[Bockfett]

Moin, also ich habe mal wieder hijackthis drüberlaufen lassen und habe wie erwartet dort auch keine malware, nur würde ich gerne wissen, welche Prozesse zwar nicht schädlich sind, aber dennoch i.d.R überflüssig, um möglichst viel Arbeitsspeicher frei zu halten und somit Ressourcen zu sparen.
Aber bitte immer mit Erklärung für was der Prozess zuständig ist, damit ich selber beurteilen kann, ob ich ihn brauche oder nicht.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:28:04, on 23.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 10 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.map24.com/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

[Rika]

Zitat

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

Überflüssig.

Zitat

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Das könnten auch nur 3 sein.

Zitat

C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE

Wer's braucht...

Zitat

C:\WINDOWS\system32\MsPMSPSv.exe

Überflüssig.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.map24.com/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

Überflüssig, da IE-Gestammel. Und ICQ ist gefährlich!

Zitat

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe

Überflüssig.

[puppet]

Die Service-Hosts solltest du mal Prüfen ob da nicht evtl der ein oder andere weg kann:
Start -> Ausführen:
cmd /k tasklist /svc /fi "IMAGENAME eq svchost.exe"

[Rika]

Wäre es nicht einfacher sich zu überlegen, ob man diverse Dienste auch braucht? Dann hast du wirklich eine realistische Chance, auf 3 svchost-Prozesse mit deutlich niedrigerem Speicherverbrauch zu kommen, oder halt auch 4, weil man den Dienst halt braucht - aber trotzdem weniger Dienste und damit weniger Überflüssiges.

Man kann sich aber halt auch mit einem Granatwerfer in den Fuß zu schießen und trotz vorheriger Information heilwegs wahllos Prozesse killen.

Dieser Beitrag wurde von Rika bearbeitet: 23. Mai 2005 - 22:25

[Pyragnu]

Ich find es ja immer wieder sehr lustig, wenn jemand sagt, das und das kannste mal schnell knicken und so. Gerade zum Thema "svchost.exe" würde ich mal sagen, sollte man schon einmal wissen, wo und was das ist, bevor man irgendwas damit anstellt. Denn, entfernt man den falschen Dienst, kannste auch dein System knicken, weil du auf einmal gar nichts mehr damit anstellen kannst (unter anderen Kopierfunktionen). Das wird einem schnell auffalen, wenn Windows mal (mehr oder weniger) seinen Geist aufgibt und einen der "svchost.exe" mit einer schnönen Fehlermeldung beendet. Dann bleibt dir nämlich nur noch ein Neustart übrig, um das wieder zu beheben.

Wichtiger ist es zu sehen, nicht wieviele Dienste laufen, sondern auch, wieviel jeder Dienst/Prozess alleine verbraucht.

Wenn ich das jetzt zum Beispiel bei mir mal machen würde (bei 512MB physischen Speicher und dementsprechen 768MB virtuellen Speicher) kommt folgendes heraus (auch wenn ich jetzt nicht XP sprechen kann, da ich keines drauf habe), dass Prozesse, die nicht ständig laufen (oder zumindest nicht beim spielen), wie FireFox, Outlook, zwei Messenger (bei mir dann noch uxss und mssearch) einen riesen Batzen Ressourcen benötigen (im Schnitt bis zu 50 MB). Dagegen alle "svchost.exe" im maximalen Fall bei noch unter 2MB liegen.

Bevor man sich also an einen "svchost.exe" 'ranmacht' sollte man genau wissen, wieso der eigentlich gestartet wurde...


greetz
Pyra

Dieser Beitrag wurde von Pyragnu bearbeitet: 23. Mai 2005 - 22:39

[Rika]

Zitat

kommt folgendes heraus (auch wenn ich jetzt nicht XP sprechen kann, da ich keines drauf habe), dass Prozesse, die nicht ständig laufen (oder zumindest nicht beim spielen), wie FireFox, Outlook, zwei Messenger (bei mir dann noch uxss und mssearch) einen riesen Batzen Ressourcen benötigen (im Schnitt bis zu 50 MB). Dagegen alle "svchost.exe" im maximalen Fall bei noch unter 2MB liegen.

Beachte mal lieber nicht die Größe des virtuellen Speichers, sondern die des Working Set. Wenn gerade frisch mit empty-Befehl ausgeleert, kommt ich beim Firefox auf gerade mal 4 MB. (Über Outlook und *-Messenger kann ich nix sagen, da hier keine Malware installiert ist.)

Zitat

Das wird einem schnell auffalen, wenn Windows mal (mehr oder weniger) seinen Geist aufgibt und einen der "svchost.exe" mit einer schnönen Fehlermeldung beendet. Dann bleibt dir nämlich nur noch ein Neustart übrig, um das wieder zu beheben.

Na man sollte schon wissen, welche Dienste absolut notwendig bis ziemlich notwendig sind. Und darüber hinaus braucht man wahrlich nicht viel.

[Pyragnu]

Zitat (Rika: 24.05.2005, 00:07)

Beachte mal lieber nicht die Größe des virtuellen Speichers, sondern die des Working Set. Wenn gerade frisch mit empty-Befehl ausgeleert, kommt ich beim Firefox auf gerade mal 4 MB. (Über Outlook und *-Messenger kann ich nix sagen, da hier keine Malware installiert ist.)
<{POST_SNAPBACK}>

Da gebe ich dir auch völlig recht. Und gerade auch aus diesem Grund sollte man vielleicht auch erst einmal bei anderen Dingen schauen, bevor man sich an solche Prozesse ranmacht. Wenn ich das unter Linux zum Beispiel mache, muss ich auch wissen, was ich killen kann und was nicht.

Zitat (Rika: 24.05.2005, 00:07)

Na man sollte schon wissen, welche Dienste absolut notwendig bis ziemlich notwendig sind. Und darüber hinaus braucht man wahrlich nicht viel.
<{POST_SNAPBACK}>

Wo wir auch gleich schon beim nächsten Thema wäre... Willst du ihm ein Buch schreiben, oder willst du es anderen überlassen? Wir reden doch noch von Windows, oder?

Wenn ich meiner Oma sage, schalte bitte den PC an, öffne Word und schreibe mir kurz "Hallo Enkel" rein. Meinste, sie packt das?

Wie also möchtest du jemanden genau erklären und sagen, was er wie zu suchen, lesen und machen hat, wenn du nicht dahinter stehst? Sagen wir mal, du (ich meine dich, der da auf der anderen Seite der Net-Leitung sitzt) dir sicher bist, das der andere genau diesen Dienst schmeißen und für immer bannen kann, ihm sagst, er soll das das und as machen... Und nun macht er das das und das... (gerade bei "svchost.exe" ein schwieriges unterfangen) - er hat davon aber keine Ahnung und machte eigentlich nur das, was du ihm gesagt hattest (du sitzt aber weder dafür, noch schaust du ihm über die Schulter) - na ja - und plötzlich gibt er keinen Mucks von sich?! Wieso? Weil er - aus Versehen - den falschen Dienst den gar aus gemacht hat.

Du kennst sicherlich den Spruch: "never touch a running system", oder?... Das gilt doch schließlich auch für gegenden, die jemand nicht wirklich kennt. Und gerade bei Windows ist etwas fataler denn je, wenn man auch noch die Zugriffsrechte dazu hat.

Ein Admin würde sich aufhängen können, wenn er sowas zuließe... Und da spricht auch wieder das Linux-Herz...


greetz
Pyra