Druckversion des Themas

Geschrieben von: der allgäuer 12.12.2009, 15:04

hier ist das HJTlog.
auch wenn der pc nichts tut, ist die prozessorauslastung ständig über 50%
ist erst seit gestern so. sonst waren es immer 0-2 %, was eigentlich normal sein sollte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:26, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2010\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\BitDefender\BitDefender 2010\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\BitDefender\BitDefender 2010\seccenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 3192 bytes

danke mfg der allgäuer

Geschrieben von: markusg 12.12.2009, 15:44

schau mal im taskmanager welcher prozess für diese auslastung sorgt. hjt sieht io aus.

Geschrieben von: der allgäuer 12.12.2009, 16:10

http://img5.imagebanana.com/view/0kw4vgx6/Unbenannt.JPG

ist nichts affälliges.
hab inzwischen das image mit NOD32 zurückgespielt, da mich BD geärgert hat. ist auch nicht besser. log anbei.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:39, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

--
End of file - 3015 bytes

Geschrieben von: markusg 12.12.2009, 16:23

kannst du sicherheitshalber einen scan mit malwarebytes:
www.malwarebytes.org
machen? das log posten bitte.

Geschrieben von: der allgäuer 12.12.2009, 16:56

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3349
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.12.2009 16:54:01
mbam-log-2009-12-12 (16-54-01).txt

Scan-Methode: Vollständiger Scan (C:\|J:\|K:\|L:\|N:\|)
Durchsuchte Objekte: 126099
Laufzeit: 23 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hier das log von MBAM

Geschrieben von: rolarocka 12.12.2009, 17:19

Scanne doch mal nach rootkits mit GMER
http://www.majorgeeks.com/GMER_d5198.html

Auf dem Screenshot sehe ich kein Prozess mit 50% CPU.

Scanne dein Rechner doch mit einer der zahlreichen Boot CDs der Av Hersteller (AntiVir, DrWeb usw).
Ich weiß das kann lange dauern. Ist aber bei Malwareverdacht schon ganz nützlich.

Oder scanne mit Prevx. Ist schnell installiert und deinstalliert. Das gleiche mit HitmanPro.

Geschrieben von: Habakuck 12.12.2009, 17:34

An den allgäuer:

Da du ein Image zurückgespielt hast ist es eher unwahrscheinlich, dass der Rechner infiziert ist. Ich würde daher erstmal nicht mit tausend Programmen scannen.

Öffne bitte den Ressourcen Monitor und zeigen uns den Screenshot. (Taskmanager starten -> Reiter: "Leistung" -> Ressourcen Monitor.)

Mache bitte Screenshots von den Unterpunkten:

Prozesse mit Datenträger Aktivität
Datenträgeraktivität (hier bitte die Spalte "Datei" auseinanderziehen sodass wir den Dateinamen lesen können.)
Speicher

Wenns passt dann auf einem Screenshot, ansonsten bitte zeitnah hintereinander.
Die CPU Auslastung sollte dabei natürlich wie beschrieben abnormal hoch sein.

Geschrieben von: der allgäuer 12.12.2009, 17:52

@ alle, erstmal danke für die hilfe!
@habakuck
diesen ressourcenmonitor gibts nicht. XP Home SP3

Geschrieben von: rolarocka 12.12.2009, 17:56

Hat sich das erledigt?

Geschrieben von: der allgäuer 12.12.2009, 18:14

ZITAT(rolarocka @ 12.12.2009, 17:55)

Geschrieben von: rolarocka 12.12.2009, 18:22

ZITAT(der allgäuer @ 12.12.2009, 17:51)

Geschrieben von: der allgäuer 12.12.2009, 18:26

ich habe mich für die bisherige hilfe bedankt, das war alles.
bin eben ein höflicher mensch, wohne schliesslich im allgäu.

Geschrieben von: J4U 12.12.2009, 18:47

ZITAT(der allgäuer @ 12.12.2009, 16:09)

Geschrieben von: der allgäuer 12.12.2009, 19:54

hab ich schon ändert sich an der anzahl der prozesse nichts.
habe jetzt mal windows neu installiert. aber es ändert sich absolut nichts.
es war nur windows, keine programme, updates, usw absolut nichts nur windows. die cpuauslastung war genauso hoch.
versteh ich absolut gar nicht.

Geschrieben von: rolarocka 12.12.2009, 20:14

Die CPU Auslastung ist immer hoch aber du findest nicht heraus welches Prozess das ist? Komisch...
Das sieht man doch im Task Manager. Ausführlicher natürlich mit dem Process Explorer von Sysinternals. Oder auch den Process Monitor. Das muss man doch heraus finden können.

Geschrieben von: Rios 12.12.2009, 20:25

Hallo allgäuer, ich denke er könnte es sein
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

Geschrieben von: der allgäuer 12.12.2009, 20:34

ZITAT(Rios @ 12.12.2009, 20:24)

Hallo allgäuer, ich denke er könnte es sein
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

Geschrieben von: rolarocka 12.12.2009, 20:38

?

Du hast dein System neu aufgesetzt und hast immer noch hohe CPU Auslastung.
Deshalb habe ich ja auch das geschrieben:

Geschrieben von: der allgäuer 12.12.2009, 20:39

ZITAT(rolarocka @ 12.12.2009, 20:37)

Geschrieben von: rolarocka 12.12.2009, 20:41

Die Hardware Interrupts sind hoch. Ist doch schon mal ein Anfang. Das deutet auf falsche Treiber oder fehlerhaft Hardware.

Geschrieben von: rolarocka 12.12.2009, 20:48

Probier das mal was im zweiten post steht:
http://forum.sysinternals.com/forum_posts.asp?TID=965

Geschrieben von: der allgäuer 12.12.2009, 21:01

ZITAT(rolarocka @ 12.12.2009, 20:47)

Geschrieben von: rolarocka 12.12.2009, 21:04

Na auf jeden fall haben wir jetzt heraus gefunden was denn 50% CPU bei dir verursacht.
Das internet ist so groß...

Geschrieben von: der allgäuer 12.12.2009, 21:21

fehler gefunden und behoben.
danke dir.
am freitag habe ich eine usberweiterungskarte bekommen, eingesteckt, windows hat die neue hardware erkannt un die treiber installiert.
hat auch "einwandfrei" funktioniert.
alle angeschlossenen platten wurden erkannt, und liefen auch problemlos.
habe die karte jetzt entfernt, und siehe da- die prozessorauslastung ist wieder bei null.