GELÖST csrss.exe und winlogon.exe - 2mal/doppelt mit bis zu 80% CPU

Diskutiere csrss.exe und winlogon.exe - 2mal/doppelt mit bis zu 80% CPU im WinXP - Allgemeines Forum im Bereich Windows XP Forum; hi! ich habe seit einiger zeit immer mal wieder das prob, dass mein sytem total hängt und kaum noch benutzbar ist, weil die CPU auslastung...
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
hi!

ich habe seit einiger zeit immer mal wieder das prob, dass mein sytem total hängt und kaum noch benutzbar ist, weil die CPU auslastung laufend hin-und-her springt (0-spitzen cpu diagramm), von ca. 10% zu 80%.

auslöser ist ein 2. prozess-baum von der csrss.exe inkl. winlogon.exe
(folgende daten beziehen sich auf den 2. bzw. doppelten prozess - nicht dem ersten, der ganz normal ohne probs läuft.)

quelle: process explorer by sysinternals

###

Client Server Runtime Process

version: 5.1.2600.5512
C:\WINDOWS\system32\csrss.exe

command line:
C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,8192,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

threads: 9
TID | Start Address
4932 | CSRSRV.dll!CsrValidateMessageString+0x17d
4900 | winsrv.dll+0x7d63
4904 | winsrv.dll!ConServerDllInitialization+0x35f4
4908 | CSRSRV.dll!CsrValidateMessageString+0x17d
4912 | CSRSRV.dll!CsrUnhandledExceptionFilter+0x936
4124 | winsrv.dll+0x7fd4
4128 | winsrv.dll+0x30a66
4132 | winsrv.dll+0x7cdf
4136 | winsrv.dll+0x7cdf

security:
Group | Flags
Everyone | Mandatory
NT AUTHORITY\Authenticated Users | Mandatory
BUILTIN\Administrators | Owner

permissions:
Administrators = Allow: Special Permissions
SYSTEM = Allow: Full Control / Read / Write

###

Windows NT Logon Application

version: 5.1.2600.5512
C:\WINDOWS\system32\winlogon.exe

command line:
winlogon.exe

threads:
TID | Start Address
7296 | winlogon.exe+0x3e5e1
1452 | RPCRT4dll!l_RpcBCacheFree+0x5ea
7020 | ntdll.dll!RtlQueueWorkItem+0x283
7284 | ntdll.dll!RtlAllocateHeap+0x18c
8068 | ntdll.dll!RtlDowncaseUnicodeString+0x75

security:
Group | Flags
Everyone | Mandatory
NT AUTHORITY\Authenticated Users | Mandatory
BUILTIN\Administrators | Owner

permissions:
Administrators = Allow: Special Permissions
SYSTEM = Allow: Full Control / Read / Write

###

Client Server Runtime Process DLL
csrsrv.dll | 5.1.2600.5915
C:\WINDOWS\system32

Windows Server DLL
winsrv.dll | 5.1.2600.5512
C:\WINDOWS\system32

Remote Procedure Call Runtime DLL
rpcrt4.dll | 5.1.2600.5795
C:\WINDOWS\system32

NT Layer DLL
ntdll.dll | 5.1.2600.5755
C:\WINDOWS\system32

###

OS Name | Microsoft Windows XP Professional
OS Version | 5.1.2600 (WinXP Retail)
OS Service Pack | Service Pack 3

Common Controls| 6.00
Internet Explorer | 6.0.2900.5512
Internet Explorer Updates| SP3
Outlook Express | 6.00.2900.5512 (xpsp.080413-2105)
Windows Media Player |11.0.5721.5145 (WMP_11.061018-2006)
Windows Messenger | 5.1.0706
MSN Messenger | -
Internet Information Services (IIS) | -
.NET Framework | 3.0.6920.4016 built by: GDR
Novell Client | -
DirectX | 4.09.00.0904 (DirectX 9.0c)
OpenGL | 5.1.2600.5512 (xpsp.080413-0845)
ASP I| 4.60 (1021)

###

hab schon gegoogelt, leider nichts brauchbares gefunden. es bezieht sich immer alles auf falsche bzw. infizierte versionen der beiden exe.
meine sind die originalen (version + pfad) und sauber ...dateien + system wurde hoch und runtergescannt mit div. tools!


woran kann das liegen bzw. wie werde ich das wieder los?
(...bitte keine originellen "format & neu-installation" hinweise ;-) - thx!)
 
