Hallo Leute,
ich habe ein kleines Problem mit meinem Rechner.
Er lahmt seit einiger Zeit immer mehr rum und nach dem "Hochfahren" braucht er einige Minuten bis ich überhaupt ins Internet kann.
Nun ist mir gestern, im Taskmanager, aufgefallen das meine CPU-Auslastung bei ~90% liegt, und alleine der Explorer etwa 70% davon benötigt und das bei 22 laufenden Prozessen.
Erst war ich wegen einem möglichen Virenbefall in Sorge aber nach einem erfolglosem Antivirus- und Spywarecheck sowie einem Durchlauf von "Clearprog" bestand das Problem noch immer.
Ich poste mal meine Rechnerdaten, einen HijackThis-Log sowie einen Screenshot.

CPU Typ: DualCore Intel Pentium D 940, 3200 MHz (16 x 200)
Motherboard Chipsatz: SiS 649
Arbeitsspeicher: 1024 MB (SDRAM)
BIOS Typ: AMI (04/19/06)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:23, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [u*l=h..p://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [u*l=h..p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [u*l=h..p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [u*l=h..p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [u*l=h..p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [u*l]h..p://....spaces.live.com//PhotoUpload/MsnPUpld.cab[/url]
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - [u*l]h..p://www.bitdefender.de/scan_de/scan8/oscan8.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [u*l]h..p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187905745234[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [u*l]h..p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E90800-3545-41F4-8B44-662DC5EB2FB3}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4579 bytes




Der Rechner ist etwa ein Jahr alt,nicht übertaktet und die Temperatur sowie der Verschmutzungsgrad sind auch im üblichen Bereich.

Ich hoffe ihr könnt mir helfen denn ich habe keinen Schimmer was ich tun soll.

Hm kann es sein das doch ein Virus mein System befallen hat?
Mein Virenscanner kann 3 Dateien nicht öffnen und schickt ne Warnung raus.
Das wäre die Datei C:\Pagefile.sys(war glaube die Auslagerungsdatei), C:\Windows\Winup.exe(mir völlig unbekannt) und C:\WINDOWS\system32\drivers\Sptd.sys(sagt mir auch net viel).
Wäre nett wenn mir jemand dabei helfen könnte.

Winup.exe sagt mir das hier.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Windows\Winup.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hm zum Thema Winup.exe:

Name W32/Rbot-BPR
Typ Spyware-Wurm

Verbreitungsweise Netzwerkfreigaben

Anfällige Betriebssysteme Windows

Nebeneffekte Ermöglicht Dritten den Zugriff auf den Computer
Lädt Code aus dem Internet herunter
Speichert Tastenfolgen
Installiert sich in der Registrierung
Nutzt bekannte Schwachstellen aus
Wird für DOS-Attacken verwendet

Alias Backdoor.Win32.Rbot.adi

Schutz verfügbar seit 19 Januar 2006 09:01:13 (GMT)

--------------

Jep und genau das ist auch passiert.
Ich habe mir Spybot runtergeladen und installiert.
Nach dem ersten Durchlauf standen 3 Sachen in rot: Sicherheitscenter,Firewall und Antivir... alles in deren Registrierung oder so.
Naja habe das soweit bereinigt, die Systemwiederherstellung deaktiviert und den Rechner im abgesicherten Modus neugestartet.
Habe dann alles nochmal durchlaufen lassen und diesmal hat Antivir dieses Winup.exe identifiziert und in Quarantäne geschoben.
So wie es aussieht darf ich erstmal alle Passwörter ändern da der Fraggel meine Tastenfolgen gespeichert und sicher auch versendet hat.

Jedenfalls ist dieses Winup.exe nun in Quarantäne und der Rechner läuft wieder wie geschmiert.

p.s. Ich hab nochn Screen von dem Störenfried gemacht.

Die Datei lag unter c:\windows, das heißt sie ist aktiv geworden.
In diesem fall reicht ein einfaches verschieben in die Quarantäne nicht aus.
Weitere Dateien können nachgeladen worden sein, daher sollte Dein System neu aufgestezt werden.
Eine Anleitung dazu findest Du hier.

Hm ich habe über 200gb Daten auf der Platte und werde die jetzt bestimmt nicht löschen weil ich momentan keine Möglichkeit habe diese Daten irgendwo anders zu speichern.
Naja wie dem auch sei, danke für die Hilfe.

Jeder wie er es meint.
Denke aber dran, dass Du auch eine Gefahr für andere sein kannst.
Um Dich zu vergewissern, was da noch läuft, solltest Du den Netzwerkverkehr mitsniffen und das für mindestend 24h! Wireshark ist ein sehr mächtiges dafür geeignetes Programm.
Aber wie gesagt: Alles auf eigene Gefahr. Wohl an.

Okay ich werde es mit Wireshark probieren.
sry aber ich habe momentan nicht die finanziellen möglichkeiten meine daten zu retten . :/