svchost.exe 100% cpu auslastung, bitte mal den hijackthis log angucken

#0
20.08.2006, 23:54
...neu hier

Beiträge: 10
#1 hi, hab mich schon mal hier im forum umgeguckt bezüglich des svchost.exe problems, aber da ich selbst leider nicht soviel ahnung in dieser sache habe würde es mich freuen wenn sich ein experte mal den logfile von hijackthis ansieht damit ich weiss was ich löschen sollte. falls andere scans benötigt werden fänd ichs nett wenn ihr kurz die url von denen angebt, wie gesagt kenn mich da nicht so aus.
in diesem sinne schonmal danke an euch, hoffe das problem ist bald geschichte ;)
greetz ranitzki

/e achja was mir gerade noch eingefallen ist, keine ahnung ob das was damit zu tun hat, vor dem runterfahren des pc'S sagt mir windows meistens das ein programm "m" nicht beendet werden kann. da kommt dann der sofort beenden button. heute musste ich das sogar 2mal "sofort beenden. dazu kommt noch das ein programm names "dde server" (kompletten namen vergessen irgendwie sowas) nicht beendet werden kann.

/e2 hm zu lang der beitrag, naja ich lass die restlichen datfinds logs erstmal raus, schon so spät, falls die gebraucht werden mach ich die später mal rein.

/e3 anti vir hat in windows\system32\tools\restart.exe was gefunden mit der bemerkung: "enthält die signatur des spr/destart.a-programmes"
hab die datei atm in quarantäne

Logfile of HijackThis v1.99.1
Scan saved at 23:47:38, on 20.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
f:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
F:\programme\powerstrip\pstrip.exe
F:\Spiele\CS\Steam.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\wuauclt.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
F:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Winamp\winamp.exe
F:\Programme\firefox\firefox.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XBTP05231 - {031F120A-BBAF-45d8-B306-375F2A6B9398} - f:\PROGRA~1\ALCOHO~2\a120_tb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - f:\Programme\Alcohol 120% Toolbar\a120_tb.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PowerStrip] f:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [Steam] F:\Spiele\CS\Steam.exe -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office-Schnellstart.lnk = F:\Programme\MS Projekt\Office\FASTBOOT.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7DDC102-8BBC-479F-A615-D6E84E2E0B26}: NameServer = 192.168.69.254
O23 - Service: app_filter - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - f:\Programme\Alcohol 120\StarWind\StarWindService.exe



hier noch der combo fix log:

ranitzki - 06-08-21 0:43:37,26
ComboFix 06.08.18 - Running from: F:\Programme\firefox

((((((((((((((((((((((((((((((( Files Created from 2006-07-21 to 2006-08-21 ))))))))))))))))))))))))))))))))))


2006-08-21 00:21 57,384 C:\WINDOWS\system32\avsda.dll
2006-08-07 23:53 892,416 C:\WinRAR.exe
2006-08-05 18:30 10,257,968 C:\antivir_workstation_win7u_de_h148.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-20 23:01 -------- d-------- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\LimeWire
2006-08-20 20:49 -------- d-------- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\last.fm
2006-08-05 18:44 10257968 --a------ C:\antivir_workstation_win7u_de_h148.exe
2006-07-17 19:17 90240 --a------ C:\WINDOWS\system32\drivers\sptd3117.sys
2006-07-17 19:14 -------- d-------- C:\Programme\Messenger
2006-07-17 19:13 -------- d-------- C:\Programme\Windows Media Player
2006-07-17 19:13 -------- d-------- C:\Programme\Outlook Express
2006-07-17 19:13 -------- d-------- C:\Programme\NetMeeting
2006-07-17 19:13 -------- d-------- C:\Programme\Movie Maker
2006-07-17 19:13 -------- d-------- C:\Programme\Internet Explorer
2006-07-15 18:10 129049184 --a------ C:\xpsp1a_de_x86.exe
2006-07-14 02:30 -------- d-------- C:\Programme\Winamp
2006-07-06 17:19 -------- d---s---- C:\Dokumente und Einstellungen\ranitzki\Anwendungsdaten\Microsoft
2006-07-06 15:21 -------- d-------- C:\Programme\Common Files
2006-07-06 13:11 -------- d--h----- C:\Programme\WindowsUpdate
2006-06-02 11:04 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\\PROGRA~1\\NVIDIA\\NETWOR~1\\bin\\nTrayFw.exe"
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"WinampAgent"="f:\\Programme\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PowerStrip"="f:\\programme\\powerstrip\\pstrip.exe"
"avgnt"="\"F:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="F:\\Spiele\\CS\\Steam.exe -silent"
"H/PC Connection Agent"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,b2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\H/PC Connection Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WCESCOMM"
"hkey"="HKCU"
"command"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"iPodService"=dword:00000003
"NetDDEdsdm"=dword:00000003
"NetDDE"=dword:00000003



