidia\networ~1\bin\nsvcappflt.exe State: Running Process ID: 2596 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 4 Service Name: ForcewareWebInterface Display Name: Forceware Web Interface Start Mode: Auto Start Name: LocalSystem Description: Apache... Service Type: Own Process Path: "c:\progra~1\nvidia\networ~1\apache group\apache2\bin\apache.exe" -k runservice State: Running Process ID: 216 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 5 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #6 Service Name: iPodService Display Name: iPodService Start Mode: Disabled Start Name: LocalSystem Description: iPod hardware management ... Service Type: Own Process Path: c:\programme\ipod\bin\ipodservice.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: nSvcIp Display Name: ForceWare IP service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\nvidia\networ~1\bin\nsvcip.exe State: Running Process ID: 264 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 8 Service Name: nSvcLog Display Name: ForceWare user log service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\nvidia\networ~1\bin\nsvclog.exe State: Running Process ID: 368 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 9 Service Name: StarWindService Display Name: StarWind iSCSI Service Start Mode: Auto Start Name: LocalSystem Description: Enables network access to local devices via iSCSI ... Service Type: Own Process Path: f:\programme\alcohol 120\starwind\starwindservice.exe State: Running Process ID: 508 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{fefca81f-9b81-42eb-bf94-f61b614da478} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 88 Win32 services on this machine. 10 were unrecognized. Script Execution Time: 0,609375 seconds. |
|
|
||
21.08.2006, 21:39
Ehrenmitglied
Beiträge: 29434 |
#4
finde mit icesword raus, welche der svchost.exe die hohe Auislastung hervorruft und berichte
http://virus-protect.org/artikel/tools/icesword.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2006, 22:10
...neu hier
Themenstarter Beiträge: 10 |
#5
also wenn man die auslastung mal von "mem usage" ( ich denk mal memory usage oder?) abhängig macht dann wäre es die svchost.exe mit der pid 1080 (ich hoffe das hilft dir), die hat im gegensatz zu den anderen dort einen deutlich höheren wert, nämlich ca 16000k und im peak ca 22000k
desweiteren zeigt mir icesword unter ssdt folgende dienste rot an: kmodule: sptd.sys name: NTCreateKey kmodule: sptd.sys name: NTEnumerateKey kmodule: sptd.sys name: NTEnumerateValueKey kmodule: sptd.sys name: NTopenKey kmodule: sptd.sys name: NTQueryKey kmodule: sptd.sys name: NTQueryValueKey kmodule: sptd.sys name: NTSetValueKey /e was ich gerad noch entdeckt habe: unter log process/thread creation is die svchost.exe mit der pid 1080 jeweils untereinander einmal grün und einmal blau markiert, die erstellt etwa alle 3-4min einen thtread/progress mit namen wmiprvse.exe hört sich in meinen laien ohren nicht gut an, was meint ihr? Dieser Beitrag wurde am 21.08.2006 um 22:14 Uhr von ranitzki editiert.
|
|
|
||
21.08.2006, 23:19
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Sptd.sys is a part of Daemon tools software. 2. wenn es das ist, solltest du formatieren: http://www.sophos.de/security/analyses/w32sonebotb.html 3. es kann sich aber auch handeln um: Wmiprvse.exe * Kontext: NETZWERKDIENST, kann nicht mit dem Task-Manager beendet werden. * Wmiprvse.exe behandelt WMI (Windows Management Infrastructure) Operationen ---------------- 4. ich empfehle dir erst einmal eine Reperatur mit der Windows-CD zu machen und dann berichte. Starte mit der Windows Installations CD und klicke dann auf reparieren. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2006, 23:48
...neu hier
Themenstarter Beiträge: 10 |
#7
zu1) ah ok daemon tools das is ja dann nix schlimmes
2) hm die beschriebenen symptome treffen nur in den letzten beiden punkten zu, nämlich das erstellen des reg eintrages: HKLM\System\CurrentControlSet\Control\lsa\ RestrictAnonymous = <Wert> RestrictAnonymousSam = <Wert> is die frage, kann es den unter umständen sowieso geben oder ist der in jedem fall von dem wurm erstellt worden?? und was wäre dann zu tun? /e so hab mal danach gesucht, also das is nen wert die im netzwerk die zugriffsrechte steuert, insofern ist der immer da->ich mach schritt 4 bis denne zu4) ok das probier ich dann morgen mal, hoffe es bringt was danke für deine mühe sabina, echt klasse Dieser Beitrag wurde am 21.08.2006 um 23:56 Uhr von ranitzki editiert.
|
|
|
||
22.08.2006, 10:15
Ehrenmitglied
Beiträge: 29434 |
#8
ranitzki
1. Start - Ausfuehren - cmd wenn du eingetippt oder einkopiert hast hast: tasklist /svc klicke oben links auf das Symbol, dann auf Edit -> "Selekt All" -> klicke wieder oben links - > Edit -> Copy dann mit der rechten maustaste hier im Thread: einfuegen, dann erscheint das log und wir koennen nachsehen Zitat C:\>tasklist /svc2. poste das log (am besten per Anhang ...siehe unten) http://virus-protect.org/registry_stuff.html 3. ueberpruefe die ports und schreibe, ob es "rot" gibt http://virus-protect.org/portauthority.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2006, 13:59
...neu hier
Themenstarter Beiträge: 10 |
#9
so:
1) Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\ranitzki>tasklist /svc Abbildname PID Dienste ========================= ===== ============================================= System Idle Process 0 Nicht verfügbar System 4 Nicht verfügbar smss.exe 632 Nicht verfügbar csrss.exe 712 Nicht verfügbar winlogon.exe 744 Nicht verfügbar services.exe 792 Eventlog, PlugPlay lsass.exe 804 PolicyAgent, ProtectedStorage, SamSs ati2evxx.exe 960 Ati HotKey Poller svchost.exe 1004 RpcSs svchost.exe 1080 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Messenger, Netman, Nla, Schedule, seclogon, SENS, ShellHWDetection, srservice, TermService, Themes, TrkWks, uploadmgr, W32Time, winmgmt, WmdmPmSp, wuauserv, WZCSVC svchost.exe 1212 Dnscache svchost.exe 1272 LmHosts, RemoteRegistry, SSDPSRV, WebClient spoolsv.exe 1436 Spooler ati2evxx.exe 1740 Nicht verfügbar explorer.exe 1792 Nicht verfügbar nTrayFw.exe 1864 Nicht verfügbar SOUNDMAN.EXE 1876 Nicht verfügbar jusched.exe 1904 Nicht verfügbar winampa.exe 1928 Nicht verfügbar qttask.exe 1936 Nicht verfügbar pstrip.exe 1956 Nicht verfügbar avgnt.exe 1964 Nicht verfügbar sched.exe 2012 AntiVirScheduler avguard.exe 220 AntiVirService Apache.exe 264 ForcewareWebInterface Steam.exe 304 Nicht verfügbar nSvcIp.exe 328 nSvcIp nSvcLog.exe 448 nSvcLog wcescomm.exe 536 Nicht verfügbar Apache.exe 664 Nicht verfügbar StarWindService.exe 768 StarWindService nSvcAppFlt.exe 2628 app_filter winamp.exe 2816 Nicht verfügbar ICQLite.exe 3296 Nicht verfügbar wuauclt.exe 3716 Nicht verfügbar firefox.exe 3760 Nicht verfügbar ID3-TagIT.exe 212 Nicht verfügbar cmd.exe 3240 Nicht verfügbar wmiprvse.exe 3276 Nicht verfügbar tasklist.exe 2960 Nicht verfügbar wmiprvse.exe 2936 Nicht verfügbar 3) alles grün C:\Dokumente und Einstellungen\ranitzki> Anhang: look1.txt Dieser Beitrag wurde am 22.08.2006 um 14:11 Uhr von ranitzki editiert.
|
|
|
||
22.08.2006, 21:32
Ehrenmitglied
Beiträge: 29434 |
#10
1.) du musst die Windowsupdates machen, fuehrt kein Weg dran vorbei
2.)Windows-Dienste abschalten! -anwenden http://www.dingens.org __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2006, 22:44
...neu hier
Themenstarter Beiträge: 10 |
#11
meinste mit windowsupdates sp2 oder waS?
punkt 2 werd ich mal machen vielen dank für deine arbeit greetz ranitzki |
|
|
||
23.08.2006, 13:00
Ehrenmitglied
Beiträge: 29434 |
||
|
||
in diesem sinne schonmal danke an euch, hoffe das problem ist bald geschichte
greetz ranitzki
/e achja was mir gerade noch eingefallen ist, keine ahnung ob das was damit zu tun hat, vor dem runterfahren des pc'S sagt mir windows meistens das ein programm "m" nicht beendet werden kann. da kommt dann der sofort beenden button. heute musste ich das sogar 2mal "sofort beenden. dazu kommt noch das ein programm names "dde server" (kompletten namen vergessen irgendwie sowas) nicht beendet werden kann.
/e2 hm zu lang der beitrag, naja ich lass die restlichen datfinds logs erstmal raus, schon so spät, falls die gebraucht werden mach ich die später mal rein.
