Services.exe 2x vorhanden -> 100% Systemauslastung

#0
08.08.2007, 08:22
...neu hier

Beiträge: 3
#1 Morgen,

seit kurzen hab ich auf dem Rechner die services.exe doppelt. Ein Prozess verhält sich ganz normal. Der andere Prozess lastet das System zu 100% aus. Ich habe alles mögliche schon versucht. Kaspersky findet ihn nicht wirklich, Ad-Aware, Rootkit Detective und wie sie alle heißen können mir auch nicht helfen. Ich hab jetzt mal einen HiJackThis-Log erstellt, in der Hoffnung das mir jemand auf dieser Basis helfen kann. Leider eilt es ein bisschen, da es ein Kunden-PC ist.

Hier mal das Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 08:16, on 2007-08-08
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\TBPanel.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Diskset\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll
O2 - BHO: (no name) - {545E77AD-1B80-4A01-8E7F-DDB37D97B2C8} - C:\WINNT\system32\rqrppnn.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {AB046664-5626-44B7-ADD6-E9E2FA19C0FF} - C:\WINNT\system32\efcdc.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {CA10FA04-867E-4ADB-B5D2-BA22A2415C92} - C:\WINNT\system32\khhec.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b834dfe16d5331fc14/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159990930729
O17 - HKLM\System\CCS\Services\Tcpip\..\{3999419E-6FD2-4FE1-B28A-D129A8385FFE}: NameServer = 192.168.240.1
O20 - AppInit_DLLs: c:\winnt\system32\ldcore.dll
O20 - Winlogon Notify: efcdc - C:\WINNT\system32\efcdc.dll (file missing)
O20 - Winlogon Notify: fccdddb - fccdddb.dll (file missing)
O20 - Winlogon Notify: fccyyay - fccyyay.dll (file missing)
O20 - Winlogon Notify: hgghghf - hgghghf.dll (file missing)
O20 - Winlogon Notify: iifcdab - iifcdab.dll (file missing)
O20 - Winlogon Notify: khhec - C:\WINNT\system32\khhec.dll
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O20 - Winlogon Notify: ljjjgff - ljjjgff.dll (file missing)
O20 - Winlogon Notify: nnnkhhh - nnnkhhh.dll (file missing)
O20 - Winlogon Notify: rqrppnn - rqrppnn.dll (file missing)
O20 - Winlogon Notify: tuvuttt - tuvuttt.dll (file missing)
O20 - Winlogon Notify: tuvuusq - tuvuusq.dll (file missing)
O20 - Winlogon Notify: winxib32 - winxib32.dll (file missing)
O20 - Winlogon Notify: wvursst - wvursst.dll (file missing)
O20 - Winlogon Notify: yayawts - yayawts.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Desktop Help - Unknown owner - C:\WINNT\svchost.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
Ich weiß es sind scheinbar noch andere Viren, Trojaner, was auch immer drauf. Der Rechner kam zu uns und Kaspersky hat erstmal ca 150 gefährliche Objekte gefunden. Dieser konnte jedoch nicht alle entfernen. Ich brauch also nen Tip wie ich den Rechner wieder komplett sauber bekomme.


So ich danke schon mal für die Hilfe.

Gruß Klaus
Dieser Beitrag wurde am 08.08.2007 um 08:32 Uhr von KlausWuschel editiert.
Seitenanfang Seitenende
08.08.2007, 11:54
Moderator

Beiträge: 7805
#2 Ja, da ist noch einiges. Teste folgende Dinge bitte bei Jotti oder Virustotal :


C:\WINNT\system32\khhec.dll
C:\WINNT\svchost.exe
c:\winnt\system32\ldcore.dll


Poste bitte diese Ergebnisse und erstelle noch die ausstehenden Reporte. Bitte in der Reihenfolge erstellen und posten, wie hier angegeben: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.08.2007, 16:44
...neu hier

Themenstarter

Beiträge: 3
#3 Danke erstmal für deine Hilfe, aber es ist nun nicht mehr nötig. Der Kunde hat sich nach einiger Diskussion doch dazu entschieden einen neuen Rechner zu kaufen, da das instand setzten des alten wahrscheinlich den Wert eines neuen überschritten hätte.

Gruß Klaus
Seitenanfang Seitenende
08.08.2007, 17:10
Moderator

Beiträge: 7805
#4 Wau! Verkauft ihr so billige Rechner, oder sind eure Stundensaetze so hoch? ;)

Es waere aber trotzdem interessant zu erfahren, welche Art Malware das ist. Darum, wenn du noch Zugriff auf den Rechner hast, teste die Dateien bitte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.08.2007, 09:03
...neu hier

Themenstarter

Beiträge: 3
#5 Morgen,

sry aber der Rechner ist schon nicht mehr hier bei uns. Naja du weißt ja sicher selber das nen neuer Rechner nicht mehr als 400 - 500 € kostet. Ne Firma brauch ja keinen Spiele - PC. Und da ich an dem alten Rechner wirklich relativ lang dran gesessen hab würden sich die Kosten ungefähr decken ;)

Gruß Klaus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: