Home » Viren, Trojaner & Malware Forum » Services.exe treibt CPU und Netzwerkauslastung in die Höhe » Themenansicht

Services.exe treibt CPU und Netzwerkauslastung in die Höhe
#0
07.04.2007, 20:54
Avarax
...neu hier

Beiträge: 1
#1 Hi, habe das Problem, dass alle halbe Stunde oder so mein Rechner wie verrückt zu hängen anfängt. Im Task-Manager wird währenddessen "services.exe" mit nahezu 100% CPU Auslastung angezeigt. Hab im Forum schon die Suchfunktion benutzt, aber bevor ich irgendwas falsch mache lasse ich mich lieber individuell beraten. Hier mein hijackthis log. Spybot Search & Destroy hat nichts gefunden.
Ich benutze Win XP Professional

Logfile of HijackThis v1.99.1
Scan saved at 20:45:14, on 07.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\andere\MozillaFirefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\andere\winace\WinAce.exe
C:\Programme\HiJackThis\HijackThis.exe

F1 - win.ini: run= D:\SPIELA\ALARM\INSTICON.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - C:\Programme\iVideoCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\System32\brwconf.exe
O4 - HKLM\..\Run: [wmvdiag] C:\WINDOWS\System32\wmvconf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O20 - AppInit_DLLs: confbrw.dll brwstat.dll ccfgwshb.dll confwmv.dll wmvstat.dll e1.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: mprwanp - C:\WINDOWS\System32\mprwanp.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\System32\slbipsch.dll (file missing)
O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\SYSTEM32\wmvmgr32.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\Ruben"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\vbzip11.dll


((((((((((((((((((((((((((((((( Files Created from 2007-03-07 to 2007-04-07 ))))))))))))))))))))))))))))))))))


2007-04-07 20:47 89,596 --a------ C:\WINDOWS\system32\mprwanp.exe
2007-04-07 20:47 177,152 --a------ C:\WINDOWS\gen.exe
2007-04-07 19:18 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-07 19:12 <DIR> d-------- C:\Programme\Security Task Manager
2007-04-07 19:12 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-04-07 18:32 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-04-07 18:32 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-04-07 18:32 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-04-07 18:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-04-07 18:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-04-07 18:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-04-07 18:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-04-07 18:32 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-04-07 13:49 56,320 --a------ C:\WINDOWS\d1.exe
2007-03-29 11:41 0 --a------ C:\WINDOWS\x0h7bh.reg
2007-03-16 20:56 102,400 --a------ C:\WINDOWS\system32\7sRt1pA.dll
2007-03-15 13:56 0 --a------ C:\WINDOWS\adc.dat
2007-03-09 15:50 4,890 --a------ C:\WINDOWS\SC2KDT.REG
2007-03-09 15:50 1,061,376 --a------ C:\WINDOWS\system32\The Mad Zoner.scr


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-07 20:47 4 --a------ C:\WINDOWS\system32\mprwanp.dat
2007-04-07 20:35 -------- d-------- C:\Programme\mirc
2007-04-07 18:48 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-07 18:48 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-28 12:50 -------- d-------- C:\Programme\soulseek
2007-03-05 21:27 -------- d-------- C:\Programme\ws_ftp
2007-03-02 20:39 15560 --ah----- C:\WINDOWS\system32\mlfcache.dat
2007-02-27 16:02 0 --a------ C:\WINDOWS\odfvf.dat
2007-02-26 22:19 111227 --a------ C:\WINDOWS\system32\drivers\dump_wmimmc.sys
2007-02-20 13:41 173568 --a------ C:\WINDOWS\mac.exe
2007-02-17 17:55 17480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-02-14 17:26 16 --a------ C:\WINDOWS\sqhos32.dat
2007-02-08 22:51 53248 --ah----- C:\WINDOWS\system32\wmvprf32.dll
2007-02-08 22:51 53248 --ah----- C:\WINDOWS\system32\confwmv.dll
2007-02-08 22:51 40960 --ah----- C:\WINDOWS\system32\wmvperf.exe
2007-02-08 22:51 360448 --ah----- C:\WINDOWS\system32\wmvmgr32.dll
2007-02-08 22:51 147456 --ah----- C:\WINDOWS\system32\wmvstat.dll
2007-02-06 22:20 28672 --a------ C:\WINDOWS\system32\ccfgwshb.dll
2007-02-06 22:20 24576 --a------ C:\WINDOWS\system32\idqdfrg.dll
2007-02-06 22:20 20480 --a------ C:\WINDOWS\system32\msltmsim.exe
2007-02-06 22:20 114688 --a------ C:\WINDOWS\system32\mprwanp.dll
2007-01-23 17:51 16 --a------ C:\WINDOWS\sqhost.dat
2007-01-22 19:33 0 --a------ C:\WINDOWS\in0r6hai.reg
2007-01-20 01:50 932 --a------ C:\WINDOWS\system32\tmp.reg
2007-01-18 19:43 0 --a------ C:\WINDOWS\ftg71cj1qx.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"C-Media Mixer"="Mixer.exe /startup"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"brwdiag"="C:\\WINDOWS\\System32\\brwconf.exe"
"wmvdiag"="C:\\WINDOWS\\System32\\wmvconf.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="confbrw.dll brwstat.dll ccfgwshb.dll confwmv.dll wmvstat.dll e1.dll"


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mprwanp
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wmvmgr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a10fa6c-261d-11db-9693-00138f139f66}]
Shell\AutoRun\command F:\SETUP.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a10fa6d-261d-11db-9693-00138f139f66}]
Shell\AutoRun\command G:\autoplay.exe


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-07 21:18:39
C:\ComboFix-quarantined-files.txt ... 07-04-07 21:18

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCB3-9F41

Verzeichnis von C:\WINDOWS\system32

07.04.2007 20:47 4 mprwanp.dat
07.04.2007 20:47 89.596 mprwanp.exe
07.04.2007 18:48 392.296 perfh009.dat
07.04.2007 18:48 58.596 perfc009.dat
07.04.2007 18:48 405.118 perfh007.dat
07.04.2007 18:48 70.580 perfc007.dat
07.04.2007 18:48 938.224 PerfStringBackup.INI
06.04.2007 13:35 2.184 wpa.dbl
16.03.2007 20:56 102.400 7sRt1pA.dll
02.03.2007 20:39 15.560 mlfcache.dat
08.02.2007 22:51 147.456 wmvstat.dll
08.02.2007 22:51 53.248 wmvprf32.dll
08.02.2007 22:51 53.248 confwmv.dll
08.02.2007 22:51 360.448 wmvmgr32.dll
08.02.2007 22:51 40.960 wmvperf.exe
06.02.2007 22:20 114.688 mprwanp.dll
06.02.2007 22:20 24.576 idqdfrg.dll
06.02.2007 22:20 20.480 msltmsim.exe
06.02.2007 22:20 28.672 ccfgwshb.dll
06.02.2007 22:20 0 slbipsch.z1
06.02.2007 22:20 0 7B.tmp
20.01.2007 01:50 0 tmp.txt
20.01.2007 01:50 932 tmp.reg
27.12.2006 15:31 43.520 CmdLineExt03.dll
18.12.2006 18:09 49.152 brwprf32.dll
18.12.2006 18:09 126.976 brwstat.dll
18.12.2006 18:09 53.248 confbrw.dll
18.12.2006 18:09 40.960 brwperf.exe
18.12.2006 18:09 335.872 brwmgr32.dll
17.12.2006 15:25 20.480 e1.dll
15.10.2006 19:40 848 KGyGaAvL.sys
15.10.2006 19:40 56 D050AB179A.sys
15.10.2006 14:57 124.520 FNTCACHE.DAT
04.10.2006 08:46 1.378.064 msvbvm60.dll
02.09.2006 01:10 7.006 jupdate-1.5.0_06-b05.log
Dieser Beitrag wurde am 07.04.2007 um 21:22 Uhr von Avarax editiert.
Seitenanfang Seitenende
08.04.2007, 08:43
raman
Moderator

Beiträge: 7805
#2 Du bist seit ueber einem Quartal mit u.a. Warezov infiziert:
17.12.2006 15:25 20.480 e1.dll

und es ist kein AV oder aehnliches installiert, dein Windows hat noch nie ein Update gesehen. Ich wuerde mir da nicht die Muehe machen, irgendetwas zu reinigen sondern setz gleich neu auf http://board.protecus.de/t13020.htm

Nebenbei verschickt dein Warezov immer infizierte Mails.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1