Hallo an alle!
Ich habe XP-Home neu aufsetzen müssen. Habe alle Updates und ein paar essentiele Freewareprogramme installiert. Und seit dem habe ich eine zu hohe CPU-Auslastung, wenn ich auf gewisse Internetseiten zugreifen möchte. Wie zum Bsp. Radio.de und streams hören möchte. Auch bei Videostreams und Games heult meine CPU bzw. der Lüfter auf. Ich habe Hijackthisanalyse selber durchlaufen lassen und versucht Java zu fixen. Habe erst zwei mal Java installiert gehabt. Einmal von Sun und einmal von Oracle. Einer hatte drei Dateien mehr und habe den mit Updates 20 gelöscht. Doch jetzt zeigt mit HijackThis dies als gefählich an und habe nach so vielen Selbstversuchen probiert, und nichts hat geholfen. Wo kann nur dieser Fehler liegen? Ich habe alle Scans gemacht, die ich nun versuche Euch zu posten. Ich hoffe Ihr könnt mir weiterhelfen, denn ich weiß nicht, wie lange mein Prozessor das alles noch Stand hält. Danke schon mal an Euch alle. Hier die Logs.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo! Danke für die schnelle Antwort und bin froh,dass mir hier geholfen wird.
Ich habe nun nach Deiner Anweisung ein fullscan gemacht, aber ersteinmal zwichenzeitlich beide Java Programme deinstalliert. Ich hoffe es ist nicht gravierend. Den Java Dienst gibt es jedoch immernoch. Auch den IPsec Sicherheitsmonitor ist in der Konsolo, weiß aber nicht, wie oder wo ich den auslesen kann oder soll. Egal.
Ich schicke erstmal die Logs. Ich hoffe ihr könnt damit etwas anfangen. Danke nochmal! Ich hoffe die harte Nuß ist zu knacken. Ps.: Beim ersten Scan von defogger gabs Blue Screen. Beim zweiten mal ist er durchgelaufen

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.12.28 21:29:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.04.24 00:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.) - F:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2008.06.02 17:16:48 | 000,000,045 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{c3222640-1548-11e0-b4c7-dc3ae00265ad}\Shell - "" = AutoRun
O33 - MountPoints2\{c3222640-1548-11e0-b4c7-dc3ae00265ad}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c3222640-1548-11e0-b4c7-dc3ae00265ad}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe -- [2008.04.24 00:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
[2011.01.15 14:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\495
[2011.01.18 19:25:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
[2011.01.03 10:19:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E6FE2F8B-4E0B-4F0A-9F87-2F5E6C4FBC31}
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Habe alles wie oben beschrieben ausgeführt! Anbei das OTL-Log. Konnte es leider nur in dieser Form als gültige Datei hochladen. Wenn es nicht verwertbar ist, bitte nächste Schritte erklären. Vielen Dank!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe Combofile durchlaufen lassen. Hier das log.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-01-23.07 - Mirko 24.01.2011  20:50:32.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.767.531 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mirko\Desktop\cofi.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Enabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-12-24 bis 2011-01-24  ))))))))))))))))))))))))))))))
.

2011-01-22 21:54 . 2011-01-22 21:54	--------	d-----w-	C:\_OTL
2011-01-09 01:00 . 2011-01-09 01:00	--------	d-----w-	C:\Downloads
2010-12-30 20:24 . 2010-12-30 20:24	--------	d-----w-	C:\Casino

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-09 14:51 . 2003-04-02 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2003-04-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2003-04-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 07:42	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2003-04-02 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2003-04-02 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 88363]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-13 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Mirko\Startmen�\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iMesh Applications\\iMesh\\iMesh.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [18.01.2011 19:51 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.01.2011 18:19 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1402272]
R2 WTGService;WTGService;c:\programme\Verbindungsassistent\WTGService.exe [10.01.2011 14:02 296400]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.01.2011 19:04 136176]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-12-03 18:48]

2011-01-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-24 18:04]

