Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ca. 50% CPU Auslastung davon 20% CSRSS und SVCHOST (https://www.trojaner-board.de/30123-ca-50-cpu-auslastung-davon-20-csrss-svchost.html)

Lexel 22.06.2006 15:57
ca. 50% CPU Auslastung davon 20% CSRSS und SVCHOST
 
Hi,


egal was ich auch mache, nach kurzer Zeit habe ich nach dem Systemstart ca. 10%-15% Svchost
und 10% Csrss.exe im Task manager CPU Last(CoreDuo bei 1GHz Idle ca 50% CPU Auslastung).
Auch nvsvc32.exe macht ca. 20% CPU Auslastung, scheint aber harmlos zu sein

Auch hängt komischer Weise oft direkt nach dem Einwäler per Smartsurfer oder Discountsurfer das System fast völlig und reagiert nurnoch auf Alt+Tab, Maus und Texteingabe, jedoch geht kein Programmstart oder ähnliches.
Was ich starte kommt dann alles auf einen Rutsch ca. 2-3 Minuten nach dem es angefangen hat und der Hänger ist weg.

Habe F-Secure, aber nix fruchtet sorecht, wenn ich suche.
Habe das system deswegen 2 mal neun installiert, ohne Erfolg.
Das System habe ich jetzt weil´s mir reicht per Backup neu aufgesetzt, aber nach nichtmal 2 Tagen ist es wieder da, nochmal aufgesetzt und wieder am Folgetag das selbe Leiden.
Ich denke irgendwoher bekomme ich ständig was, was ein voll geupdates F-Secure trotzdem nicht findet.
Auch eine Suche per Internet ist wenig hilfreich.
Ich fürchte bald, dass sich jemand auf meinen ISDN Anschluss eingeschossen hat.

einige Einträge unter msconfig ist mir auch rätzelhaft
nwiz.exe /installquiet
Rundll32 cmcnfgu

Ich weiß nicht mehr weiter, ich glaube, dass ich für´s Internet nur noch Knoppix benutzen sollte, das geht ja nur über CD und Wechselmedien.


Logfile of HijackThis v1.99.1
Scan saved at 16:40:13, on 22.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\usbtapnp.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\LcdStudio\LcdStudio.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\FRAPS\FRAPS.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\XPS M1710\Startmenü\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\system32\usbtapnp.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [LcdStudio] C:\Programme\LcdStudio\LcdStudio.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] C:\PROGRAMME\FRAPS\FRAPS.EXE
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{02CE687D-660D-4418-B568-BA409266BB05}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS2\Services\Tcpip\..\{02CE687D-660D-4418-B568-BA409266BB05}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe


Gruß Stefan

Sunny 22.06.2006 18:45
Zitat:
Zitat von Lexel
Hi,


egal was ich auch mache, nach kurzer Zeit habe ich nach dem Systemstart ca. 10%-15% Svchost
und 10% Csrss.exe im Task manager CPU Last(CoreDuo bei 1GHz Idle ca 50% CPU Auslastung).
Auch nvsvc32.exe macht ca. 20% CPU Auslastung, scheint aber harmlos zu sein
Alle Prozesse sind (sollten!) harmlos sein. Ist die CPU Auslastung ständig bei 50% oder nur nach dem Systemstart?

Zitat:
Ich fürchte bald, dass sich jemand auf meinen ISDN Anschluss eingeschossen hat.
das glaube ich eher weniger! Mit F-Secure hast du dich schon gut abgesichert ;)

Zitat:
einige Einträge unter msconfig ist mir auch rätzelhaft
nwiz.exe /installquiet
Rundll32 cmcnfgu
Diese sollten auch völlig normal sein.
nwiz.exe = NVIDIA (VIRTUAL DESKTOP)
rundll32.exe nvHotkey.dll,Start = auch vom NVIDIA Treiber (Schnelltasten)

Ansonsten sieht dein Log meiner Ansicht nach sauber aus, liegt also zumindest nicht daran. Könnte wohl eher an der Hardware liegen bzw. beschädigtes Backup???

Gruß
Daniel

Lexel 22.06.2006 22:43
Hi,


die Systemlast ist von Anfang an bei ca. 50%, wenn die CPU bei 1GHz im Stromspar Modus ist.

Ich habe jetzt mal was neues Ausprobiert, und zwar den Security Task Manager.
Und prompt habe ich ein Teil gefunden, was sich im F-Secure eingenistet hat, damit ist das Backup wohl für den Arsch, dann heißt es wieder 3 Stunden alles draufspielen und einstellen.

Dieses mal werde ich das F-Secure wohl über nen andern Rechner als Firewall updaten.


Gruß Stefan

Markus1234 22.06.2006 22:48
Hättest du die GÜTE uns deine Erfahrung mitzuteilen, damit wir dem nächsten Hilfesuchenden mit demselben Problem evtl. eine AUskunft geben können?

Ich meine damit - WELCHE Datei, WO war diese und als WAS wurde sie erkannt.Wenn du mir diese Fragen nicht beantwortest kannst du von mir keine zukünftigen Hilfeleistungen erwarten (das regt mich einfach auf).

mfg,
Markus


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19