Zuletzt bearbeitet:
S

Snohomish

Gast
Hallo delatoy!

Was passiert denn, wenn Du den problematischen 2. Prozess beendest?
Startet der sich wieder von selbst?
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
also der erste ist je ein kritischer system process... das windows gibt dann an, dass es neu starten muss und wird beendet.

der zweite killt und lädt sich laufend neu, schwierig zu fassen... aber wenn ich es zu fassen bekomme, gibt er dieselbe meldung raus wie beim ersten. sind ja dieselben dateien bzw. prozesse. versteh nur nicht warum der sich nochmal lädt und wozu?

was machen die csrss.exe und winlogon.exe eigentlich genau bzw. wofür sind die?
...dachte zur benutzeranmeldung vom windows system und wenn man sich im netzwerk mit servern verbindet?! geht das bei euch auch ins internet, z.b. zum windows update server?
 
S

Snohomish

Gast
hab schon gegoogelt, leider nichts brauchbares gefunden. es bezieht sich immer alles auf falsche bzw. infizierte versionen der beiden exe.
meine sind die originalen (version + pfad) und sauber ...dateien + system wurde hoch und runtergescannt mit div. tools!
@delatoy

Hast Du mehrere Sicherheitstools installiert? (auch wenn man viele hat, die nicht als hintergrundwächter laufen, aber ins kontextmenü eingebunden sind, können die extrem bremsen - hab's selbst erlebt)

Wenn nicht:
Poste bitte mal ein HiJackThisLog.

http://www.hijackthis.de/

2 mal csrss. exe ist legitim(einmal system,einmal aktueller benutzer), aber die sprunghafte cpu-auslastung ist mir auch schleierhaft.

Wie sieht es mit einer Systemwiederherstellung aus?
Ansonsten würde ich auch - entgegen deinem wunsch - zu einer neuinstallation raten.

mfg
Snohomish
 
Zuletzt bearbeitet:
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
also der erste ist je ein kritischer system process... das windows gibt dann an, dass es neu starten muss und wird beendet.

der zweite killt und lädt sich laufend neu, schwierig zu fassen... aber wenn ich es zu fassen bekomme, gibt er dieselbe meldung raus wie beim ersten. sind ja dieselben dateien bzw. prozesse. versteh nur nicht warum der sich nochmal lädt und wozu?

was machen die csrss.exe und winlogon.exe eigentlich genau bzw. wofür sind die?
...dachte zur benutzeranmeldung vom windows system und wenn man sich im netzwerk mit servern verbindet?! geht das bei euch auch ins internet, z.b. zum windows update server?
csrss.exe
Dies ist der auf den Benutzermodus bezogene Teil des Win32-Subsystems; "Win32.sys" ist der auf den Kernelmodus bezogenen Teil. Csrss ist kurz für Client/Server Run-Time Subsystem, und ist ein wichtiges Subsystem, das immer laufen muss. Csrss ist zuständig für die Konsolenfenster, das Anlegen und Beenden von Threads und implementiert manche Teile der 16-Bit virtuellen MS-DOS-Umgebung.

winlogon.exe

Der Prozess "winlogon.exe" ermöglicht das An- und Abmelden von Benutzer und läuft deswegen ständig im Hintergrund mit. Es überprüft auch den Windows Aktivierungscode.
Wichtig: Die Datei "winlogon.exe" befindet sich im Ordner C:\Windows\System32.



