Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   CPU hat 100% auslastung und ich finde das Prob nicht, bitte um Auswertung (https://www.trojaner-board.de/16515-cpu-hat-100-auslastung-finde-prob-bitte-um-auswertung.html)

Pagome 10.04.2005 23:09
CPU hat 100% auslastung und ich finde das Prob nicht, bitte um Auswertung
 
Hallo, bin neu hier und hab ein Prob,
seit einiger Zeit liegt meine CPU auf 100% habe schon Virenscans von Antivir und andere laufen lassen, ohne Befunde, spyware ist auch nicht da.
In meinem Logfile konnte ich auch nichts besonderes finden.
Da ich unter WIN98SE leider die einzelne Auslastung der CPU durch die Programme nicht erkennen kann hoffe ich hier auf hilfe.

meine Log datei:

Logfile of HijackThis v1.99.1
Scan saved at 23:59:30, on 10.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\AHEAD\INCD\INCD.EXE
D:\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
D:\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
D:\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\LAVALYS\EVEREST HOME EDITION\EVEREST.BIN
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pagome.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InCD] d:\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MMTray] D:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunOnce: [ea_cleanup] C:\WINDOWS\TEMP\EA_CLEANUP.EXE /cleanup
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: PicGrab - {66A86060-60B8-11D9-860C-000AE682848E} - D:\PICGRAB\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {6740F6E0-60B8-11D9-860C-000AE682848E} - D:\PICGRAB\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {6740F6E0-60B8-11D9-860C-000AE682848E} - D:\PICGRAB\iestarter.exe (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07d2a8d1...dxIE601_de.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

meine processlist:

Process list saved on 00:05:13, on 11.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)

[pid] [full path to filename] [file version] [company name]
-1056493 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.10.0.2222 Microsoft Corporation
-2087869 C:\WINDOWS\SYSTEM\MSGSRV32.EXE 4.10.0.2222 Microsoft Corporation
-2085781 C:\WINDOWS\SYSTEM\SPOOL32.EXE 4.10.0.1998 Microsoft Corporation
-2081217 C:\WINDOWS\SYSTEM\MPREXE.EXE 4.10.0.1998 Microsoft Corporation
-2056381 C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE 5.1.33.0 Zone Labs Inc.
-1971485 C:\WINDOWS\SYSTEM\mmtask.tsk 4.3.0.1998 Microsoft Corporation
-1967561 C:\WINDOWS\EXPLORER.EXE 4.72.3110.1 Microsoft Corporation
-1944873 C:\WINDOWS\TASKMON.EXE 4.10.0.1998 Microsoft Corporation
-1942033 C:\WINDOWS\SYSTEM\SYSTRAY.EXE 4.10.0.2222 Microsoft Corporation
-1902721 C:\WINDOWS\RUNDLL32.EXE 4.10.0.1998 Microsoft Corporation
-1916129 C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE 6.30.0.2 H+BEDV Datentechnik GmbH
-1946913 D:\AHEAD\INCD\INCD.EXE 4.2.2.3 Ahead Software AG
-1855529 D:\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE 8.20.0.81 MUSICMATCH, Inc.
-1898313 C:\ZONE LABS\ZONEALARM\ZLCLIENT.EXE 5.1.33.0 Zone Labs Inc.
-1817569 D:\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE 8.0.0.4120 Microsoft Corporation
-1810825 D:\MICROSOFT OFFICE\OFFICE\OSA.EXE 8.0.0.3414
-1846405 C:\WINDOWS\SYSTEM\WMIEXE.EXE 5.0.1755.1 Microsoft Corporation
-1810345 C:\WINDOWS\SYSTEM\DDHELP.EXE 4.9.0.900 Microsoft Corporation
-1870045 C:\PROGRAMME\LAVALYS\EVEREST HOME EDITION\EVEREST.BIN 1.51.195.0 Lavalys, Inc.
-1673005 C:\WINDOWS\SYSTEM\PSTORES.EXE 5.0.1877.3 Microsoft Corporation
-1743729 C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE 6.0.2800.1106 Microsoft Corporation
-1534741 D:\HIJACK\HIJACKTHIS.EXE 1.99.0.1 Soeperman Enterprises Ltd.


Mein Startup

StartupList report, 10.04.05, 22:08:51
StartupList version: 1.52.2
Started from : C:\WINDOWS\TEMP\RAREXE0V.N4F\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\AHEAD\INCD\INCD.EXE
D:\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
D:\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
D:\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\LAVALYS\EVEREST HOME EDITION\EVEREST.BIN
D:\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAREXE0V.N4F\HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Startmenü\Programme\Autostart]
Microsoft-Indexerstellung.lnk = D:\Microsoft Office\Office\FINDFAST.EXE
Office-Start.lnk = D:\Microsoft Office\Office\OSA.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun
TaskMonitor = C:\WINDOWS\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
AVGCtrl = C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
InCD = d:\Ahead\InCD\InCD.exe
MMTray = D:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
Zone Labs Client = "C:\Zone Labs\ZoneAlarm\zlclient.exe"
TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
TrueVector = C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 9/4/2005, 23:9:16)

[Rename]

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - D:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\OPUC.DLL
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/downlo...22/wmv9VCM.CAB

[RdxIE Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL
CODEBASE = http://software-dl.real.com/07d2a8d1...dxIE601_de.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 5.194 bytes
Report generated in 0,057 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Vielen Dank schonmal im Voraus für die Hilfe

gruß Pagome

FancyAndy 11.04.2005 10:37
Lad Dir mal eScan runter, pdate es und lass es im abgesicherten Modus mal über Deinen PC laufen.
Öffne dass die Logfile und suche nach Infected dort siehst Du was gefunden wurde und wieviel gefunden wurde, diesen Abschnitt postest Du dann mal hier. Wir sehen dann weiter :-)

Gruß
Andy :daumenhoc

Pagome 11.04.2005 13:50
Erstmal danke für deine Unterstützung..

habe wie du gesagt hast escan benutzt und folgende Resultate bekommen:

Mon Apr 11 14:05:42 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Apr 11 14:05:42 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken


Habe mitlerweile herausgefunden, das mein Prozessor im Abgesicherten Modus 0% hat.
Habe daraufhin msconfig genutzt und den Rechner ohne Win.ini , System.ini , Autoexec.bat , config.sys und Autostartgruppe hochgefahren, auch dann ist die CPU bei 100%.

gruß Pagome

dartus 11.04.2005 14:10
Hallo,

http://www.neuber.com/taskmanager/deutsch/index.html
http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

Eines dieser beiden Prgramme sollte Dir anzeigen, wer für die Auslastung verantwortlich ist.

dartus

chaosman 11.04.2005 14:13
@Pagome
wechsle in den abgesicherten modus und fixe mit HJT
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
lösche danach manuell
C:\WINDOWS\web\related.htm

neu booten, alexa ist weg

chaosman

Pagome 11.04.2005 14:34
so, nun bin ich noch verzweifelter :headbang:
das erste Prog zeigte mir nur minimale cpu auslastung an, das zweite meinte das auch und zeigt idle von über 90% an, was als ruhefunktion ja auch passt.
Everest und mein sytemmonitor zeigen mir 100% an, Rechner hat nach wie vor keine richtige leistung, entweder er friert ein oder das Bild verschwindet kurzzeitig ( Black ) und ist wieder da.

gruß Pagome

Pagome 11.04.2005 16:00
hab ich gemacht und ALEXA ist im Himmel der Daten entschwunden, scan sagt mir keine weiteren befallenen Dateien.

ABER ....
noch immer läuft sich meine CPU die Füße wund und sagt mir 100% aber nur wie unten beschrieben, welchen Programm sollich nun glauben ????

Habe den sysmonitor erst installiert, als ich das Prob mit der Auslastung bei everest gesehen habe.

WAS NUN :heulen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129