CPU 100% alle 3 Minuten

WannaBePro · 29.07.2008, 21:40

Hallo, ich habe seit Tagen bei grafikintensiven Spielen (WoW, NFS) das Problem, dass meine CPU ca. alle 2-3 Minuten für 1-2 Minuten zu 100% ausgelastet wird.

Ich habe Alles gemacht, Defrag, Anitiviruscheck mit AVG und Antivir (nicht parallel^^) Spywarecheck, Prozessbeobachtung im Taskmanager... nix von dem, was ich gefunden habe, hat was geholfen.

Jetzt stelle ich mein Log ein und hoffe, jemand kann was schlaues damit anfangen, bevor ich mein Betriebssystem neu aufsetze *seufz*

Vielen Dank im Voraus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:41, on 29/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\FreePDF_XP\fpassist.exe
E:\Programme\DaemonUI\DaemonUI.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Daemon\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Opera\opera.exe
e:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 121.128.133.26 gwgt2.joymax.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DaemonUI] e:\Programme\DaemonUI\DaemonUI.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\Daemon\daemon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8835E96C-F354-42D6-A2D9-523D707BDF0B}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5275 bytes

WannaBePro · 30.07.2008, 08:39

Ach ja, ich hatte auch einen TR/... Virus, der von AntiVir gefunden und gelöscht wurde . Das war meine letzte Hoffnung, war aber auch nix.

blow-in · 30.07.2008, 09:19

Hallo WannaBePro
HAst du zufällig einen Joistick, namens Joimax? Ist eigentlich auch egal. Du wirst über Korea umgeleitet.
O1 - Hosts: 121.128.133.26 gwgt2.joymax.com gehört zur Koreanischen Telecom.
Hast du schon mal in den Taskmanager geschaut, was da so viel Leistung verbraucht?
Ansonsten sieht man in deinem Log keine weiteren schlimmen Einträge.
Mach mal einen Scan mit Superantispyware poste dann noch das Ergebnis.

WannaBePro · 30.07.2008, 12:43

Ach ja, diese nette Werbung hängt sich immer unaufgefordert in die Taskleiste,. obwohl ich den IE nicht als Browser nutze.

http://67.192.120.11/ad.php?gametype...bannertypeid=5

WannaBePro · 30.07.2008, 13:12

Hallo blow-in, danke für deine antwort und den Tip mit dem Spywareprogramm. Joymaxx macht ein extrem schlecht gehostetes mmorpg namens Silkroad Online. Habe ich auch gelöscht, bei den Usern weiß man nie, wer hacken will. Hat nix gebracht.

Den Scan habe ich gemacht, er hat was gefunden, ich habe aber vergessen, das Ergebnis zu sichern und zu posten, bevor ich ihn das habe löschen lassen. Sorry...

ich bin so klug wie zuvor

WannaBePro · 30.07.2008, 15:11

Ich bins noch mal. Dies ist das Prüflog meines AntiVir. Es hat einen TR/MSI.dedem.Y gefunden aber seht selbst...

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 29. Juli 2008 18:35

Es wird nach 1518730 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:33:58
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 16:34:00
ANTIVIR3.VDF : 7.0.5.188 139264 Bytes 29.07.2008 16:34:01
Engineversion : 8.1.1.12
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 29.07.2008 16:34:07
AESCN.DLL : 8.1.0.23 119156 Bytes 29.07.2008 16:34:07
AERDL.DLL : 8.1.0.20 418165 Bytes 29.07.2008 16:34:06
AEPACK.DLL : 8.1.2.1 364917 Bytes 29.07.2008 16:34:06
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 29.07.2008 16:34:05
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 29.07.2008 16:34:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.07.2008 16:34:04
AEGEN.DLL : 8.1.0.31 311669 Bytes 29.07.2008 16:34:03
AEEMU.DLL : 8.1.0.6 430451 Bytes 29.07.2008 16:34:03
AECORE.DLL : 8.1.1.7 172406 Bytes 29.07.2008 16:34:02
AEBB.DLL : 8.1.0.1 53617 Bytes 29.07.2008 16:34:02
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98561 Bytes 29.07.2008 16:34:01
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:, G:, H:, I:, J:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 29. Juli 2008 18:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DaemonUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Volume>
E:\Download\cryptload.zip
[0] Archivtyp: ZIP
--> cl08seCu10/plugins/123share.org.dll
[FUND] Ist das Trojanische Pferd TR/MSIL.Dedem.I
--> cl08seCu10/plugins/dxp.divxvid.org.dll
[FUND] Ist das Trojanische Pferd TR/MSIL.Dedem.Z
--> cl08seCu10/plugins/link-protector.com.dll
[FUND] Ist das Trojanische Pferd TR/MSIL.Dedem.U
--> cl08seCu10/plugins/lix.in.dll
[FUND] Ist das Trojanische Pferd TR/MSIL.Dedem.V
--> cl08seCu10/plugins/rs.dr.ag.1.dll
[FUND] Ist das Trojanische Pferd TR/MSIL.Dedem.Y
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'F:\' <Volume>
Beginne mit der Suche in 'G:\'
Beginne mit der Suche in 'H:\'
Beginne mit der Suche in 'I:\' <Volume>
Beginne mit der Suche in 'J:\' <Volume>
J:\System Volume Information\_restore{9440457E-C174-47DC-B961-12F8244B6671}\RP96\A0124657.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Ende des Suchlaufs: Dienstag, 29. Juli 2008 19:55
Benötigte Zeit: 1:20:53 min

Der Suchlauf wurde vollständig durchgeführt.

10761 Verzeichnisse wurden überprüft
419590 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
419585 Dateien ohne Befall
5066 Archive wurden durchsucht
3 Warnungen
1 Hinweise

blow-in · 31.07.2008, 09:44

Hallo Wanna
Du hast auf E: eine ZIP-Datei E:\Download\cryptload.zip geladen. In der befindet sich wohl der Trojaner. Wenn ich das so richtig definiere ist das etwas wohl eine illegale Datei?
Lösche sie. Im Anschluss noch die Systemwiederhertsellung deaktivieren, Rechner ausschalten, und nach 1 Minute wieder einschalten.
Dann wende noch den CCleaner gemäß der Anleitung an. Die Registry dabei mehrmals nach Fehlern suchen lassen bis nichts mehr gefunden wird.
Danach dein Avira mal aggresiv einstellen und scannen lassen.
Dann noch ein neues HijackThis Log posten.

CPU 100% alle 3 Minuten

Log-Analyse und Auswertung: CPU 100% alle 3 Minuten