Hallo
Ich habe folgendes Problem und ich hoffe ihr könnt mir weiterhelfen...
In unregelmäßigen Abstäden, aber sehr oft ist mein CPU plötzlich zu 95%-100% mehrere Minuten ausgelastet, der ganze Pc hängt dann und dies ist auf die dauer ziemlich nervig. So plötzlich und unbegründet wie sie kam geht sie dann auch wieder weg. Ich kann auch nicht erkennen welches Programm diese Auslastung auslöst, im Taskmanager springt die 99 Auslastung von Prozess zu Prozess, manchmal teilt sie sich auch auf 2 bis 3 Prozesse auf. Mein AntiVir erkennt nichts. Habe auch meine Festplatte schon neu formatiert, aber nach 2-3 Monaten kam das Problem erneut....



Logfile of HijackThis v1.98.2
Scan saved at 18:21:31, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\torty\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CA3E6A-B13B-469F-87D7-CC9EA977383F}: NameServer = 212.185.252.73,194.25.2.129


Thanx für die Mühe

Hallo,

Zitat:

Habe auch meine Festplatte schon neu formatiert, aber nach 2-3 Monaten kam das Problem erneut....

Das wundert mich nicht, denn dein System hat noch keine Patches von dir gesehen!
Meiner Meinung nach dürfte es sich eher um aktive Malware handeln, aber dies ist aus dem Log-File nicht ersichtlich.

Welche Prozesse haben diese hohe Auslastung?

Zur Sicherheit:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach die Virus Log Information des eScan posten.

HI Cidre

den Virusscan konnte ich noch nicht runterladen, der Iexplorer hängt sich immer auf wenn ich es von der Seite versuchen will. Probier es später nochmal...

Es sind eigentlich immer alle Prozesse welche die Auslastung verursachen, von sekunde zu sekunde springt die 99 von einem Prozess zum andern oder splittet sich auch manchmal zwischen zwei drei auf, so dass z. B. 3 prozesse 33% Auslastung bewirken. Es kommt sogar öfters vor dass 99% durch den LEERLAUFPROZESS verursacht werden!

Was ist aktive Malware?

Was für Patches? Windows? Gibt es die auch woanders als von der Microsoft Seite?

Danke für die Mühe

Zitat:

Was ist aktive Malware?

http://de.wikipedia.org/wiki/Malware

Zitat:

Was für Patches? Windows? Gibt es die auch woanders als von der Microsoft Seite?

Nein, die gibt es nur bei Microsoft. Wieso?
Diese Patches schließen deine Sicherheitslücken und stabilisieren dein System.
Eventuell könnte das auch eine Ursache sein.
Also dringendst diese Seite http://v5.windowsupdate.microsoft.co...r/default.aspx besuchen.

problem ist bin nicht registriert bei microsoft ;-)

Du brauchst dich doch bei Microsoft nicht registrieren.
Benutzt du ein gecracktes XP?
Wenn ja, dann lade wenigstens alle Sicherheitspatches runter.

hab die sicherheitsupdates runtergeladen, der servive Pack 2 ging net wegen Serial Nummer

Problem besteht weiterhin, was kann ich noch tun????

hi
hab jetzt escan benutzt folgendes kam raus:

Tue Sep 28 19:50:35 2004 => Total Number of Files Scanned: 78230
Tue Sep 28 19:50:35 2004 => Total Number of Virus(es) Found: 7
Tue Sep 28 19:50:35 2004 => Total Number of Disinfected Files: 0
Tue Sep 28 19:50:35 2004 => Total Number of Files Renamed: 0
Tue Sep 28 19:50:35 2004 => Total Number of Deleted Files: 1
Tue Sep 28 19:50:35 2004 => Total Number of Errors: 8
Tue Sep 28 19:50:35 2004 => Time Elapsed: 00:56:18
Tue Sep 28 19:50:35 2004 => Virus Database Date: 2004/09/28
Tue Sep 28 19:50:35 2004 => Virus Database Count: 104503

Hier die Zeilen aus dem Log, wo was passiert ist:
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

*** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***

Tue Sep 28 18:42:32 2004 => ERROR!!! Invalid Entry System32\DRIVERS\btaudio.sys in SYSTEM\CurrentControlSet\Services\BtAudio...