www.chip.de
/downloads/HijackThis_13011934.html


bitte installieren und logfile hier posten


@snohomisch

sorry leider überschnitten aber der selbe gedanke:D
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:27, on 02.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Universal Shield\US30Service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\VistaDriveIcon\DrvIcon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\GPSoftware\Directory Opus\DOpus.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\PROGRA~1\Nero\Nero8\NEROTO~1\DRIVES~1.EXE
C:\Program Files\ArsClip\ArsClip.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Cookie Killer\cookiekiller.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\stickies\stickies.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Process Explorer\procexp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Program Files\STOPzilla!\SZIEBHO.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Adblock Pro - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - C:\Program Files\Adblock Pro\AdblockPro.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMonTaskbar.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DOpus] C:\Program Files\GPSoftware\Directory Opus\DOpus.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Nero DriveSpeed] "C:\PROGRA~1\Nero\Nero8\NEROTO~1\DRIVES~1.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ArsClip.lnk = C:\Program Files\ArsClip\ArsClip.exe
O4 - Global Startup: CookieKiller.lnk = C:\Program Files\Cookie Killer\cookiekiller.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: &Block This Image (ABP) - C:\Program Files\Adblock Pro\blockimg.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?99f90bf08eee4c469f1f162dcee5daab
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?99f90bf08eee4c469f1f162dcee5daab
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll
O9 - Extra 'Tools' menuitem: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266472883640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1266472862109
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: STOPzilla Service (szserver) - iS3, Inc. - C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: US30Service - Unknown owner - C:\Program Files\Universal Shield\US30Service.exe
---


---
Logfile of HiJackFree v4.0
Scan saved at 15:30:46, on 02.09.2010
Platform: Windows XP Service Pack 3 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 6.0 Service Pack 3 (6.0.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Universal Shield\US30Service.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\VistaDriveIcon\DrvIcon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\GPSoftware\Directory Opus\DOpus.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\PROGRA~1\Nero\Nero8\NEROTO~1\DRIVES~1.EXE
C:\Program Files\ArsClip\ArsClip.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Cookie Killer\cookiekiller.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\stickies\stickies.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Process Explorer\procexp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackFree\a2hijackfree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PC Tools Browser Guard BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Program Files\STOPzilla!\SZIEBHO.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Adblock Pro - {F385C231-605B-4d8f-ACA9-DBFF765BBE17} - C:\Program Files\Adblock Pro\AdblockPro.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [UltraMon] "C:\Program Files\UltraMon\UltraMonTaskbar.exe"
O4 - HKLM\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKLM\..\Run: [DOpus] C:\Program Files\GPSoftware\Directory Opus\DOpus.exe
O4 - HKLM\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKLM\..\Run: [Nero DriveSpeed] "C:\PROGRA~1\Nero\Nero8\NEROTO~1\DRIVES~1.EXE"
O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - Regedit - Enabled
O8 - Extra context menu item: &Block This Image (ABP) - C:\Program Files\Adblock Pro\blockimg.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?99f90bf08eee4c469f1f162dcee5daab
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?99f90bf08eee4c469f1f162dcee5daab
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\SWFCatcher.dll
O9 - Extra "Tools" menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\SWFCatcher.dll
O9 - Extra button: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll
O9 - Extra "Tools" menuitem: Adblock Pro Preferences - {E7FD3540-AB30-40f1-91E7-101F733C1FD5} - C:\Program Files\Adblock Pro\AdblockPro.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O9 - Extra "Tools" menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266472883640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1266472862109
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: SysTray -
O21 - ShellServiceObjectDelayLoad: WPDShServiceObj -
O22 - SharedTaskScheduler: Browseui preloader - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Alerter - C:\WINDOWS\System32\svchost.exe
O23 - Service: Application Layer Gateway Service - C:\WINDOWS\System32\alg.exe
O23 - Service: Application Management - C:\WINDOWS\system32\svchost.exe
O23 - Service: ASP.NET State Service - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: Windows Audio - C:\WINDOWS\System32\svchost.exe
O23 - Service: avast! Antivirus - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Background Intelligent Transfer Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Computer Browser - C:\WINDOWS\System32\svchost.exe
O23 - Service: Browser Defender Update Service - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Indexing Service - C:\WINDOWS\System32\cisvc.exe
O23 - Service: ClipBook - C:\WINDOWS\system32\clipsrv.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: COM+ System Application - C:\WINDOWS\System32\dllhost.exe
O23 - Service: Cryptographic Services - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM Server Process Launcher - C:\WINDOWS\system32\svchost
O23 - Service: DHCP Client - C:\WINDOWS\System32\svchost.exe
O23 - Service: Logical Disk Manager Administrative Service - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logical Disk Manager - C:\WINDOWS\System32\svchost.exe
O23 - Service: DNS Client - C:\WINDOWS\System32\svchost.exe
O23 - Service: Wired AutoConfig - C:\WINDOWS\System32\svchost.exe
O23 - Service: Extensible Authentication Protocol Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Error Reporting Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Event Log - C:\WINDOWS\system32\services.exe
O23 - Service: COM+ Event System - C:\WINDOWS\System32\svchost.exe
O23 - Service: Fast User Switching Compatibility - C:\WINDOWS\System32\svchost.exe
O23 - Service: FLEXnet Licensing Service - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Windows Presentation Foundation Font Cache 3.0.0.0 - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Service: Help and Support - C:\WINDOWS\System32\svchost.exe
O23 - Service: Human Interface Device Access - C:\WINDOWS\System32\svchost.exe
O23 - Service: Health Key and Certificate Management Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: HTTP SSL - C:\WINDOWS\System32\svchost.exe
O23 - Service: InstallDriver Table Manager - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows CardSpace - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
O23 - Service: IMAPI CD-Burning COM Service - C:\WINDOWS\System32\imapi.exe
O23 - Service: Server - C:\WINDOWS\System32\svchost.exe
O23 - Service: Workstation - C:\WINDOWS\System32\svchost.exe
O23 - Service: TCP/IP NetBIOS Helper - C:\WINDOWS\System32\svchost.exe
O23 - Service: Messenger - C:\WINDOWS\System32\svchost.exe
O23 - Service: NetMeeting Remote Desktop Sharing - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator - C:\WINDOWS\System32\msdtc.exe
O23 - Service: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Service: Network Access Protection Agent - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network DDE - C:\WINDOWS\system32\netdde.exe
O23 - Service: Network DDE DSDM - C:\WINDOWS\system32\netdde.exe
O23 - Service: Net Logon - C:\WINDOWS\System32\lsass.exe
O23 - Service: Network Connections - C:\WINDOWS\System32\svchost.exe
O23 - Service: Net.Tcp Port Sharing Service - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
O23 - Service: Network Location Awareness (NLA) - C:\WINDOWS\System32\svchost.exe
O23 - Service: NT LM Security Support Provider - C:\WINDOWS\System32\lsass.exe
O23 - Service: Removable Storage - C:\WINDOWS\system32\svchost.exe
O23 - Service: NVIDIA Display Driver Service - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Microsoft Office Diagnostics Service - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
O23 - Service: Office Source Engine - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service: Plug and Play - C:\WINDOWS\system32\services.exe
O23 - Service: IPSEC Services - C:\WINDOWS\System32\lsass.exe
O23 - Service: Protected Storage - C:\WINDOWS\system32\lsass.exe
O23 - Service: Remote Access Auto Connection Manager - C:\WINDOWS\System32\svchost.exe
O23 - Service: Remote Access Connection Manager - C:\WINDOWS\System32\svchost.exe
O23 - Service: Remote Desktop Help Session Manager - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Routing and Remote Access - C:\WINDOWS\System32\svchost.exe
O23 - Service: Remote Registry - C:\WINDOWS\system32\svchost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Procedure Call (RPC) Locator - C:\WINDOWS\System32\locator.exe
O23 - Service: Remote Procedure Call (RPC) - C:\WINDOWS\system32\svchost
O23 - Service: QoS RSVP - C:\WINDOWS\System32\rsvp.exe
O23 - Service: Security Accounts Manager - C:\WINDOWS\system32\lsass.exe
O23 - Service: Smart Card - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Task Scheduler - C:\WINDOWS\System32\svchost.exe
O23 - Service: PC Tools Auxiliary Service - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Secondary Logon - C:\WINDOWS\System32\svchost.exe
O23 - Service: System Event Notification - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) - C:\WINDOWS\System32\svchost.exe
O23 - Service: Shell Hardware Detection - C:\WINDOWS\System32\svchost.exe
O23 - Service: Sygate Personal Firewall Pro - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Print Spooler - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: System Restore Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: SSDP Discovery Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows Image Acquisition (WIA) - C:\WINDOWS\System32\svchost.exe
O23 - Service: MS Software Shadow Copy Provider - C:\WINDOWS\System32\dllhost.exe
O23 - Service: Performance Logs and Alerts - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: STOPzilla Service - C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe
O23 - Service: Telephony - C:\WINDOWS\System32\svchost.exe
O23 - Service: Terminal Services - C:\WINDOWS\System32\svchost
O23 - Service: Themes - C:\WINDOWS\System32\svchost.exe
O23 - Service: Telnet - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Distributed Link Tracking Client - C:\WINDOWS\system32\svchost.exe
O23 - Service: Acronis Try And Decide Service - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Universal Plug and Play Device Host - C:\WINDOWS\System32\svchost.exe
O23 - Service: Uninterruptible Power Supply - C:\WINDOWS\System32\ups.exe
O23 - Service: US30Service - C:\Program Files\Universal Shield\US30Service.exe
O23 - Service: vsdatant -
O23 - Service: Volume Shadow Copy - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Time - C:\WINDOWS\System32\svchost.exe
O23 - Service: WebClient - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows Management Instrumentation - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Live Setup Service - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Portable Media Serial Number Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows Management Instrumentation Driver Extensions - C:\WINDOWS\System32\svchost.exe
O23 - Service: WMI Performance Adapter - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Windows Media Player Network Sharing Service - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: Security Center - C:\WINDOWS\System32\svchost.exe
O23 - Service: Automatic Updates - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework - C:\WINDOWS\system32\svchost.exe
O23 - Service: Wireless Zero Configuration - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network Provisioning Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - C:\Program Files\CyberLink\PowerDVD\000.fcl
---
 
Zuletzt bearbeitet:
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
@delatoy

Hast Du mehrere Sicherheitstools installiert? (auch wenn man viele hat, die nicht als hintergrundwächter laufen, aber ins kontextmenü eingebunden sind, können die extrem bremsen - hab's selbst erlebt)

mfg
Snohomish
jo, hatte ich auch mal erlebt.. spysweeper oder counterspy war das!
dachte mich tritt ein pferd ;) ...bis ich das rausgefunden habe, dass es an dem lag, vergingen wochen. hat extrem alles runtergebremst, weil es alles immer wohl mit einem miserabelsten code laufend scannte - völlig unbrauchbar!

PS: spyware doctor und stopzilla habe ich erst seit kurzem (aber nur offline eingebunden/läuft also nicht im background), das problem bestand aber auch vorher schon.


...nochmals die frage: wohin z.b. verbinden denn bei euch die csrss.exe und winlogon.exe? oder sind die komplett ruhig und immer nur lokal/offline?
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:27, on 02.09.2010

meldung
C:\Program Files\stickies\stickies.exe
Art
Sicher
Besucherbewertung
Sicher

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\stickies\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Virtual Post-It
_________________________________________________________________
C:\Program Files\Cookie Killer\cookiekiller.exe
Art
Dies ist ein unbekannter Prozess.
4 - Global Startup: CookieKiller.lnk = C:\Program Files\Cookie Killer\cookiekiller.exe
Nicht bekanntes Programm.
_________________________________________________________________

Logfile of HiJackFree v4.0
Scan saved at 15:30:46, on 02.09.2010
O7 - Regedit - Enabled
Art
Sofort fixen! Grundsätzlich fixen!
________________________________________________________________

O23 - Service: DCOM Server Process Launcher - C:\WINDOWS\system32\svchost

Art
Unbekannter Dienst. (svchost)

O23 - Service: Remote Procedure Call (RPC) - C:\WINDOWS\system32\svchost
Art
Unbekannter Dienst. (svchost)

O23 - Service: Terminal Services - C:\WINDOWS\System32\svchost
Art
Unbekannter Dienst. (svchost)

O23 - Service: vsdatant -
Art
Unbekannter Dienst. ()

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.d
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

Das mal zu deinen logfiles
und wie immer ohne Gewär
----------------------------------------------------------------------------------------------
..nochmals die frage: wohin z.b. verbinden denn bei euch die csrss.exe und winlogon.exe? oder sind die komplett ruhig und immer nur lokal/offline?
s. post 5#

bei mir XP SP3 keine cpu auslastung der o.g. prozesse
nur bei anforderung
 
Zuletzt bearbeitet:
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
stickies ist sowas wie yellow notes.
- hab ich eben in einen logischen ordner gesetzt. inet traffic ist off!

cookiekiller wie der name schon sagt...

###

so... jetzt wirds interessant, da ich ich eben bei den letzten prob vorfällen heute mal meine firewall logs auch angeschaut habe.
zeitgleich - und nur dann solange die crss und winlogon spinnen - kommen über die svchost.exe remote incomes aus england rein (TCP port 3389).

DCOM ist doch n standard windows prozess/service?
RPC auch...
Terminal Services ebenso... :confused

###

rest ist PCTools.

---
soll ich erstmal fixen?
und für svchost den TCP port 3389 blockieren?
 
S

Snohomish

Gast
delatoy, nur noch mal zum Verständnis:

Du hast keinen Wiederherstellungspunkt von einem Zeitraum, als noch alles normal lief?
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
nein, kein restore point!

hab die remote geschichte am laufen, weil ich viel mit remote desktop help über den windows live messenger gearbeitet habe. wohl keine gute ideee gewesen... :cheesy

inzwischen mach ich das aber nur noch mit teamviewer... weiss jetzt nicht ob der auf das windows remote RDP usw. angewiesen ist?!
 
Zuletzt bearbeitet:
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.804
Standort
Niederbayern
kommen über die svchost.exe remote incomes aus england rein (TCP port 3389).
3389 ist RDP (Remote Desktop Protocol). Da versucht scheinbar jemand sich auf deinen PC draufzuschalten. Zwar scheint es nicht zu klappen weil sonst deine Sitzung abgemeldet würde aber evtl. probiert dort ein Script Namen und Passwörter in schneller Folge durch und erzeugt damit die Systemlast.

Wenn du RDP selber nicht brauchst kannst du ja im Explorer den Arbeitsplatz mit rechts anklicken und im Register Remote alle Haken entfernen.

Ansonsten könntest du auch mal einfach die Internetverbindung trennen (z.B. durch Abziehen des LAN-Kabels bzw. Abschalten von WLAN), ob dann die Systemlast so hoch bleibt.
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
so.. habe unter system -> remote alles abgestellt. bin nun am beobachten...

räume auch die services/registry auf, habe hier z.z. vergeblich versucht einiges zu entfernen.. weder hijackthis, noch hijackfree, noch starter, noch runscanner, noch OSAM, noch "sc delete" oder manuelles löschen in der registry führt da zum erfolg! ...tauchen hartnäckig nach dem rebooten immer wieder auf, insbesondere der service vsdatant (zone alarm).
 
Zuletzt bearbeitet:
S

Snohomish

Gast
so.. habe unter system -> remote alles abgestellt. bin nun am beobachten...

räume auch die services/registry auf, habe hier z.z. vergeblich versucht einiges zu entfernen.. weder hijackthis, noch hijackfree, noch starter, noch OSAM, noch "sc delete" oder manuelles löschen in der registry führt da zum erfolg! ...tauchern hartnäckig nach dem rebooten immer wieder auf, insbesondere der service vsdatant (zone alarm).

Der Dienst vsdatant ist im Logfile gar nicht näher bezeichnet(Programmpfad?) und daher bezweifele ich, daß dieser von Zone Alarm ist, zumal Zone Alarm gar nicht unter den laufenden Programmen gelistet ist.
Normalerweise ist der Dienst unter Windows/system32 zu finden und gehört zum TrueVectorInternetMonitor von ZoneAlarm.

Wenn Du das Prog mal hattest, wäre der "Dienst" nach einer Deinstallation auch nicht mehr "am Start".
----------------------------------------------------------------
Du hast versucht "einiges" zu entfernen, erläutere bitte was.
Meinst Du die 4 unbekannten Dienste, die unter O23 aufgeführt sind?
Die wären auf jeden Fall zu fixen/entfernen. Vorher solltest Du diese Dienste aber beenden!

Zu den O10-Einträgen: (Winsock-Einstellungen betreffend PCTools) halte Dich an webspider's Beitrag:Finger weg!

