Windows XP Prof SP 3 startet mit Pause, langsamer Bildaufbau, häufige CPU-Auslastung
 

Moin Moin aus Flensburg!

Mein Windows XP Prof 32-bit SP 3 startet seit einiger Zeit mit einer merkwürdigen Pause von einigen Sekunden (schwarzer Bildschirm) zwischen dem Erscheinen des Laufbalken und dem Win Logo mit der Meldung "Windows" wird gestartet. Nach Auswahl des Benutzerkontos legt das System wieder eine Pause ein (was es früher nicht machte), startet dann, aber der Bildschirmaufbau des Zweimonitorsystems ist langsam (manchmal ruckelig, zeilenweise) und manchmal zeigt der Process Explorer von Sysinternals eine komplette Auslastung der CPUs, was aber nicht programmspezifisch ist.

Hier noch ein paar Angaben zum Rechner:
Betriebssystem
MS Windows XP Professional 32-bit SP3
CPU
Intel Core 2 Duo E6750 @ 2.66GHz 49° C
Conroe 65nm Technologie
RAM
4.0GB Dual-Kanal DDR2 @ 399MHz (5-5-5-18)
Motherboard
Intel Corporation DG33TL (J1PR)
Grafik
SyncMaster (1600x1200@60Hz)
SyncMaster (1600x1200@60Hz)
Matrox Millennium P650 PCIe 128
Festplatten
488GB FUJITSU MAXTOR STM3500630AS (SATA) 42° C
488GB FUJITSU MAXTOR STM3500630AS (SATA) 37° C
488GB FUJITSU MAXTOR STM3500630AS (SATA) 38° C
488GB FUJITSU MAXTOR STM3500630AS (SATA) 40° C
488GB FUJITSU MAXTOR STM3500630AS (SATA) 37° C
Optische Laufwerke
PLEXTOR DVDR PX-810SA
Audio
SigmaTel High Definition Audio CODEC

Weiß jemand Rat?


Beste Grüße
Gerhard

Hallo,
Seit wann genau?
Was wurde am System bevor das auftrat verändert? "nichts"? :lach:

Mal so Rande nachgefragt, laufen die Platten einzeln oder als (Fake-)RAID?

Sorry für die verspätete Antwort (eine Grippe hat mich ins Bett gezwungen). Am System habe ich nichts geändert (weder Hard- noch Software), wenn man von regelmäßigen OS- und Programm-Updates absieht. Die fünf SATA-Platten laufen einzeln: 1 OS 2 Arbeitsdaten 3 Bilderdaten 4 Kopie der Arbeitsdaten 5 Kopie der Bilderdaten

Ist ja schön und gut, dass du Backups machst, du solltest aber min. eine Sicherung extern lagern, also externe Platte. Eine Sicherung bringt dir nichts, wenn der Rechner brennt oder du einen Verschlüsselungstrojaner hast, der auch auf jede interne Platte geht.


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Die Datensicherung der internen Platten läuft alle drei Arbeitstage. Und monatlich werden die Daten auf externe Festplatten ausgelagert (die nicht hier im Hause aufbwahrt werden). So nun ich will mal die Anleitungen befolgen.

Ok, aber eine Bitte: lass solche Zwischenrufe, poste nur wenn es Probleme gibt oder wenn du die Logs hast (diese dann auch posten in CODE-Tags)

Ok. OTL-Scan läuft (ich nehme mal an, dass das extrem langsam geht, kann ich nicht beeinflussen).

Genau solche Zwischenrufe sein lassen! Poste erst wenn du das Log hast!
Solche Zwischenrufe sind unnötiger Zeitaufwand für mich!

OTL.TXTOTL Logfile:
--- --- ---


EXTRAS.TXTOTL EXTRAS Logfile:
--- --- ---

Bitte nun Logs mit GMER (<<< klick für Anleitung) und MBAR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur MBAR aus.

Anleitung MBAR:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit quick scan 2013-03-07 18:42:46
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-8 MAXTOR_STM3500630AS rev.3.AAE 465,76GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\GERHAR~1\LOKALE~1\Temp\kxloypow.sys


---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- System - GMER 2.1 ----

SSDT sppe.sys ZwEnumerateKey [0xB9ECDDA4]
SSDT sppe.sys ZwEnumerateValueKey [0xB9ECE132]

Code BA78EBFC ZwTraceEvent
Code BA78EBFB NtTraceEvent

---- Devices - GMER 2.1 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-2f [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-8 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort4 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-10 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort5 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-1c [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-24 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP5T0L0-3a [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \FileSystem\Ntfs \Ntfs 8AB081F8

AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys

---- EOF - GMER 2.1 ----

Melde mich von meinem Netbook:
Nach dem Scan von GMER auf dem Desktop-Rechner habe ich wie angegeben einen Neustart gemacht. Windows startet, nach der Auswahl des Benutzers werden die Benutzereinstellungen geladen, dann erscheint nur ein blauer Bildschirm (keine Taskleiste, kein Desktop, nichts). Der Proecess Explorer von Sysinternal lässt sich starten und es es ist zu sehen, dass Prozesse nur bis zum explorer.exe gestartet sind. Weiter geht nix.

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
Malwarebytes : Free anti-malware download

Database version: v2013.03.07.14

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Gerhard Admin :: SACHFACH [administrator]

07.03.2013 21:42:29
mbar-log-2013-03-07 (21-42-29).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28975
Time elapsed: 14 minute(s), 22 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Die Logs bitte in CODE Tags posten




aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Diesen Eintrag bitte mit dem TDSS-Killer fixen. Aber bitte nur diesen Eintrag!

Um das zu tun musst du den TDSS-Killer neu starten und einen neuen Scan machen. Wenn du danach die Ergebnisse siehst, stellst du bitte diesen Eintrag auf CURE bzw. DELETE (je nachdem was dir angeboten wird, alle anderen bitte auf SKIP lassen! ) und klickst dann unten rechts auf continue

Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.