| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.08.2009, 18:00
| #1 |
 |  PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Hallo zusammen, habe nach der Anleitung heute mal meinen PC scannen lassen da er mir seit ca. 1-2 Wochen Probleme insofern bereitet dass die CPU auslastung zu ner geringen Aktivität bzw. für den PC geringen Aktivität von 90-100% hochschießt... Nun habe ich escan im abgesicherten Modus laufen lassen und folgendes logfile bekommen: (3 kritische Sachen hat er angezeigt) @echo off REM Version 2008.03.12 REM REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen. REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge. REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten, REM freiwilligen sowie unfreiwilligen Tester. REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt. REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden. REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind REM nicht gestattet. REM REM Marc Manske, April 2007 REM ********************************************************************************* REM 0. Macht die Arbeit etwas einfacher REM ********************************************************************************* REM REM Die Startzeit wird übergeben REM %LOG% erleichtert das Tippen und verbessert den Überblick REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht: REM 1: Anzeige aller Scans REM 2: Anzeige mit Datum und Zeit in jeder Zeile REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile REM Der Paramter wird an %MODUS& übergeben. :INITIAL set TIMESTART=%TIME% set wd=%systemdrive%\escan set LOG=^>^> "%wd%\bases_x\eScan_neu.txt" set MODUS=%1 set linecnt=1 REM ********************************************************************************* REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt. REM ********************************************************************************* REM REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt. REM Die Umgebungsvariable %OS% abgefragt. :OS cls echo. echo. echo [XX______________________] echo. echo Checking OS ... IF "%OS%"=="Windows_NT" goto srchwd IF "%OS%"=="" goto wrngos REM ********************************************************************************* REM 2. Verarbeitung des Scanreports REM ********************************************************************************* REM 2.0.1 Log-Datei (mwav.log) wird gesucht REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt. REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), REM wird diese umbenannt. :srchwd %systemdrive% cd\ dir /A %systemdrive% | findstr /i "escan" if %errorlevel% equ 0 goto srchlog mkdir %wd%\bases_x goto cp2wd :srchlog dir %wd%\bases_x | findstr /i "mwav.log" if %errorlevel% equ 1 goto cp2wd ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log" REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert. :cp2wd cls echo. echo. echo [XXXX____________________] echo. echo Copying mwav.log ... dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log set /P FILE=<%wd%\bases_x\tmp.log copy "%FILE%" %wd%\bases_x\ REM 2.0.2 Installationssprache wird ermittelt REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen. :getlang cls echo. echo. echo [XXXXXX__________________] echo. echo Determing language ... reg query HKCR\eut /v "Language" > nul for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i if "%eLang%"=="German" ( goto germpath ) else ( goto wrnglang ) REM ********************************************************************************* REM ********************************************************************************* REM 2.1 Deutschsprachiger Pfad REM ********************************************************************************* REM ********************************************************************************* :germpath cls echo. echo. echo [XXXXXXXX________________] echo. echo Cleaning log ... REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten. if "%MODUS%"=="1" goto gmode1 if "%MODUS%"=="2" goto gmode2 if "%MODUS%"=="3" goto gmode3 for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log ^|findstr ^[0-3]') do (echo%%j >> %wd%\bases_x\mwav_clean.log) for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %wd%\bases_x\mwav_clean.log') do set linecnt=%%i more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log goto gstart :gmode1 for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log') do (echo %%i >> %wd%\bases_x\mwav_cut.log) goto gstart :gmode2 findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_clean.log for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %wd%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log goto gstart :gmode3 findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_cut.log REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt. REM Versionsnummer der find.bat REM OS-Version: per ver REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO) REM Im normalen Modus ist SBO nicht gesetzt. REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus. REM Programmversion: wird aus HKCR\eut gelesen REM Sprache: wurde bereits bestimmt (:getlang) REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste REM Eintrag) wird ins Log geschrieben. :gstart cls echo. echo. echo [XXXXXXXXXX______________] echo. echo Writing header ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt echo Header %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo find.bat Version 2008.03.07 %LOG% ver %LOG% findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG% if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG% echo. %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j) echo eScan Version: %eVersion% %LOG% echo Sprache: %eLang% %LOG% for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log) more %wd%\bases_x\tmp.log %LOG% echo. %LOG% REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben. REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert. REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. cls echo. echo. echo [XXXXXXXXXXXX____________] echo. echo Reported infections ... REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXX__________] echo. echo Reported files ... echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~ %LOG% echo Dateien %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Infected files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Tagged files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Offending files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG% echo ~~~~~~~~~~~ %LOG% findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG% REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXX________] echo. echo Reported folders and entries ... echo ~~~~~~~~~~~ %LOG% echo Ordner %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG% echo ~~~~~~~~~~~ %LOG% echo Registry %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG% REM 2.1.5 Deutsch: Diverses REM Meldungen über laufende Prozesse und Scanfehler REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen REM 2. Schritt: Einfuegen der Liste in das log cls echo. echo. echo [XXXXXXXXXXXXXXXXXX______] echo. echo Misc entries ... echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs echo Dim strComputer, strList>>%wd%\prclst.vbs echo strComputer ^= ".">>%wd%\prclst.vbs echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs echo Next>>%wd%\prclst.vbs echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Diverses %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo laufende Prozesse - commandline %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% cscript %wd%\prclst.vbs //nologo %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scanfehler %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Hosts-Datei %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i echo DataBasePath: %hostloc% %LOG% echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log echo Zeilen die nicht dem Standard entsprechen: %LOG% findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG% REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXX____] echo. echo Scanning stats ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Statistiken: >>%wd%\bases_x\eScan_neu.txt echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXX__] echo. echo Writing Options ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scan-Optionen %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM ********************************************************************************* REM ********************************************************************************* REM 3. Abschluss REM ********************************************************************************* REM ********************************************************************************* REM 3.1 Abschluss: Temporäre Dateien werden gelöscht. :end cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXXXX] echo. echo Cleaning up ... del %wd%\bases_x\tmp.log del %wd%\bases_x\mwav_clean.log del %wd%\bases_x\mwav_cut.log del %wd%\prclst* echo. %LOG% echo Batchstart: %TIMESTART% %LOG% echo Batchende: %TIME% %LOG% REM 3.2 Abschluss: Status wird angezeigt cls echo. echo. echo Auswertung beendet. echo Dieses Fenster schliesst, sobald Notepad geschlossen wird. REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet start notepad %wd%\bases_x\eScan_neu.txt exit REM 4.1 Abbruch: Falsches Betriebssystem :wrngos cls color 04 echo. echo Ihre Windowsversion wird nicht unterstützt. echo Die Stapelverarbeitung wird abgegbrochen. echo. pause exit REM 4.2 Abbruch: falsche Installationssprache :wrnglang cls color 04 echo. echo Fehler bei der Ermittlung der Installationssprache! echo. echo Diese Batchdatei kann nur Logdateien in deutscher Sprache echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. echo. echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um echo die Sprache bei eScan zu ändern. echo. echo Die Stapelverarbeitung wird abgebrochen. echo. pause exit |
| Themen zu PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt |
| abbruch, abgesicherten modus, anzeige, ausgelastet, auslastung, auswertung, cleaning, codes, cpu, cpu ausgelastet, dateien, englisch, escan, fehlalarm, finds, folge, hosts-datei, immer wieder, infected, infiziert, laufende prozesse, log-datei, logfile, neue, nicht vorhanden, object, ordner, probleme, prozesse, registry, scan, software, temp, temporäre dateien, tippen, win32, windows |
Baum-Darstellung