Die anderen Sachen sind erstmal wichtiger!
------------------------------------------------------------------------------------
Remote hast Du alles abgestellt -ist der Port 3389 auch geschlossen?
Kannst Du hier im Board auch testen, oben unter Tools/Portscanner.
------------------------------------------------------------------------------------
Hast Du diesen Eintrag gefixt?:
O7 - Regedit - Enabled
Art
Sofort fixen! Grundsätzlich fixen!


Bitte poste alle Schritte, die Du unternimmst/unternommen hast möglichst ausführlich!

mfg
Snohomish

-----------------------------------------------------------------------
P.S.: ich würde nicht mehr solange mit dem System im Internet unterwegs sein, da die Ferndiagnose schwierig ist, wir wissen ja nicht, was da so aus England rübergeschickt wird. Auch wenn Dir eine Neuinstallation zu "originell" klingt, würde ich Dir dringend dazu raten!!!

P.P.S.: wie immer bei solchen Auswertungen alles ohne Gewähr
 
Zuletzt bearbeitet:
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
kurzer zwischenstand (kam die letzten tage n bissle durcheinander mit den vielen baustellen gleichzeitig hier :D ):

O7 - Regedit - Enabled
Art
Sofort fixen! Grundsätzlich fixen!
kann ich dann selber nicht mehr die reg editieren?
falls ja - no way!!!
...ist das wichtigste überhaupt für mich, bin ja mit dem windows sonst aufgeschmissen wenn ich da nicht mehr rankomme.

O23 - Service: DCOM Server Process Launcher - C:\WINDOWS\system32\svchost
Art
Unbekannter Dienst. (svchost)

O23 - Service: Remote Procedure Call (RPC) - C:\WINDOWS\system32\svchost
Art
Unbekannter Dienst. (svchost)

O23 - Service: Terminal Services - C:\WINDOWS\System32\svchost
Art
Unbekannter Dienst. (svchost)
unbekannter Dienst???
also die kennt man doch bzw. sollte das tool/online analyse kennen.

jedenfalls kam ich da in teufels küche weil der MSI Installer nicht mehr ging. (konnte NICHTS mehr installieren/deinstallieren!)
hab da rumgemacht mit uninstall/cleaning, installer neuinstallation (KB942288), /unreg /regserver (auch in safe mode) usw. - nix ging mehr!

bis ich dann drauf kam, dass ich da ja was in den services gemacht habe... hab dann schön alle dienste/services wieder zurückgestellt - jetzt gehts wieder. ...puuhhh!


O23 - Service: vsdatant -
Art
Unbekannter Dienst. ()
jo, ist nur noch eine registry-leiche (keinerlei files mehr vorhanden), die immer wieder kommt, egal was ich da mache (div. tools (cleaner/process/service überwacher), service uninstall, sc delete, vsdatant.sys neuinstallation/-setzung inkl. registry imagepath, device manager uninstall (alles auch in safe mode), cpes_clean.exe von zone labs)


O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.d
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

O10 - Unknown file in Winsock LSP: C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll
Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.
gehört zu PCTools... wenn ich den spyware doctor wieder runtermache, sollten die weg sein. solange lass ich die einträge stehen.
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
Der Dienst vsdatant ist im Logfile gar nicht näher bezeichnet(Programmpfad?) und daher bezweifele ich, daß dieser von Zone Alarm ist, zumal Zone Alarm gar nicht unter den laufenden Programmen gelistet ist.
Normalerweise ist der Dienst unter Windows/system32 zu finden und gehört zum TrueVectorInternetMonitor von ZoneAlarm.

Wenn Du das Prog mal hattest, wäre der "Dienst" nach einer Deinstallation auch nicht mehr "am Start".
----------------------------------------------------------------
nö... weil wie gesagt es nur noch ne reg leiche ist.
(den service gibts eigentlich nicht mehr, zumal das dazugehörige file vsdatant.sys auch nicht da ist (hab es testweise manuell mal wieder in system32 kopiert und konnte auch den service wieder starten - hoffte so dass ne deinstalliton des services mit entsprechenden tools besser klappt - leider fehlanzeige)).

viele tools listen das gar nicht erst auf, ausser hijackfree eben.

d.h. es gibt keinerlei einträge/files mehr zu zone alarm.
hatte das wohl mal vor jahren als test installiert, weil ich ne neue firewall suchte. hab das auch deinstalliert natürlich, aber dieses blöde vsdatant blieb wohl übrig - und kommt eben immer wieder.
ka wie ich das loswerde... irgendwo müssen wohl noch versteckte zahlencodes einträge in der registry stehen bzw. irgendwelche files, die da starten... weiss die leider nicht, da ich mich mit zone labs (true vector/zone alarm) noch nicht ausreichend auseinandergesetzt habe bzw. die richtigen infos hierzu noch nicht gefunden habe.
 