Completion time: 21.08.2006 0:43:50.71
ComboFix.txt


hier noch die datfind logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D05C-C1EF

Verzeichnis von C:\WINDOWS\system32

21.08.2006 00:52 0 nmp.log
21.08.2006 00:37 0 _nvidia_xxx_.log
20.08.2006 17:11 2.262 wpa.dbl
17.07.2006 19:22 39.992 perfc009.dat
17.07.2006 19:22 316.594 perfh007.dat
17.07.2006 19:22 311.604 perfh009.dat
17.07.2006 19:22 48.156 perfc007.dat
17.07.2006 19:22 723.744 PerfStringBackup.INI
17.07.2006 19:17 110.992 FNTCACHE.DAT
02.06.2006 11:04 57.384 avsda.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
09.02.2006 00:42 2.368 SVKP.sys
06.02.2006 17:47 3.534 jupdate-1.5.0_03-b07.log
27.01.2006 18:51 34.064 lhacm.acm
Dieser Beitrag wurde am 21.08.2006 um 14:19 Uhr von ranitzki editiert.
Seitenanfang Seitenende
21.08.2006, 15:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2006, 17:06
...neu hier

Themenstarter

Beiträge: 10
#3 /e den ipod process da unten brauch ich eig nich, hab jedenfalls keinen ipod, also wenn man das abstellen kann, dann würd ich das gern tun, wie gehtn das?


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 1
Aug 21, 2006 17:05:13


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: f:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1964
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: f:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 2020
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: app_filter
Display Name: app_filter
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\nvidia\networ~1\bin\nsvcappflt.exe
State: Running
Process ID: 2596
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: ForcewareWebInterface
Display Name: Forceware Web Interface
Start Mode: Auto
Start Name: LocalSystem
Description: Apache...
Service Type: Own Process
Path: "c:\progra~1\nvidia\networ~1\apache group\apache2\bin\apache.exe" -k runservice
State: Running
Process ID: 216
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: iPodService
Display Name: iPodService
Start Mode: Disabled
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: nSvcIp
Display Name: ForceWare IP service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\nvidia\networ~1\bin\nsvcip.exe
State: Running
Process ID: 264
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 8
Service Name: nSvcLog
Display Name: ForceWare user log service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\nvidia\networ~1\bin\nsvclog.exe
State: Running
Process ID: 368
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: StarWindService
Display Name: StarWind iSCSI Service
Start Mode: Auto
Start Name: LocalSystem
Description: Enables network access to local devices via iSCSI ...
Service Type: Own Process
Path: f:\programme\alcohol 120\starwind\starwindservice.exe
State: Running
Process ID: 508
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #10
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{fefca81f-9b81-42eb-bf94-f61b614da478}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 88 Win32 services on this machine.
10 were unrecognized.