Tue Sep 28 18:42:32 2004 => ERROR!!! Invalid Entry System32\DRIVERS\btport.sys in SYSTEM\CurrentControlSet\Services\BTDriver...

Tue Sep 28 18:42:32 2004 => ERROR!!! Invalid Entry System32\DRIVERS\btwdndis.sys in SYSTEM\CurrentControlSet\Services\BTWDNDIS...

Tue Sep 28 18:42:32 2004 => ERROR!!! Invalid Entry System32\Drivers\btwusb.sys in SYSTEM\CurrentControlSet\Services\BTWUSB...


ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...

ERROR!!! Invalid Entry system32\drivers\mohfilt.sys in SYSTEM\CurrentControlSet\Services\mohfilt...

ERROR!!! Invalid Entry \??\C:\DOKUME~1\torty\LOKALE~1\Temp\nsysaudm.sys in SYSTEM\CurrentControlSet\Services\nsysaudm...

ERROR!!! ScanFile fails for C:\WINDOWS\SchedLgU.Txt

ERROR!!! ScanFile fails for C:\WINDOWS\WindowsUpdate.log

ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Cookies\index.dat

ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat

ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT

ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG

=> ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)

usw.

Der Virus war nenTrojanClicker.Win32.Soromo.b in C:\windows\update.exe

Was hat das mit den Invalid Entree auf sich?
und mit der htpatch.exe?

Ich hoffe der erkannte Trojaner hat man Problem gelöst...

Gruß

@torty0815

kuckst du hier
http://www.sophos.de/virusinfo/analy...ojsoromoa.html

chaosman

an dem Trojaner lags wohl nicht, hab ne unveränderte Auslastung von 99%

Waskann ich noch dagegen machen????

Zitat:

Es kommt sogar öfters vor dass 99% durch den LEERLAUFPROZESS verursacht werden!

Das soll im Ruhezustand ja auch so sein.

Welcher Prozess, nenne auch diesmal Namen, lastet das System aus?

ja im normalfall ist auch bei mir auch so, dass wenn ne 99 bei Leerlaufprozess steht mein cpu nur mit einem Prozent ausgelastet ist
Aber wenn mein Pc seine "Anfälle" wie jetzt gerade bedeutet eine 99 bei Leerlauf auch 99 cpu Auslastung
ok du willst namen: taskmgr.exe, Iexplore.exe overnet.exe, icqlite.exe, diese Prozesse sind momentan beteiligt...

Ich weiß nicht mehr weiter

HI

Das Problem ist zu einer Katastrophe geworden:
Hab windows noch mal draufgespielt (glaube reperaturinstallation) beim ersten Systemstart kam dann ein blauer Bildschirm mit folgendem Text:

Es wurde ein Problem festgestellt, Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

Wenn sie diese Fehlermeldung zum ersten Mal angezeigt bekommen, sollten sie den Computer neu starten, wenn diese Meldung weiterhin angezeigt wird, müssen sie folgende Schritten folgen.

Stellen sie sicher das ausreichend Festplattenplatz verfügbar ist. Deaktivieren sie den Treiber oder fragen sie den Hersteller nach einem Update, falls ein Treiber in der Nachricht angegeben ist. Tauschen sie die Videokarten aus.

Fragen sie bei ihrem Hardwarehersteller nach einem BIOS-Updates. Deaktivieren sie BIOS Speicheroptionen wie Caching oder Shadowring.
... (hier wird erklärt wie man in den abgesicherten Modus kommt)...

Technische Iformation:
*** Stop: x0000008e (0xc0000005, 0x804f2906, 0xf4ce8708,0x00000000)

Speicherbild des physischen Speichers wird erstellt.

Dieser Bildschirm kommt nun jedesmal wenn ich windows normal starten will!!! Was ist zu tun? Festplattenspeicher ist genügend vorhanden, keine Ahnung was für ein Treiber hier gemeint ist....

Bitte um Hilfe!!!

Zitat:

Technische Information:
*** Stop: x0000008e (0xc0000005, 0x804f2906, 0xf4ce8708,0x00000000)
Was ist zu tun?

Um den Fehler weiterhin eingrenzen zu können, wäre es zusätzlich wichtig, wenn du die Datei posten würdest, die unter der Stop Meldung steht.

Zitat:

0x0000008E: KERNEL_MODE_EXCEPTION_NOT_HANDLED
Lies bitte den Online gestellten MSDN Artikel (Englisch).
Lies auch 0x1000008E


Fehlermeldung "STOP 0x0000008e" während Windows XP Setup {315335} (WinXP)
Während der Installation von Microsoft Windows XP wird Ihnen möglicherweise eine Fehlermeldung angezeigt, die der folgenden ähnelt:
STOP 0x0000008e oder STOP 0x00000050 PAGE_FAULT_IN_NON_PAGED_AREA
Wenn Sie eine Fehlerbehandlung durchführen, indem Sie alle nicht benötigten Hardwaregeräte entfernen, die auf Ihrem Computer installiert
sind, und dann das Setup-Programm ausführen, wird möglicherweise folgende Fehlermeldung angezeigt:
Die Datei Setupdd.sys kann nicht kopiert werden.

Games: "Stop" Error Message That References Nv4_disp.dll {325730 } (Microsoft Flight Simulator)
STOP: 0x0000008E (0XC0000005, 0XBFA6EEE4, 0XBA8151374, 0X00000000)
Nv4_disp.dll - Address BFA6EEE4, base at BF9B8000, Datestamp 3b8f4298

Your Computer Stops Responding When You Use the Highlighter Feature and the Font Color Feature {829578} (WinXP)

Quelle: http://www.jasik.de/shutdown/stop_fehler.htm

Hallo torty...
hatte bis vor kurzem das gleiche problem... Neuer Rechner, WinXP, alles super, das Tuning von Chip-online.de einmal durchgefuehrt (manuell) und mein pc startete in 4 sekunden war dodal flink. Dann kam das Problem. hab norton systemworks 2004 installiert, alle komponenten, und irgendwann dann hatte ich 99 % system auslastung. Davon benutzen 75% ständig die "services.exe" und 25% staendig die "hot_plug.exe". Keiner konnte mir helfen... habs allein geschafft.

Problem war folgendes:
Mein neues ASRock K7S8XE Bord hat einen Raid-Controler drauf, aber ich hab ihn nicht eingebunden, da ich momentan erstmal mit 1 IDE auskommen muss (der bitter Geldmangel :-)...). Irgendwann hat Norton SysWorks (nehme mal an beim suchen nach der 2. Festplatte des Raid-Controlers) dann das "Raid-Hot_Plugin" gestartet, und dieses hat mit seinen 25% Systemauslastung eine Auslastung durch die "services.exe" verursacht. Die services.exe kann man nicht beenden, den Prozess und seine Struktur auch nicht.

Meine Loesung:
Ich hab im Taskmanager (nachdem er dann mal nach etlichen Minuten oben war) die hot_plug.exe beendet, und per msconfig in "systemstart" die selbe deaktivert. seit dem hat mein Rechner wieder alte leistung... hab dann NortonSystemW 2004 wieder raufgeknallt (gleiches problem nach dem 1. vollcheck) und bei der naechsten gelegenheit die hot_plug.exe erneut deaktivert via msconfig -> systemstart

Schau mal ob du von meinem Vorgehen was brauche kannst. Hab leider nicht die Zeit, alle Threats zu deinem problem zu lesen, evtl. hastes ja scho geloest, aber vielleicht hilft dir das hier a bisl...

LG ... Supplex