|
Log-Analyse und Auswertung: PC sehr langsam und hohe CPU auslastungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
10.07.2009, 19:23 | #1 |
| PC sehr langsam und hohe CPU auslastung Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:18:42, on 10.07.2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\AVG\AVG8\avgtray.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\RocketDock\RocketDock.exe C:\Windows\System32\rundll32.exe C:\Windows\system32\cmd.exe C:\Windows\system32\conime.exe C:\Program Files\QIP\qip.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [msupdate32] C:\Users\Erik\AppData\Local\Temp\1.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Google Update Service (gupdate1c9d604c17e51b8) (gupdate1c9d604c17e51b8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software GmbH - C:\Windows\System32\TUProgSt.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 4860 bytes |
10.07.2009, 22:23 | #2 |
/// Helfer-Team | PC sehr langsam und hohe CPU auslastung Hallo 3rik92 und
__________________Arbeite bitte noch folgende Liste ab Punkt 2 (ohne HijackThis) ab: http://www.trojaner-board.de/69886-a...-beachten.html Bitte alle anfallenden Logfiles hier posten! Lass bitte folgende Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner überprüfen: Code:
ATTFilter C:\Users\Erik\AppData\Local\Temp\1.exe Gruß Handball10 |
11.07.2009, 09:25 | #3 |
| PC sehr langsam und hohe CPU auslastung Ich hab die Datei gesucht aber nicht gefunden. Nur eine 2.exe.
__________________Was mich mehr beunriuhgt ist das ich den PC gerade hochgefahren habe und nach dem ich Firefox geöffnet habe eine meldung kam "Fuck your black ass". |
11.07.2009, 10:28 | #4 |
/// Helfer-Team | PC sehr langsam und hohe CPU auslastung Hi 3rik92, sind bei dir auch die versteckten Ordner sichtbar? Wenn nicht:
Wenn du nun die Datei sehen kannst, lade sie erneut hoch. Wenn nicht, kopiere folgende Zeile in das Textfeld neben dem Button "Durchsuchen" und klicke auf "Senden der Datei" Code:
ATTFilter C:\Users\Erik\AppData\Local\Temp\1.exe Gruß Handball10 |
11.07.2009, 12:57 | #5 |
| PC sehr langsam und hohe CPU auslastung Datei 2.exe Bigger than max permited size / Mayor del tamaño máximo permitido<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>200 OK</title> </head><body> <h1>OK</h1> <p>The answer to your request is located <a href="/de/analisis/dc58b69e016fe98f0ad925ed308feae3878792dda69fe80af5f734116dedc475-1247312370">here</a>.</p> </body></html> Die Datei ist zu groß oder? 1.exe a-squared 4.5.0.18 2009.07.11 - AhnLab-V3 5.0.0.2 2009.07.10 - AntiVir 7.9.0.204 2009.07.10 - Antiy-AVL 2.0.3.1 2009.07.10 - Authentium 5.1.2.4 2009.07.10 - Avast 4.8.1335.0 2009.07.10 - AVG 8.5.0.387 2009.07.11 - BitDefender 7.2 2009.07.11 - CAT-QuickHeal 10.00 2009.07.10 - ClamAV 0.94.1 2009.07.11 - Comodo 1615 2009.07.11 - DrWeb 5.0.0.12182 2009.07.11 - eSafe 7.0.17.0 2009.07.09 - eTrust-Vet 31.6.6608 2009.07.10 - F-Prot 4.4.4.56 2009.07.10 - F-Secure 8.0.14470.0 2009.07.10 - Fortinet 3.120.0.0 2009.07.11 - GData 19 2009.07.11 - Ikarus T3.1.1.64.0 2009.07.11 - Jiangmin 11.0.706 2009.07.11 - K7AntiVirus 7.10.789 2009.07.10 - Kaspersky 7.0.0.125 2009.07.11 - McAfee 5672 2009.07.10 - McAfee+Artemis 5672 2009.07.10 - McAfee-GW-Edition 6.8.5 2009.07.10 Heuristic.BehavesLike.Win32.Obfuscated.I Microsoft 1.4803 2009.07.11 - NOD32 4233 2009.07.11 - Norman 6.01.09 2009.07.10 - nProtect 2009.1.8.0 2009.07.11 - Panda 10.0.0.14 2009.07.10 - PCTools 4.4.2.0 2009.07.10 - Prevx 3.0 2009.07.11 - Rising 21.37.52.00 2009.07.11 - Sophos 4.43.0 2009.07.11 - Sunbelt 3.2.1858.2 2009.07.10 - Symantec 1.4.4.12 2009.07.11 - TheHacker 6.3.4.3.365 2009.07.11 - TrendMicro 8.950.0.1094 2009.07.10 - VBA32 3.12.10.8 2009.07.11 - ViRobot 2009.7.11.1831 2009.07.11 - VirusBuster 4.6.5.0 2009.07.10 - weitere Informationen File size: 1555456 bytes MD5 : cbd254d768874972b05c74bfdd97d6b4 SHA1 : 2a07ad2981b82c8a5a0f35da030ca3a0a46f6d4a SHA256: 72511538b02bbf81ce576f88e067fbee009c1abb7f5f93dfe495f3561e9ebb9e PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3BDE timedatestamp.....: 0x4A13119B (Tue May 19 22:07:55 2009) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x310E 0x3200 5.53 ed87edffd113e8e75433bd62078af9f9 .rdata 0x5000 0x7B2 0x800 4.85 4177cbf64d16641a9584f49b18ae8420 .data 0x6000 0xBF8 0x800 1.38 4e16872b10f6407a0ee56c0ac4202bfc .rsrc 0x7000 0x177534 0x177600 8.00 c0054d6a00c3eb2961f11053ad25f9c6 ( 4 imports ) > kernel32.dll: GetTempPathA, IsDebuggerPresent, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, Sleep, QueryPerformanceCounter, FindResourceA, CloseHandle, CreateFileA, GetModuleHandleA, LockResource, CopyFileA, GetProcAddress, SizeofResource, WriteFile, GetTickCount, LoadResource > msvcr80.dll: _onexit, _decode_pointer, _except_handler4_common, _lock, _controlfp_s, _crt_debugger_hook, strstr, __dllonexit, _unlock, _terminate@@YAXXZ, __set_app_type, _encode_pointer, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _configthreadlocale, _initterm_e, _initterm, _acmdln, exit, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, _amsg_exit, sprintf, srand, rand, strchr, _invoke_watson, memset > shell32.dll: ShellExecuteA > user32.dll: GetCursorPos, MessageBoxA ( 0 exports ) ssdeep: 24576:w4WffXuNsKJb7Me9hhigf0UF5XBrDBCVdlvEq6/01mScys9zXOhjmT3wJ76AFHLj:tW3/Kt7M+F0ct8hEq/Ls9zXkjmTAJnLj PEiD : - RDS : NSRL Reference Data Set [/CODE] Ich hab außerdem noch 4 Viren gefunden "C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite";" gefunden";"Geheilt" "C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\doubleclick.net.bf396750";" gefunden";"In Virenquarantäne verschoben" "C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\ivwbox.de.41d82fe2";" gefunden";"In Virenquarantäne verschoben" "C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\m.webtrends.com.b4ca7df0";" gefunden";"In Virenquarantäne verschoben" |
11.07.2009, 13:10 | #6 |
/// Helfer-Team | PC sehr langsam und hohe CPU auslastung Hi 3rik92, Mach bitte einen Komplett-Scan mit Malwarebytes Antimalware. Poste anschließend das Logfile. Gruß Handball10 |
11.07.2009, 16:23 | #7 |
| PC sehr langsam und hohe CPU auslastung Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2406 Windows 6.0.6002 Service Pack 2 11.07.2009 17:13:10 mbam-log-2009-07-11 (17-12-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 198168 Laufzeit: 1 hour(s), 15 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\Erik\documents\jdownloader\fritz!box reconnect\reconnect.bat (Trojan.Downloader) -> No action taken. |
Themen zu PC sehr langsam und hohe CPU auslastung |
0 bytes, adobe, auslastung, avg, avg free, bho, cdburnerxp, cpu, defender, dll, e-mail, excel, explorer, firefox, google update, gupdate, hijack, hijackthis, hohe cpu, hohe cpu auslastung, internet, internet explorer, langsam, local\temp, logfile, mozilla, pc sehr langsam, plug-in, rundll, sehr langsam, software, system, temp, tuneup.defrag, tuprogst.exe, vista, windows |