Script Execution Time: 0,609375 seconds.
Seitenanfang Seitenende
21.08.2006, 21:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 finde mit icesword raus, welche der svchost.exe die hohe Auislastung hervorruft und berichte
http://virus-protect.org/artikel/tools/icesword.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2006, 22:10
...neu hier

Themenstarter

Beiträge: 10
#5 also wenn man die auslastung mal von "mem usage" ( ich denk mal memory usage oder?) abhängig macht dann wäre es die svchost.exe mit der pid 1080 (ich hoffe das hilft dir), die hat im gegensatz zu den anderen dort einen deutlich höheren wert, nämlich ca 16000k und im peak ca 22000k

desweiteren zeigt mir icesword unter ssdt folgende dienste rot an:

kmodule: sptd.sys
name: NTCreateKey

kmodule: sptd.sys
name: NTEnumerateKey

kmodule: sptd.sys
name: NTEnumerateValueKey

kmodule: sptd.sys
name: NTopenKey

kmodule: sptd.sys
name: NTQueryKey

kmodule: sptd.sys
name: NTQueryValueKey

kmodule: sptd.sys
name: NTSetValueKey


/e was ich gerad noch entdeckt habe: unter log process/thread creation is die svchost.exe mit der pid 1080 jeweils untereinander einmal grün und einmal blau markiert, die erstellt etwa alle 3-4min einen thtread/progress mit namen wmiprvse.exe

hört sich in meinen laien ohren nicht gut an, was meint ihr?
Dieser Beitrag wurde am 21.08.2006 um 22:14 Uhr von ranitzki editiert.
Seitenanfang Seitenende
21.08.2006, 23:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
Sptd.sys is a part of Daemon tools software.

2.
wenn es das ist, solltest du formatieren:
http://www.sophos.de/security/analyses/w32sonebotb.html

3.
es kann sich aber auch handeln um:
Wmiprvse.exe
* Kontext: NETZWERKDIENST, kann nicht mit dem Task-Manager beendet werden.
* Wmiprvse.exe behandelt WMI (Windows Management Infrastructure) Operationen

----------------
4.
ich empfehle dir erst einmal eine Reperatur mit der Windows-CD zu machen und dann berichte.
Starte mit der Windows Installations CD und klicke dann auf reparieren.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2006, 23:48
...neu hier

Themenstarter

Beiträge: 10
#7 zu1) ah ok daemon tools das is ja dann nix schlimmes
2) hm die beschriebenen symptome treffen nur in den letzten beiden punkten zu, nämlich das erstellen des reg eintrages:

HKLM\System\CurrentControlSet\Control\lsa\
RestrictAnonymous = <Wert>
RestrictAnonymousSam = <Wert>

is die frage, kann es den unter umständen sowieso geben oder ist der in jedem fall von dem wurm erstellt worden?? und was wäre dann zu tun?

/e so hab mal danach gesucht, also das is nen wert die im netzwerk die zugriffsrechte steuert, insofern ist der immer da->ich mach schritt 4 ;) bis denne

zu4) ok das probier ich dann morgen mal, hoffe es bringt was

danke für deine mühe sabina, echt klasse ;)
Dieser Beitrag wurde am 21.08.2006 um 23:56 Uhr von ranitzki editiert.
Seitenanfang Seitenende
22.08.2006, 10:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ranitzki

1.
Start - Ausfuehren - cmd
wenn du eingetippt oder einkopiert hast hast: tasklist /svc

klicke oben links auf das Symbol, dann auf Edit -> "Selekt All" -> klicke wieder oben links - > Edit -> Copy

dann mit der rechten maustaste hier im Thread: einfuegen, dann erscheint das log und wir koennen nachsehen

Zitat

C:\>tasklist /svc

Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 480 N/A
csrss.exe 540 N/A
winlogon.exe 564 N/A
services.exe 608 Eventlog, PlugPlay
lsass.exe 620 PolicyAgent, SamSs
svchost.exe 808 RpcSs
Smc.exe 852 SmcService
svchost.exe 896 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, helpsvc, lanmanserver,
lanmanworkstation, Netman, Nla, RasAuto,
RasMan, seclogon, SENS, ShellHWDetection,
srservice, TapiSrv, TermService, TrkWks,
winmgmt, wuauserv
svchost.exe 956 Dnscache
explorer.exe 1112 N/A
ctfmon.exe 1540 N/A
svchost.exe 1836 WebClient
wmiapsrv.exe 1700 WmiApSrv
AcroRd32.exe 1888 N/A
firefox.exe 1916 N/A
cmd.exe 372 N/A
tasklist.exe 1856 N/A
wmiprvse.exe 524 N/A
2.
poste das log (am besten per Anhang ...siehe unten)
http://virus-protect.org/registry_stuff.html

3.
ueberpruefe die ports und schreibe, ob es "rot" gibt
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.08.2006, 13:59
...neu hier

Themenstarter

Beiträge: 10
#9 so:
1)
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\ranitzki>tasklist /svc

Abbildname PID Dienste
========================= ===== =============================================
System Idle Process 0 Nicht verfügbar
System 4 Nicht verfügbar
smss.exe 632 Nicht verfügbar
csrss.exe 712 Nicht verfügbar
winlogon.exe 744 Nicht verfügbar
services.exe 792 Eventlog, PlugPlay
lsass.exe 804 PolicyAgent, ProtectedStorage, SamSs
ati2evxx.exe 960 Ati HotKey Poller
svchost.exe 1004 RpcSs
svchost.exe 1080 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
HidServ, lanmanserver, lanmanworkstation,
Messenger, Netman, Nla, Schedule, seclogon,
SENS, ShellHWDetection, srservice,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, WmdmPmSp, wuauserv, WZCSVC
svchost.exe 1212 Dnscache
svchost.exe 1272 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe 1436 Spooler
ati2evxx.exe 1740 Nicht verfügbar
explorer.exe 1792 Nicht verfügbar
nTrayFw.exe 1864 Nicht verfügbar
SOUNDMAN.EXE 1876 Nicht verfügbar
jusched.exe 1904 Nicht verfügbar
winampa.exe 1928 Nicht verfügbar
qttask.exe 1936 Nicht verfügbar
pstrip.exe 1956 Nicht verfügbar
avgnt.exe 1964 Nicht verfügbar
sched.exe 2012 AntiVirScheduler
avguard.exe 220 AntiVirService
Apache.exe 264 ForcewareWebInterface
Steam.exe 304 Nicht verfügbar
nSvcIp.exe 328 nSvcIp
nSvcLog.exe 448 nSvcLog
wcescomm.exe 536 Nicht verfügbar
Apache.exe 664 Nicht verfügbar
StarWindService.exe 768 StarWindService
nSvcAppFlt.exe 2628 app_filter
winamp.exe 2816 Nicht verfügbar
ICQLite.exe 3296 Nicht verfügbar
wuauclt.exe 3716 Nicht verfügbar
firefox.exe 3760 Nicht verfügbar
ID3-TagIT.exe 212 Nicht verfügbar
cmd.exe 3240 Nicht verfügbar
wmiprvse.exe 3276 Nicht verfügbar
tasklist.exe 2960 Nicht verfügbar
wmiprvse.exe 2936 Nicht verfügbar

3) alles grün

C:\Dokumente und Einstellungen\ranitzki>

Anhang: look1.txt
Dieser Beitrag wurde am 22.08.2006 um 14:11 Uhr von ranitzki editiert.
Seitenanfang Seitenende
22.08.2006, 21:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.) du musst die Windowsupdates machen, fuehrt kein Weg dran vorbei
2.)Windows-Dienste abschalten! -anwenden
http://www.dingens.org
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.08.2006, 22:44
...neu hier

Themenstarter

Beiträge: 10
#11 meinste mit windowsupdates sp2 oder waS?
punkt 2 werd ich mal machen
vielen dank für deine arbeit ;)
greetz ranitzki
Seitenanfang Seitenende
23.08.2006, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 mit WindowsUpdates meinte ich SP2 ......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende