|
CPU-Auslastung habe seit 2 tagen massive probleme mit dem pc. cpu ist meist ausgelastet, denke es könnte ein dialer sein oder etwas ähnliches. leider habe ich wenig ahnung von der materie, habe aber mit hijack das logfile erstellt. wäre nett, wenn mir jemand helfen könnte, ein seitenaufbau dauert teilweise 10 min oder länger... :-( Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:24:16, on 05.05.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Skype\Phone\Skype.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Olympus\DSSPlayerPro\DevDtct.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINNT\system32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Isabella\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: DeviceDetect.lnk = C:\Programme\Olympus\DSSPlayerPro\DevDtct.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126367690796 O17 - HKLM\System\CCS\Services\Tcpip\..\{9F80139D-AB3D-4F31-A9C8-E34C03576FF9}: NameServer = 217.237.150.188 217.237.151.142 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe -- End of file - 6888 bytes |
Das Logfile sieht ok aus. Schau mal in den Taskmanager rein und mach den Prozeß ausfindig, der die CPU so beschäftigt. Hat Kaspersky mal irgendwann was gefunden? Und noch ein paar Anmerkungen: - Java Version 1.4xx solltest Du dringend deinstallieren und auf die neue Version umsteigen - von Spybot S&D den Teatimer abschalten/deinstallieren - NICHT den Internet Explorer nutzen - Version 6 ist viel zu unsicher und Windows 2000 läßt sich nicht auf IE7 upgraden! - Vllt mal den Autostart ausmisten - Skype, ICQ etc. müssen nun wirklich nicht immer bei jedem Systemstart mitgeladen werden. Das macht sich inbesondere bei älteren PCs mit wenig RAM sehr stark bemerkbar! |
vielen dank... eine frage habe ich noch: wie finde ich das raus, welcher prozess vor allem für die auslastung verantwortlich ist? firefox ist mit knapp 75 kb speicher das höchste, das ich sehe. avp.exe ist das einzige, das schwankungen unterworfen ist. ach ja, noch eins: wie miste ich den autostart aus? sorry für die für euch sicher etwas banalen fragen... |
Zitat:
Also welcher Prozeß am meisten schluckt. Betrachte das aber im Zusammenhang mit der gesamten CPU-Auslastung im reiter "Systemleistung" im Taskmanager. Denn die Auflistungen der CPU-Auslastungen der einzelnen Prozesse beziehen sich darauf. Zitat:
|
okay, habe einen trojaner an bord. Win32/Delf.k!Trojan oder auch: Trojan.Win32.Delf kaspersky kann den nicht in quarantäne setzen. bin wirklich dankbar für die hilfe. ach ja: beim task-manager und der systemleistung erkenne ich nur ein diagramm, aber im einzelnen kann ich da nichts sehen, vor allem, weil die funktionalität wirklich sehr stark eingeschränkt ist. |
Pfadangabe? Poste bitte das Log von Kaspersky. |
C:\WINNT\system32\RegSrvc.exe |
Werte die Datei mal bitte hier aus und poste alle Ergebnisse! Deaktiviere den Kaspersky temporär, damit keine veränderte Datei ort hochgelaen wird! |
http://www.virustotal.com/de/analisis/1163fb43845de9e3f567290788a81082 ist der link. brauchst du die analyse? analysiert noch. |
http://www.virustotal.com/de/analisis/4fc0f6c89d2c05f1e53cfc4084d1905f |
Sry, aber das sieht alles andere als gut aus! Das Teil wird überwiegend als Backdoor eingestuft, was bedeutet, daß ein Dritter längst Zugriff auf Deinen System hatte und wesentlich besser versteckte Sachen platziert haben konnte. Ich würde Dir empfehlen kein weiteres Risiko mehr einzugehen und das System neu aufzusetzen. |
vielen dank für deine mühe... :-) klingt nicht gut. vielleicht besorge ich mir gleich xp, mal sehen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board