Hohe CPU-Auslastung

MarieC · Jan 3, 2008

Hallo zusammen!

Ich habe ein ärgerliches Problem mit meinem neuen Rechner und
wäre froh, wenn mir jemand weiterhelfen könnte.

Acer Aspire M3610
Dual Core E2140
1 GB Hauptspeicher
Windows Vista Home Premium
WLAN NETGEAR USB WG111v2

Sobald der Rechner hochgefahren ist, läuft zwar alles und die CPU-
Auslastung ist bei ca. 20%, was für meinen Geschmack eigentlich
schon hoch ist. Nach einiger Zeit steigt die CPU-Auslastung aber
deutlich an und ist z.B. bei mehr oder weniger konstanten 70%.
Ein Blick auf den Taskmanager verrät, dass folgende Prozesse
die CPU auslasten, auch wenn keine Programme von mir gestartet
sind:

WG111v2.exe: ~ 40% CPU-Auslastung
WinService.exe: ~ 24% CPU-Auslastung

Da der Prozess "WG111v2.exe" vom WLAN-Stick kommt, sollte ich
ihn nicht beenden, aber 40% scheinen mir doch übertrieben viel.

Kann mir vielleicht jemand helfen, wie ich die CPU-Auslastung auf
ein normales Maß herunterbekommen kann? Momentan ist der
Rechner langsamer als mein alter Pentium 3.

Vielen Dank schon mal!!!

deoroller · Jan 3, 2008

Mach mal bitte ein Hijackthis-Log.

Vermutlich ist ein RBot aktiv. (Backdoor-Trojaner)

MarieC · Jan 4, 2008

Hallo Deoroller,

vielen Dank für die schnelle Antwot. Ich habe Hijackthis ausgeführt
und den Logfile angehängt. Ich hoffe, dass er hilft.
Der wmplayer.exe sorgt übrigens auch regelmäßig für CPU-Spitzen.
Kann man das unterbinden?

Danke für die Hilfe,

MarieC

deoroller · Jan 4, 2008

Die rot markierte Datei bitte bei www.virustotal.com/de überprüfen lassen

O23 - Service: SCM_Service - Unknown owner - C:\Windows\System32\WinService.exe

MarieC · Jan 4, 2008

Hallo,

hier die Analyse von der Datei:

Die Datei wurde bereits analysiert:
MD5: a174e13276d418e97e30a82e3556b77c
Datum 2007.12.21 10:15:48 (CET) [>14D]
Ergebnisse 2/32
Permalink: analisis/d1c5cfd224d10993952be41570f0a5f8

Datei WinService.exe empfangen 2007.12.21 10:15:48 (CET)
Status: Beendet

Ergebnis: 2/32 (6.25%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File With Outbound Communications
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: a174e13276d418e97e30a82e3556b77c

deoroller · Jan 4, 2008

Das sieht aus, wie eine Backdoor. (Hintertür)
Beende und deaktiviere sie mal in der Diensteverwaltung.
Es könnte auch eine Fernwartung sein. Im Grunde ist das das gleiche.
Ist das dein PC und haben da noch andere Zugriff drauf?

MarieC · Jan 4, 2008

Ich habe den Prozess nun beendet und die Auslastung ist etwas
zurückgegangen. Allerdings schwankt die CPU-Auslastung immer
noch zwischen etwa 20% und 80%. Diese "Hochs" und "Tiefs"
wechseln sich etwa alle 6 Sekunden ab, so dass ein regelmäßiges
Muster im Taskmanager zu sehen ist.
Die verantwortlichen Prozesse sind übrigens:

wmplayer.exe (er tauch immer alle ~6 Sekunden auf und verschwindet
dann wieder) sowie WG111v2.exe vom Netgear WLAN-Stick.

Ich bin übrigens der einizige Benutzer des Computers.

deoroller · Jan 4, 2008

Ich kann dir nicht empfehlen, länger nach dem Fehler zu suchen, wenn Verdacht auf Kompromittierung besteht.
Andererseits kenne ich mich mit Vista nicht so gut aus, so dass ich dafür technische Hilfe zum Beheben von Treiberdefekten geben kann.
Ich empfehle dir deshalb, wichtige Daten zu sichern, c: Formatieren und Vista neu installieren.
Die Chance ist hoch, dass danach wieder alles ordentlich läuft, sofern kein Hardwaredefekt vorliegt.
Es könnten noch andere Vorschläge eingehen.
Du kannst dir ja mal das hier durchlesen und dann entscheiden:
http://de.wikipedia.org/wiki/Technische_Kompromittierung

MarieC · Jan 4, 2008

Tja, vielleicht hat ja noch jemand eine Idee. Auf jeden Fall schon mal
vielen Dank für deine Bemühungen.

Viele Grüße,

MarieC

derjazz · Jan 7, 2009

habe das selbe Problem bei einem 7300 core2duo MAinboard Asus P5b 4 GB ramm Grafikkarte 9600GT

kohmisch ist nur das es erst heute aufgetreten ist system habe ich vor einer WOche installiert ca....

HighJAck This ist im anhang hoffe das hier jemand helfen kann

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:24, on 07.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\AASP\1.00.32\aaCenter.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\atwtusb.exe
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Windows\System32\Vt001SNP.exe
C:\Windows\System32\Vt001HSN.exe
C:\Windows\System32\TBLMOUSE.EXE
C:\Program Files\EXPERTool\TBPANEL.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Trend Micro\Internet Security\TMAS_OL\TMAS_OL.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFCommander.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Trend Micro Symbolleiste - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Vt001SNP] C:\Windows\system32\Vt001SNP.exe
O4 - HKLM\..\Run: [Vt001HSN] C:\Windows\system32\Vt001HSN.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [GAINWARD] C:\Program Files\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O20 - AppInit_DLLs: acaptuser32.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Program Files\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 9224 bytes
Click to expand...

Log in or Sign up

Hohe CPU-Auslastung

MarieC ROM

deoroller Wandelndes Forum

MarieC ROM

Attached Files:

$hijackthis.txt

deoroller Wandelndes Forum

MarieC ROM

deoroller Wandelndes Forum

MarieC ROM

deoroller Wandelndes Forum

MarieC ROM

derjazz ROM

Share This Page