WinXP:EXPLORER.EXE hat hohe Auslastung

desos · 02.07.2007, 15:58

Hallo liebe Trojaner-Board-Gemeinde,

habe auf einem XP-System eine sehr hohe Auslastung der "EXPLORER.EXE". Auffällig hierbei ist, dass diese im Taskmanager bei den Prozessen groß geschrieben wird.
Laut Logfile, welches ich Euch nachfolgend gepostet habe, scheint es jedoch dennoch die normale c:\windows\explorer.exe zu sein. Was mir dabei wiederum auffällt, dass die restlichen \WINDOWS\ Einträge im Gegensatz dazu im Logfile groß geschrieben waren.

Bin für jeden Hinweis zur Lösung des Problems dankbar. Konnte im Forum leider keinen Beitrag finden, der mich weitergebracht hat, da die Problemstellungen mit dortigen Explorer.Exe´n immer differenziert dazu war.

Besten Dank vorab!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

desos · 02.07.2007, 21:02

Hier das Logfile in bearbeiteter Form:
(konnte den Erstbeitrag nicht mehr ändern - wäre das noch irgendwie gegangen nach dem [Edit] von "GUA"?)
Hoffe es ist so richtig.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:32:26, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\macromed\flash\GetFlash.exe
T:\downloads\rpcserver4.12\rpcserver.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
c:\windows\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\Bufgix_20070702\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://192.168.0.200/activex/AxisCamControl.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10981 bytes

undoreal · 03.07.2007, 09:20

Hallo desos. Das hört sich für mich nach einem Windows Prob an. Zur Sicherheit könntest du die explorer.exe mal bei VT hochladen..

Gruß

Undoreal

desos · 03.07.2007, 10:33

Herzlichen Dank für Deine Einschätzung,

der Scan der c:\windows\explorer.exe bei VT brachte ein negatives Ergebnis.
(siehe unten)

Fresse mich gerade etwas in den Process Explorer von Microsoft rein, um einzugrenzen von wo aus die Belastung auf den explorer.exe-Prozsess auftritt.

Falls mir jemand noch einen Tipp hat bin ich sehr dankbar. Werde auch wenn es nichts mit einem Trojaner oder ähnlichem zu tun hat in jedem Fall noch das Ergebnis posten, da die Frage in dem Zusammenhang ja immer wieder mal auftritt.

Viele Grüße

Complete scanning result of "explorer.exe", received in VirusTotal at 07.03.2007, 10:38:25 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.03.2007 no virus found
AntiVir 7.4.0.37 07.03.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.02.2007 no virus found
AVG 7.5.0.476 07.02.2007 no virus found
BitDefender 7.2 07.03.2007 no virus found
CAT-QuickHeal 9.00 07.02.2007 no virus found
ClamAV devel-20070416 07.03.2007 no virus found
DrWeb 4.33 07.03.2007 no virus found
eSafe 7.0.15.0 07.03.2007 no virus found
eTrust-Vet 30.8.3760 07.03.2007 no virus found
Ewido 4.0 07.02.2007 no virus found
FileAdvisor 1 07.03.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.03.2007 no virus found
Ikarus T3.1.1.8 07.03.2007 no virus found
Kaspersky 4.0.2.24 07.03.2007 no virus found
McAfee 5065 07.02.2007 no virus found
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2373 07.03.2007 no virus found
Norman 5.80.02 07.02.2007 no virus found
Panda 9.0.0.4 07.02.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.02.2007 no virus found
Symantec 10 07.03.2007 no virus found
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.02.2007 no virus found
VirusBuster 4.3.23:9 07.02.2007 no virus found
Webwasher-Gateway 6.0.1 07.03.2007 no virus found

Aditional Information
File size: 1035264 bytes
MD5: 22fe1be02eadde1632e478e4125639e0
SHA1: 1d220a818eb52f5895de1c2cec9db8cf9c67c189

felix1 · 03.07.2007, 18:01

Hi,

ich tippe eher darauf das ein Programm und nicht die Explorer.exe die Ursache für die hohe Auslastung ist. Manche Programme binden sich in den Explorer mit ein und können damit auch manchmal Probleme verursachen.

Überlege dir mal welche Proggis laufen, wenn die Explorer.exe auf hohe Auslastung geht!

Gruss

desos · 04.07.2007, 11:54

Danke auch für diesen Hinweis,

ich konnte selbst bereits feststellen, dass das Problem nur bei einem bestimmten User auftrat. Neuangelegte User hatten das Problem nicht. Scheint ggf. also doch mit einem Proggi zusammenzuhängen, welches bei diesem User gestartet wurde. Konnte es aber bisher nicht eingrenzen, da nun das Phänomen auftrat, dass nach einigen User hin und herwechseln das Problem auch nicht mehr bei dem ursprünglichen User auftrat. Auch nach Neustart mit direktem Login auf den gewünschten User trat das Problem nicht mehr auf. Bin mal gespannt, ob es sich nun erledigt hat oder wieder von neuem auftritt.

Viele Grüße

undoreal · 04.07.2007, 12:07

Windoof

03.07.2007, 09:20	#3
undoreal /// AVZ-Toolkit Guru	WinXP:EXPLORER.EXE hat hohe Auslastung Hallo desos. Das hört sich für mich nach einem Windows Prob an. Zur Sicherheit könntest du die explorer.exe mal bei VT hochladen.. Gruß Undoreal __________________ __________________

03.07.2007, 18:01	#5
felix1 /// Helfer-Team	WinXP:EXPLORER.EXE hat hohe Auslastung Hi, ich tippe eher darauf das ein Programm und nicht die Explorer.exe die Ursache für die hohe Auslastung ist. Manche Programme binden sich in den Explorer mit ein und können damit auch manchmal Probleme verursachen. Überlege dir mal welche Proggis laufen, wenn die Explorer.exe auf hohe Auslastung geht! Gruss

04.07.2007, 12:07	#7
undoreal /// AVZ-Toolkit Guru	WinXP:EXPLORER.EXE hat hohe Auslastung Windoof __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

WinXP:EXPLORER.EXE hat hohe Auslastung

Log-Analyse und Auswertung: WinXP:EXPLORER.EXE hat hohe Auslastung