Hallo, die Datei Winword.exe frisst 99% Auslastung des Prozessors (ersichtlich im Task Manager), obwohl kein Office geöffnet ist!! Ist das ein Trojaner?? Datei WINWORD.EXE-3395695A.pf hab ich gefunden in: C:\Windows\Prefetch. Ist das normal? Weiterhin in C:\Programme\Microsoft Office\OFFICE11.

Habe Windows XP Home SP2, alle Updates sind drauf. Mit Antivir, SpyBot und AdAware habe ich nichts gefunden!

Hier der HijackThis Logfile, kann mir einer helfen? DANKE:
Logfile of HijackThis v1.99.1
Scan saved at 20:39:09, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\wzbfe0\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.***.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.***.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.***.com/customize/fuji/defaults/su/*h**p://www.***.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://**.***.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{77468997-2915-4C5A-9FA4-F50D351B868A}: NameServer = 192.168.2.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lasse die Dateien
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sm56hlpr.exe

hier prüfen:
virustotal jotti Kaspersky

Teile die Ergebnisse mit.

Danke, habs prüfen lassen, aber die von dir genannten Dateien sind wohl absolut sauber. Sind sie dir verdächtig? Hab das Problem erst seit ein, zwei, Tagen. Im Task Manager kann ich den Prozess winword.exe einfach abschalten, dann geht die Auslastungsofort runter. Aber wieso lädt die Datei überhaupt? Hab ein ungutes Gefühl. Any idea anyone??

Hallo Engino,
scanne dein System doch bitte mit escan

chaosman

Edit Hi Felix1
chaos is back

Und dann auch noch das laden, installieren und ausführen:
F-Secure Blacklight

@Hallo Chaosman
Lange nichts mehr von Dir gelesen

Hallo felix1,

hab f-secure ausgeführt- 0 items found. winword.exe wird als process gescannt, wenn ich auf das Ergebnis winword.exe klicke erscheint als Infomation Microsoft Office bzw. Word, also scheinbar nichts Schlimmes. Wieso zum Teufel lädt es automatisch, wenn ich den Laptop hochfahre? 100% CPU kann doch nicht wahr sein.
@chaosman: danke, aber traue dem Programm nicht, registrieren, dann noch malware, die man manuell entfernen soll/muss.
Und nun? Gruß

Dann warten wir mal auf das Ergebnis vom escan, wie Chaosman Dir geraten hat.
Dem Programm kannst Du vertrauen.

Hallo felix1, escan möchte ich nicht. Hab gelesen, was man alles unternehmen muss, um die Malware zu entfernen. Das ist ja einen eigenen Beitrag wert- suche Lösungen, Probleme hab ich selber genug. (=ich bin nicht so ein IT-Crack, der soviel Zeit dafür hat). Trotzdem danke.

So brutal, wie das jetzt klingen mag: Du willst die Dir gegebenen Hinweise nicht beachten oder den gezeigten Wegen nicht folgen. Das ist Dein Problem. Entweder Du folgst den Hinweisen oder Du bleibst, wo Du bist.
Ich stelle hier die Hilfe ein.
Chaosman wird das sicherlich auch nicht anders sehen.
Also:

***********PLONK************

@felix1,

nur mal nebenbei bemerkt.
Du hast schon häufig einem TO die "NUBs" zitiert.
Als Regular sollte man dies auch befolgen, denn ein kurzes "googeln" hätte ergeben, das diese Dateien:
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sm56hlpr.exe
absolut sauber sind!

dartus

Hm...die Reaktion finde ich aber auch etwas merkwürdig. Hört sich ein bisschen an wie "Wasch mich, aber mach mich nicht nass!".
@Engino: Wie sollen wir hier aus der Ferne sonst herausfinden, ob sich ein potentieller Schädling im System befindet?

Hallo, wenn ich die Microsoft Office 2003-Testversion (nicht aktiviert) öffne, fällt die Auslastung auf normale 0-2% runter. Wenn ich das Officeprogramm dann schließe (durch Abbrechen, da ich weder die Testversion registrieren noch Office kaufen will), verabschiedet sich winword.exe komplett. Habe auch mit "Security Task Manager" eine Prüfung laufen lassen: er erkennt winword.exe als unschädliches Programm und zeigt an, dass es von Microsoft sei. Die Frage bleibt, wieso winword.exe immer automatisch gestartet wird, wenn der Laptop hochfährt. Ein Freund meint, das hänge mit der Office Testversion zusammen u. sei quasi ein Bug. Vielleicht in der Registry winword.exe löschen?

Hallo, ich habe auch das Problem das winword.exe bei mir eine fast 100%ige CPU Auslastung verursacht.
Ich habe schon wie empfohlen den escan bei abgesichertem Modus durchgeführt. Leider bin ich was das Ergebnis betrifft ein Laie.
Vielleicht könnt ihr mir helfen was die infizierten Dateien betrifft und was ich jetzt tun soll.
Vielen Dank schon mal.

31 Dez 2008 19:22:13 - [Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED]
31 Dez 2008 19:22:13 - Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4747a92c.qua
31 Dez 2008 19:22:13 - Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4763bdc4.qua

Habe auch das Problem gerade gehabt und überhaupt keine Hilfe bei Deutschen Foren gefunden! Dann habe ich es bei den Amerikanern versucht, und, siehe da! Das Problem hat schon im Jahr 2000 eine Lösung gefunden: Die Rechtschreibung Überprüfung während der Eingabe ist das Problem! Die Option ausklicken, und schon ist das Problem weg!!!! Wenn das nicht hilft, suche weiter...

Hier der Link: Gripes about Microsoft Word