2011-01-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-24 18:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: { - c:\programme\Messenger\msmsgs.exe
FF - ProfilePath - c:\dokumente und einstellungen\Mirko\Anwendungsdaten\Mozilla\Firefox\Profiles\infgrykb.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-10 - (no file)
AddRemove-Ad-Aware - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}\Ad-Aware90Install.exe
AddRemove-iMesh - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{E6FE2F8B-4E0B-4F0A-9F87-2F5E6C4FBC31}\iMesh_V10_de_Setup.exe
AddRemove-{8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{E6FE2F8B-4E0B-4F0A-9F87-2F5E6C4FBC31}\iMesh_V10_de_Setup.exe
AddRemove-{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}\Ad-Aware90Install.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-01-24 20:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3188)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\AGRSMMSG.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-24  21:03:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-24 20:03

Vor Suchlauf: 7 Verzeichnis(se), 44.177.616.896 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 44.104.876.032 Bytes frei

- - End Of File - - AC1A1849785F6BC043498167A9351BC7
         

--- --- ---

Zitat:

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

Warum wurde die WHK nicht installiert? Die brauchen wir später u.U. noch!

Das ist nun der richtige Logfile. Konnte AdAware und Avira deaktivieren. Ich hoffe dadurch kann der Quälgeist beseitigt werden. Danke nochmal für Deine Hilfe.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo. Da bin ich endlich wieder. Tschuldigung, dass es etwas gedauert hatte, da ich viel am arbeiten war. Habe die Scans durchlaufen lassen, wobei gmer-scan, so wie ich es mirbekommen habe, ab dem Windows-Ordner oder sogar NT-Ordner der CPU hoch geschnellt war. Hier nun die Logs im Anhang, da GMER und osam als ungültige Datei erkannt worden war. Sorry nochmal für die unannehmlichkeiten und des wartens. Ich hoffe es kann wéiter gehen und das alles bis jetzt passt. Wenn Probleme auftauchen sollten, bitte ich um eine detailierte Anweisung. Vielen Dank schon mal. Bis zu den nächsten Ergebnissen!

Sieht ok aus.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Servus! Habe Dir das Malewarebyte-Log im Anhang mit gepostet und nun hier der Rest. Und danke für die schnelle Antwort.

<SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/29/2011 at 00:40 AM

Application Version : 4.48.1000

Core Rules Database Version : 6298
Trace Rules Database Version: 4110

Scan type : Complete Scan
Total Scan Time : 01:23:33

Memory items scanned : 422
Memory threats detected : 0
Registry items scanned : 4757
Registry threats detected : 0
File items scanned : 64648
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adbrite[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@user.lucidmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adecn[1].txt>

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nun ja. Also wurden bisher einige Viren entfernt. Ich hoffe sie sind auch von der Festplatte. Jetzt habe ich aber nach so vielem scanen das Problem, dass mein Internet manchmal sehr schleppend funktioniert, so dass radio.de streaming bei vielen Sendern nicht möglich ist. Ich habe versucht bei Verbindungsassistent/Eigenschaften/Sicherheit auf Typische (empfohlene Einstellungen) zu stellen. Aber Internet ging dadurch nicht schneller. Nach jedem Neustart ist Erweitert eingestellt und nur "Alte MS-CHAP Versionen für Windows 95-Server zulassen" ist kein Häckchen. Auch nicht bei "Extensible-Authentication-Protocoll (EAP)" ist kein Häckchen gesetzt. Wenn die Auswahl richtig ist, wieso muss ich dann bei fast jeder Site manuell Popup-Blocker "zulassen" extra bestätigen. Das nervt. Und Radio.de ist schon bis ca. 30% CPU-Auslastung runtergegangen. Hört sich aber immer noch fast zu viel an. Und welches Java soll ich von wem jetzt komplett wieder installieren? Welche Add-ons fehlen mir denn noch. Denn die werden auf Microsoft Aktualisierungsseite nicht angezeigt. Habe schon alle Updates.
Ich hoffe, das war jetzt nicht zu viel auf einmal. Vielen Dank für alle Funde!