hier ist das HJTlog.
auch wenn der pc nichts tut, ist die prozessorauslastung ständig über 50%
ist erst seit gestern so. sonst waren es immer 0-2 %, was eigentlich normal sein sollte.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:26, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2010\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\BitDefender\BitDefender 2010\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\BitDefender\BitDefender 2010\seccenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2010\vsserv.exe
--
End of file - 3192 bytes
danke mfg der allgäuer
schau mal im taskmanager welcher prozess für diese auslastung sorgt. hjt sieht io aus.
http://img5.imagebanana.com/view/0kw4vgx6/Unbenannt.JPG
ist nichts affälliges.
hab inzwischen das image mit NOD32 zurückgespielt, da mich BD geärgert hat. ist auch nicht besser. log anbei.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:39, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
--
End of file - 3015 bytes
kannst du sicherheitshalber einen scan mit malwarebytes:
www.malwarebytes.org
machen? das log posten bitte.
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3349
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.12.2009 16:54:01
mbam-log-2009-12-12 (16-54-01).txt
Scan-Methode: Vollständiger Scan (C:\|J:\|K:\|L:\|N:\|)
Durchsuchte Objekte: 126099
Laufzeit: 23 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
hier das log von MBAM
Scanne doch mal nach rootkits mit GMER
http://www.majorgeeks.com/GMER_d5198.html
Auf dem Screenshot sehe ich kein Prozess mit 50% CPU.
Scanne dein Rechner doch mit einer der zahlreichen Boot CDs der Av Hersteller (AntiVir, DrWeb usw).
Ich weiß das kann lange dauern. Ist aber bei Malwareverdacht schon ganz nützlich.
Oder scanne mit Prevx. Ist schnell installiert und deinstalliert. Das gleiche mit HitmanPro.
An den allgäuer:
Da du ein Image zurückgespielt hast ist es eher unwahrscheinlich, dass der Rechner infiziert ist. Ich würde daher erstmal nicht mit tausend Programmen scannen.
Öffne bitte den Ressourcen Monitor und zeigen uns den Screenshot. (Taskmanager starten -> Reiter: "Leistung" -> Ressourcen Monitor.)
Mache bitte Screenshots von den Unterpunkten:
Prozesse mit Datenträger Aktivität
Datenträgeraktivität (hier bitte die Spalte "Datei" auseinanderziehen sodass wir den Dateinamen lesen können.)
Speicher
Wenns passt dann auf einem Screenshot, ansonsten bitte zeitnah hintereinander.
Die CPU Auslastung sollte dabei natürlich wie beschrieben abnormal hoch sein.
@ alle, erstmal danke für die hilfe!
@habakuck
diesen ressourcenmonitor gibts nicht. XP Home SP3
Hat sich das erledigt?
ich habe mich für die bisherige hilfe bedankt, das war alles.
bin eben ein höflicher mensch, wohne schliesslich im allgäu.
hab ich schon ändert sich an der anzahl der prozesse nichts.
habe jetzt mal windows neu installiert. aber es ändert sich absolut nichts.
es war nur windows, keine programme, updates, usw absolut nichts nur windows. die cpuauslastung war genauso hoch.
versteh ich absolut gar nicht.
Die CPU Auslastung ist immer hoch aber du findest nicht heraus welches Prozess das ist? Komisch...
Das sieht man doch im Task Manager. Ausführlicher natürlich mit dem Process Explorer von Sysinternals. Oder auch den Process Monitor. Das muss man doch heraus finden können.
Hallo allgäuer, ich denke er könnte es sein
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
?
Du hast dein System neu aufgesetzt und hast immer noch hohe CPU Auslastung.
Deshalb habe ich ja auch das geschrieben:
Die Hardware Interrupts sind hoch. Ist doch schon mal ein Anfang. Das deutet auf falsche Treiber oder fehlerhaft Hardware.
Probier das mal was im zweiten post steht:
http://forum.sysinternals.com/forum_posts.asp?TID=965
Na auf jeden fall haben wir jetzt heraus gefunden was denn 50% CPU bei dir verursacht.
Das internet ist so groß...
fehler gefunden und behoben.
danke dir.
am freitag habe ich eine usberweiterungskarte bekommen, eingesteckt, windows hat die neue hardware erkannt un die treiber installiert.
hat auch "einwandfrei" funktioniert.
alle angeschlossenen platten wurden erkannt, und liefen auch problemlos.
habe die karte jetzt entfernt, und siehe da- die prozessorauslastung ist wieder bei null.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)