|
CPU-Auslastung plötzlich 100% Eins vorneweg: Ich habe nur Anwender-Erfahrung bei Computern. Mit Viren u.dgl. habe ich bisher (zum Glück) nichts zu tun gehabt. Ich habe den Norton Antivirus 2003 installiert und halte die Virendefinitionen stets auf dem neuesten Stand. Das klappte bisher ganz gut. Seit kurzem habe ich aber das folgende Problem: Nach einem Weilchen springt die CPU-Auslastung aus heiterem Himmel auf 100% und bleibt dort (im Leerlauf!). Gemäss Task-Manager verursacht der Prozess "rundll32.exe" 99% der CPU-Auslastung. Beheben lässt sich dies nur durch einen Neustart - beim Herunterfahren kommt dann jeweils das Fenster "Programm beenden...", obwohl kein Programm offen war. Was könnte die Ursache sein? Virus? Trojaner? Der Norton Antivirus findet nichts... Vielen Dank für die Hilfe! |
Also downlaod hir mal das Programm (hijackthis) runter: http://www.net-integration.net/tools/hijackthis.html lass es durch laufen und speicher das lodfiel und poste es hier!!! |
Zitat:
http://www.net-integration.net/tools/hijackthis.html |
Also das sieht so aus: Logfile of HijackThis v1.98.2 Scan saved at 15:32:19, on 24.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\IBM\Messages By IBM\ibmmessages.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\BroadJump\Client Foundation\CFD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE C:\WINDOWS\System32\Drivers\SAP\FD.exe C:\Programme\Xpoint\PE\Skin\rrpcsb.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Xpoint\PE\pcrecsa.exe C:\Programme\Handspring\HOTSYNC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\System32\ZoneLabs\vsmon.exe C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe C:\PROGRA~1\Xpoint\agent\Xpagent.exe C:\PROGRA~1\Xpoint\EEClient\xpclient.exe C:\WINDOWS\system32\cmd.exe C:\PROGRA~1\Xpoint\SAS\jre\bin\javaw.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe F:\Antivirus\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nzz.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [frymxins] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe O4 - HKLM\..\Run: [Rapid Restore] C:\Programme\Xpoint\PE\Skin\rrpcsb.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Handspring\HOTSYNC.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - http://bannerfarm.ace.advertising.co...1141040727.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11e7dae1...dxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EA7D44-4496-4A28-9356-A8A3A6A4B74E}: Domain = unisg.ch O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAAB0DB-3528-4CE4-93C7-9DB75A82283A}: Domain = unisg.ch |
Jetzt kannst du auf: http://www.hijackthis.de/index.php und dein ergebnis in diesen feld kopieren !! !!! |
Habe ich gemacht: viele gut, viele unbekannte, zwei unnötige (aber ungefährlich), drei eventuell böse - von letzteren kann ich zwei ausschliessen. dieser sieht mir aber suspekt aus: O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - http://bannerfarm.ace.advertising.co...er1141040727.E XE Was soll ich tun? Warum ist mein Log eigentlich so lang? Die anderen sind meist deutlich kürzer -habe ich so viele laufende Prozesse? Wie kann ich das ändern? Vielen Dank für die Hilfe! |
Hallo Marcus, Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com --> bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\Programme\BroadJump\Client Foundation\CFD.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE C:\Programme\Xpoint\PE\Skin\rrpcsb.exe C:\Programme\Xpoint\PE\pcrecsa.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe C:\PROGRA~1\Xpoint\agent\Xpagent.exe C:\PROGRA~1\Xpoint\EEClient\xpclient.exe --> teile uns das Ergebnis der Überprüfung mit. --> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen: (Häk'chen setzen und auf Fix Checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.nzz.ch/ O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44297DA} - h**p://bannerfarm.ace.advertising.c...r1141040727.EXE --> erst genau überprüfen: O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EA7D44-4496-4A28-9356-A8A3A6A4B74E}: Domain = unisg.ch boote in den normalen Modus. Aktiviere die Systemwiederherstellung. --> Erstelle ein neues Hijack This Logfile und poste es. SD |
Werde ich machen - danke. Meine Uni hat mal ein mail verschickt und "dringend davon abgeraten", das SP2 herunterzuladen, da sonst diverse Programme nicht mehr funktionieren würden. Was heisst "fixen": Da ich einen IBM habe, kommt mir "IBM Java Console" eigentlich vertrauenswürdig vor... Die Domain "unisg.ch" kenne ich - ist die Domain meiner Uni - trotzdem fixen? Danke. |
Habe noch eScan laufen lassen - ergab das folgende: File C:\...\Setup.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken File C:\...\downloader.exe infected by "TrojanDownloader.Win32.Mosw" Virus. Action Taken: No Action Taken. File C:\...\regpe.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken. File C:\...\mvmpc.exe tagged as not-a-virus: Tool.Win32.Reboot. No Action Taken. Was ist zu tun? Danke. |
Betreffend: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.nzz.ch/ "www.nzz.ch" ist schon meine Startpage (Neue Zürcher Zeitung, bin Schweizer) - trotzdem fixen? Merci. |
@ Marcus, was hat die Untersuchung der von mir zum prüfen genannten Dateien ergeben? Bitte teile uns das Ergebnis des Online-Scans mit und lösche diese Datein vorläufig (noch) nicht. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. SD |
Von den untersuchten Dateien waren alle ok, ausser zwei: 1. C:\Programme\BroadJump\Client Foundation\CFD.exe: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) 2. C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PS W.EXE: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Was ist zu tun? Gruss & Dank Marcus |
Nichts, die zwei Dateien sind schon OK. |
OK, habe soweit alle Tipps befolgt. Die CPU-Auslastung (100%) ist bis jetzt nicht mehr aufgetaucht - mal sehen, ob's anhält. Jedenfalls herzlichen Dank für die Tipps! Super Forum! Grüsse aus der Schweiz Marcus |
Noch eine Frage: Der Norton Antivirus soll ja nur ungenügend schützen (warum ist er dann eigentlich noch Marktführer...?). Welches Programm soll ich mir zulegen, wenn ich "eines für alles" will, das mich wirksam vor jeglicher Malware (das ist doch der Oberbegriff für Viren, Trojaner, Würmer u.dgl., oder?) schützt, einfach (!) zu bedienen ist und zudem mein System nicht völlig ausbremst? Oder habe ich da gleich drei Wünsche auf einmal? Gibt es da ein Kinder Überraschungs-Ei Pendant? Wenn nicht, welche Kombination aus Programmen ist zu empfehlen? Vielen Dank für die Hilfe Marcus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:03 Uhr. |
Copyright ©2000-2024, Trojaner-Board