D

delatoy

Threadstarter
Mitglied seit
01.05.2007
Beiträge
124
3389 ist RDP (Remote Desktop Protocol). Da versucht scheinbar jemand sich auf deinen PC draufzuschalten. Zwar scheint es nicht zu klappen weil sonst deine Sitzung abgemeldet würde aber evtl. probiert dort ein Script Namen und Passwörter in schneller Folge durch und erzeugt damit die Systemlast.

Wenn du RDP selber nicht brauchst kannst du ja im Explorer den Arbeitsplatz mit rechts anklicken und im Register Remote alle Haken entfernen.
jo, das wars!
s. http://www.microsoft.com/downloads/details.aspx?FamilyId=A229F193-DA3F-4014-925D-1EACF5BA296C&displaylang=en

das sicherheitsupdate habe ich aber schon lange bei mir drauf, so gesehen kam es da auch zu keinem grösseren schaden!

nachdem ich nun die 2 remote optionen deaktiviert habe und auch der RDP service nicht mehr läuft, habe ich seitdem keine attacks bzw. CPU lasten mehr!

PROBLEM GELÖST! vielen dank
 
Thema:

csrss.exe und winlogon.exe - 2mal/doppelt mit bis zu 80% CPU

Sucheingaben

csrss.exe doppelt

,

csrss.exe 2 mal im taskmanager

,

usermode font driver host doppelt

,
csrss.exe hohe cpu auslastung
, windows crss.exe pid doppelt, csrss.exe analysieren, csrss winsrv.dll 0x7cdf, csrss.exe 2 mal gestatet, winlogon.exe csrss.exe, lsass.exe w10, csrss cpu

csrss.exe und winlogon.exe - 2mal/doppelt mit bis zu 80% CPU - Ähnliche Themen

  • Seriöse exe Datei wird nicht ausgeführt

    Seriöse exe Datei wird nicht ausgeführt: Diese App wurde aus Sicherheitsgründen blockiert Ein Administrator hat die Ausführung dieser App blockiert. Weitere Informationen erhalten Sie...
  • "Diese App wurde aus Sicherheitsgründen blockiert." - Kann .exe-Datei trotzdem gestartet werden?

    "Diese App wurde aus Sicherheitsgründen blockiert." - Kann .exe-Datei trotzdem gestartet werden?: Ich habe meinen ältereren HP LaserJet Pro 200 color MFP M276n-Drucker auf meinem neuen Windows 10-Betriebssystem installiert. Von der HP-Seite...
  • wie gehe ich vor, wenn Windows 10 Upgrade 952(6).exe zum Downloaden zeigt

    wie gehe ich vor, wenn Windows 10 Upgrade 952(6).exe zum Downloaden zeigt: Da ständige Fehlermeldungen bei Windows-Sicherheit angezeigt werden, möchte ich von W10 Home Version 1809 auf Version 1903 upgraden. Nun steht W...
  • Csrss konnte nicht ....

    Csrss konnte nicht ....: Hallo zusammen, ich habe seid kurzem das Problem, wenn Windows startet dass er die "csrss.exe" nicht findet. Ich weiß jetzt leider nicht, wie ich...
  • Internetzugriff von: csrss dwm, dllhost,lsass,msfeedssync, mmc und Konsorten

    Internetzugriff von: csrss dwm, dllhost,lsass,msfeedssync, mmc und Konsorten: Hallo alle zusammen :huhu als relativer Vista- Neuling habe ich nicht nur feststellen müssen, dass man dauernd irgendwas genehmigen muss...
  • Ähnliche Themen

    Oben