/e3 anti vir hat in windows\system32\tools\restart.exe was gefunden mit der bemerkung: "enthält die signatur des spr/destart.a-programmes"
hab die datei atm in quarantäne
Logfile of HijackThis v1.99.1
Scan saved at 23:47:38, on 20.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
f:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
F:\programme\powerstrip\pstrip.exe
F:\Spiele\CS\Steam.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\wuauclt.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
F:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Winamp\winamp.exe
F:\Programme\firefox\firefox.exe
F:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XBTP05231 - {031F120A-BBAF-45d8-B306-375F2A6B9398} - f:\PROGRA~1\ALCOHO~2\a120_tb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - f:\Programme\Alcohol 120% Toolbar\a120_tb.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PowerStrip] f:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [Steam] F:\Spiele\CS\Steam.exe -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office-Schnellstart.lnk = F:\Programme\MS Projekt\Office\FASTBOOT.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DDC102-8BBC-479F-A615-D6E84E2E0B26}: NameServer = 192.168.69.254
O23 - Service: app_filter - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - f:\Programme\Alcohol 120\StarWind\StarWindService.exe
hier noch der combo fix log:
ranitzki - 06-08-21 0:43:37,26
ComboFix 06.08.18 - Running from: F:\Programme\firefox
((((((((((((((((((((((((((((((( Files Created from 2006-07-21 to 2006-08-21 ))))))))))))))))))))))))))))))))))
2006-08-21 00:21 57,384 C:\WINDOWS\system32\avsda.dll
2006-08-07 23:53 892,416 C:\WinRAR.exe
2006-08-05 18:30 10,257,968 C:\antivir_workstation_win7u_de_h148.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-20 23:01 -------- d-------- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\LimeWire
2006-08-20 20:49 -------- d-------- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\last.fm
2006-08-05 18:44 10257968 --a------ C:\antivir_workstation_win7u_de_h148.exe
2006-07-17 19:17 90240 --a------ C:\WINDOWS\system32\drivers\sptd3117.sys
2006-07-17 19:14 -------- d-------- C:\Programme\Messenger
2006-07-17 19:13 -------- d-------- C:\Programme\Windows Media Player
2006-07-17 19:13 -------- d-------- C:\Programme\Outlook Express
2006-07-17 19:13 -------- d-------- C:\Programme\NetMeeting
2006-07-17 19:13 -------- d-------- C:\Programme\Movie Maker
2006-07-17 19:13 -------- d-------- C:\Programme\Internet Explorer
2006-07-15 18:10 129049184 --a------ C:\xpsp1a_de_x86.exe
2006-07-14 02:30 -------- d-------- C:\Programme\Winamp
2006-07-06 17:19 -------- d---s---- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\Microsoft
2006-07-06 15:21 -------- d-------- C:\Programme\Common Files
2006-07-06 13:11 -------- d--h----- C:\Programme\WindowsUpdate
2006-06-02 11:04 57384 --a------ C:\WINDOWS\system32\avsda.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\\PROGRA~1\\NVIDIA\\NETWOR~1\\bin\\nTrayFw.exe"
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"WinampAgent"="f:\\Programme\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PowerStrip"="f:\\programme\\powerstrip\\pstrip.exe"
"avgnt"="\"F:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="F:\\Spiele\\CS\\Steam.exe -silent"
"H/PC Connection Agent"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,b2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\H/PC Connection Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WCESCOMM"
"hkey"="HKCU"
"command"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"iPodService"=dword:00000003
"NetDDEdsdm"=dword:00000003
"NetDDE"=dword:00000003
Completion time: 21.08.2006 0:43:50.71
ComboFix.txt
hier noch die datfind logs:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D05C-C1EF
Verzeichnis von C:\WINDOWS\system32
21.08.2006 00:52 0 nmp.log
21.08.2006 00:37 0 _nvidia_xxx_.log
20.08.2006 17:11 2.262 wpa.dbl
17.07.2006 19:22 39.992 perfc009.dat
17.07.2006 19:22 316.594 perfh007.dat
17.07.2006 19:22 311.604 perfh009.dat
17.07.2006 19:22 48.156 perfc007.dat
17.07.2006 19:22 723.744 PerfStringBackup.INI
17.07.2006 19:17 110.992 FNTCACHE.DAT
02.06.2006 11:04 57.384 avsda.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
09.02.2006 00:42 2.368 SVKP.sys
06.02.2006 17:47 3.534 jupdate-1.5.0_03-b07.log
27.01.2006 18:51 34.064 lhacm.acm