Hallo Zusammen,

mein Laptop verhaelt sich seit einigen Tagen komisch!
Manchmal lauft es ganz normal, um dann im naechsten Moment vollkommen ueberfordert zu sein (Auslastung Leerlaufprozess nahe 100%)! Ich hab das Gefuehl, dass es v.a. bei Windows selbst (starten etc.) und bei Windowsprogrammen auftritt (IE, Outlook, Wlan), kann aber auch Einbildung sein! Erwaehnenswert ist noch, dass das Problem besteht, seitdem ich versucht habe, eine Verbindung zu einem (unbekannten) Drahtlosnetzwerk herzustellen. Da ich eine Verbindung hatte, aber keine Seiten etc. oeffnen konnte, wurde mir die Sache mulmig und ich hab die Verbindung gekappt...

Hab schon Antivir etc durchlaufen lassen - ohne Befund!
Ein Programm hat smitfraud Browser Hijacker gefunden, habe versucht den mit der Anleitung hier im Forum zu entfernen, hat aber glaub ich nicht geklappt! Hat es was mit smitfraud zu tun?

Ich poste hier mal die Logfile von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 13:29:57, on 14.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Infineon\Security Platform Software\SpTNA.exe
C:\Programme\Softex\OmniPass\scureapp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\*****~1\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unimelb.edu.au/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.unimelb.edu.au/cgi-bin/proxy.pac
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [IfxSecurePlatformIndication] C:\Programme\Infineon\Security Platform Software\SpTNA.exe
O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IfxWlxEN - C:\WINDOWS\SYSTEM32\IfxWlxEN.dll
O20 - Winlogon Notify: OPXPGina - C:\Programme\Softex\OmniPass\opxpgina.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich hoffe ihr koennt mir weiterhelfen!
Und zu guter Letzt: Ich wuerde natuerlich einfach C: formatieren, aber ich bin zurzeit in Australien und habe kein Windows, Office, etc. dabei...

Gruess aus down under

Max

Hallo.

Im Logfile kann ich nichts Böses sehen, offensichtliche Malware scheint's wohl nicht zu sein - sofern Malware für das Problem überhaupt verantwortlich ist.
Ich seh bei dir laufen die automatischen Windows Updates:

C:\WINDOWS\system32\wuauclt.exe

Wenn die laufen, kommt es schon mal vor, dass eine svchost.exe und eben die wuauclt.exe Prozessorlast verursachen. Überprüf das mal, lass alle wichtigen Updates einspielen, reboote die Kiste und beobachte ob das problem weg ist.

Hi Arne,

danke fuer die prompte Antwort!

Updates laufen nicht, sofern ich das erkenne...Normalerweise wird das ja in der Taskleiste angezeigt und ich werde gefragt, ob ich die Updates auch will.

Mit dem Hijacker kann es nichts zu tun haben, oder?

Hast du vielleicht noch eine Idee, womit ich das System kostenlos pruefen und gegebenenfalls bereinigen kann?

MfG

Max

Zitat:

Updates laufen nicht, sofern ich das erkenne...Normalerweise wird das ja in der Taskleiste angezeigt und ich werde gefragt, ob ich die Updates auch will.

Die Auflistung der Prozesse spricht aber eine andere Sprache
Führ mal aus:

wuauclt.exe /detectnow

Dann sollten die Updates eigentlich sofort anspringen, sofern noch welche installiert werden müssen.

Zitat:

Hast du vielleicht noch eine Idee, womit ich das System kostenlos pruefen und gegebenenfalls bereinigen kann?

Du könntest einen Check mit eScan machen, folge dem link in meiner Sig.

Gerade geht wieder gar nichts!
Der Leerlaufprozess lastet den CPU nahezu vollkommen aus...Warum?

Moment mal, der Leerlaufprozess zeigt doch immer eine recht hohe Last an oder nicht. Aber das bezieht sich rel. au die Gesamtauslastung des Rechners.
Wie hoch ist die Gesamtauslastung der CPU? Reiter Systemleistung, CPU-Nutzung. Welcher Wert wird das angezeigt?

Hallo Arne,

war zwei Wochen unterwegs und der Rechner ruhte! Versuche aber weiterhin mein Computerproblem zu lösen. Beim Ausführen von wuauclt.exe /detectnow passiert nichts. Die Sanduhr läuft kurz und das wars.
Die CPU-Auslastung ist übrigens normal und du hast Recht, der Leerlaufprozess ist immer hoch.

Hast du noch einen Tipp, was ich tun kann, ich dreh langsam durch, da vernünftiges Arbeiten/Surfen/Mailen nicht möglich ist!

Gruß

Max

Den Tipp mit eScan hab ich dir doch schon gegeben!
Ansonsten könntest du mal den Autostart ausmisten. Gerade dieser Eintrag von Adobe

Zitat:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

Kann das System ziemlich verlangsamen, lt. Userkommentaren in hijackthis.de jedenfalls.

hallo leute!
ich hab mal alles durchforstet, komm aber nicht wirklich drauf, wie ich mein problem am besten formulieren soll...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]