|
Svchost.exe & wuauclt.exe extrem hohe speicherauslastung Hallo, in letzter zeit habe ich immer wieder, nachdem mein pc gestartet ist, dass er für die ersten ca 5-10 min für nichts zu gebrauchen ist. Er arbeitet viel zu langsam, was denke ich mal, durch die hohe arbeitsauslastung der svchost und wuauclt exe-dateien liegt. (mehr als 160k) hier meine hijackthis logfile ich bitte um hilfe... danke ;-) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6.5\ICQ.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Xfire\xfire.exe C:\WINDOWS\system32\taskmgr.exe c:\programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://192.168.1.1/ R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRfox000&si=&a=RqFWdFtJgoaQvZ.3UcDbYw&n=2010070611 O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Jante\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Jante\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1202403439 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 5337 bytes |
1. poste einen gmer scan http://www.trojaner-board.de/74908-a...t-scanner.html 2. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide |
hier die otl und danach die extras datei. beim gmer scan habe ich leider nichts, da ich ihn nach ca 1 std laufzeit abbrechen musste. leider hat sich auch direkt danach mein pc aufgehangen so dass ich ihn neustarten musste. im anhang befinden sich die beiden dateien. |
warum musstest du ihn abbrechen? starte ihn halt noch mal neu und schau obs läuft bitte. |
Aus zeitlichen Gründen. Jetzt kann er aber ruhig wieder seine stunden durchscannen. poste das ergebnis dann. |
ok, trenne die internetverbindung und schalte alles an aktieven programmen aus, auch antivirus |
... Gibts doch nicht.... über ne std hat der gescannt und aufeinma startet windows einfach neu... und danach kommt ne systemmeldung, dass windows nach einem schwerwiegenden fehler neu gestartet wurde.... nochmal scannen wäre ja kein problem, wenn ich nebenbei trotzdem was am pc machen könnte... mist... |
ne das wäre ja nicht sinn und zweck und würde den scan verfälschen. wir versuchen was anderes. download: RootRepeal http://ad13.geekstogo.com/RootRepeal_beta.exe trenne internetverbindung, schalte alles an laufenden programmen ab. doppelklicke das programm klicke auf report und scan,hake an: Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT klicke ok nun wirst du gefragt welches laufwerk, klicke c: klicke ok. wenn fertig, wähle safe report speichere das log als RootRepeal.txt auf dem desktop poste den inhalt. |
Mhmm.. hab das programm jezz schon 2 mal scannen lassen, am schluss kommt dann nen kleineres fenster mit ok... wo das programm sich dann einfach schließt... und wenn ich vorher auf save report klicke, kommt nen fenster, wo drinne steht, dass der ordner nicht gefunden wurde und irgendwas mit rechtsklick und eigenschaften. dann kommt das normale fenster wo ich speicher kann, kann dort aber weeder desktop auwählen noch klappt es wenn ich die datei einfach speicher, das programm wirkt dann auch leicht so, als würde es abschmieren. lass es jezz nocheinmal scannen. Edit: So, das 3. mal gescannt und wieder konnte ich den report nicht speichern. hab auch keine ahnung woran das liegen könnte, kann einfach nichts auswählen beim speicherfenster, außer den dateinamen und den speicherbutton, aber selbst dann speichert er nichts, da keine datei mit dem namen vorhanden ist... schade... |
So, jezz hats geklappt. Einfach mal ne neue version runtergeladen. das layout sah auch eher nach deiner beschreibung aus, als die version von dir. naja. ist ja jezz auch egal. im anfang befindet sich der report. |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
So, hier der die Datei im Anhang. Musste das Programm aber zweimal starten, da der Pc beim ersten mal, knapp vor ende einfach neugestartet hat, wieder mit systemfehler, schwerwiegender fehler. |
download malwarebytes: Malwarebytes instalieren, updaten, über die registerkarte aktualisierung, dann schalte alles an laufenden programmen aus, trenne die internetverbindung, starte nen komplett scan, funde löschen, antivirus + internet ein, log posten. |
hier der komplette scan im anhang. |
noch immer hohe speicherauslastung? |
Ne, ist schon viel besser. Danke! Könntest du mir vlt sagen, wodran das möglicherweise gelegen haben könnte? Vielen Dank |
|
hab ich gemacht, aber der scan war noch nicht mal einer sekunde fertig und hat nichts gefunden. ist das normal? |
ne eig nicht. versuchs noch mal. evtl. mit dem internet explorer |
da stand das es probleme geben könnte, weil antivir noch an ist. also hatte ich inet ausgemacht und antivir geschlossen. aber dadurch das inet weg war konnte der natürlich net diesen online scan durchführen. dummer fehler meinerseits^^ |
ja, nur antivir ausmachen. |
hier die logdatei im anhang |
sieht ales gut aus, noch irgend n problem? |
Nö, glaub nicht, ist denk ich mal alles soweit wieder in ordnung. vielen dank! |
ok lösche die von uns genutzen tools |
Hey, musste leider grade feststellen, dass die speicherauslastung immernoch sehr hoch ist. Dabei hatte sogar nocheinmal adaware komplett scannen lassen, der auch nochmal 3 viren entdeckt hatte. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board