NT Kernel und System kurzzeitig 50% Auslastung

Hallo,

während mein System läuft kommt es immer wieder vor, das der unten beschriebene Prozess mein System zu 50% auslastet. Dies geschieht nur relativ kurzzeitig (so 10-20 sec) nervt aber beim zocken. Danach läuft alles wieder mehere Minuten flüssig (der Prozess benötigt so 0-5% höchstens). Als ich mich auf die Fehlersuche gemacht habe habe ich erstmal gegoogelt aber nix passenden gefunden. Ich habe mehrmals gelesen das es etwas mit Netzwerkkarten/-verbindungen zu tun hat. Ich weiß aber nicht, wie ich die Probleme damit finden/beheben kann. Ich habe auch keinen Netzwerkadapter den ich, weil ich ihn nicht brauche, deaktivieren kann.
Weiterhin ist mit aufgefallen, das es bei mir einen verdächtigen Autostarteintrag gibt (siehe unten). Immer wenn ich Windows starte, kommt eine Meldung (Datei öffnen - Sicherheitswarnung; Möchten diese Datei ausführen). Ich breche das immer ab (kommt bei jedem Start 2x oder so). Die Datei (Winlogon.exe) befindet sich ja normalerweise im Windows Haupterverzeichniss oder System32 oder so (auf jeden Fall nicht dort von wo immer versucht wird sie auszuführen). Auch kann ich diese Datei am angegebenen Ort nicht finden. Ich habe versucht den Autostarteintrag mit dem CCleaner zu deaktivieren/löschen, aber der Autostarteintrag wird immer wieder neu gesetzt. Ich bin mir nicht sicher, ob das etwas damit zu tun habe aber erwähne es sicherhaitshalber mit.
Hat einer von euch eine Idee, wie ich das Problem beheben kann?
Ich habe jetzt noch genaue Informationen zum Problem angehängt, sowie ein HijackThis Logfile. Ich hoffe ihr könnt mir helfen.

Vielen Dank im Vorraus

new2f7

Prozess:
Abbildname: System
Benutzername: SYSTEM
CPU: 0-50% Auslastung
Arbeitsspeicher: 60 K
Beschreibung: NT Kernel & System

Beschreibung im Process Explorer:
- Untergliederung des "System Idle Process"
- gleichgestellt mit "Interrupts" und "DCPs"
- grau unterlegt
- PID: 4
- Private Bytes: 116K
- Working Set: 580 K
- Untergliedert in "smss.exe"

Autostarteintrag:
Schlüssel: HKLM:Run
Programm: Cerberus
Datei: C\Useres\Bobi\AppData\Roaming\Winlogon.exe

Mein System:
Windows 7 64 bit
AMD Athlon 64 6000+ (2x3Ghz)
ZOTAC GeForce GTS 250
MSI K9N Neo v2 mit 4 GB RAM

HijackThis Logfile:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:28:24, on 20.07.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Fraps\fraps.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Games\Steam\Steam.exe
C:\Program Files (x86)\ICQ7.1\ICQ.exe
C:\Program Files (x86)\TechniSat DVB\bin\Server4PC.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Xfire\Xfire.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Program Files (x86)\Common Files\Realtime Soft\RTSHookInterop\x32\RTSHookInterop.exe
C:\Games\Anno\Anno 1404\tools\Anno4Web.exe
C:\Program Files (x86)\Java\jre6\bin\javaw.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
F:\Install Programme\HiJack This 2.0.4.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live

\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DelReg] C:\Program Files (x86)\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKLM\..\Policies\Explorer\Run: [Cerberus] C:\Users\Bobi\AppData\Roaming\WinLogon.exe
O4 - HKCU\..\Policies\Explorer\Run: [Cerberus] C:\Users\Bobi\AppData\Roaming\WinLogon.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\Xfire.exe
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files (x86)\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Server4PC.lnk = C:\Program Files (x86)\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision

\nvSCPAPISvr.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file

missing)

--
End of file - 9234 bytes

 

Code:

O4 - HKLM\..\Policies\Explorer\Run: [Cerberus] C:\Users\Bobi\AppData\Roaming\[COLOR="Red"][B]WinLogon.exe[/B][/COLOR]
O4 - HKCU\..\Policies\Explorer\Run: [Cerberus] C:\Users\Bobi\AppData\Roaming\WinLogon.exe

Bei Jotti/Virustotal untersuchen lassen.

 

Bei Jottis virusscan hats irgendwie nicht geklappt. Der Datei-Hochladen Buttom blieb grau. Ich hab Winlogon.exe dann bei VirusTotal hochgeladen:

http://www.virustotal.com/de/analis...7f58b22ad6b9bc920f5b5631dc07507979-1279498976

Die im Link genannte Datei hatte ich wirklich mal auf meinem PC habe sie aber schon längst gelöscht. Auch ist sie nicht der auslöser für die übermäsige auslastung NT Kernel und System-Prozesses, weil das Problem schon vorher bestanden hat (und ich um dieses zu lösen hatte ich mir dieses Programm besorgt, was aber nicht geklappt hat).

Ich wollte anschliessend die Datei "Winlogon.exe" löschen. Aber unter dem angegebenen Pfad kann ich sie nicht finden. Ist auch nicht versteckt. Wie kann ich diese Datei löschen?

 

Wenn du C:\WINDOWS\system32\winlogon.exe löschst, kannst du dich nicht mehr am System anmelden. Die Datei kannst du aber trotzdem mal bei Virustotal untersuchen lassen. Sie kann von einem Trojaner (Vundo) befallen werden. Dazu kannst du auch mal MRT.exe (Microsoft Windows-Tool zum Entfernen bösartiger Software) manuell aus dem System32-Ordner starten. Dort ist es vorhanden, wenn das Tool beim Windows Update herunter geladen und ausgeführt worden ist.

 

naja es handelt sich doch nicht um die orginale winlogon.exe, sondern um einen Virus oder so der sich im C:\Users\Bobi\AppData\Roaming\WinLogon.exe befindet und den selben namen hat oder?
oder ist das die normale winlogon.exe (die müsste sich doch eigentlich in system32 befinden)?

ich lasse mrt.exe gerade den ordner C:\Users\Bobi\AppData durchsuchen, aber wie es aussieht scant er doch den ganzen computer...

 

Kann man bei Windows 7 nicht den Pfad zum Prozess im Taskmanager einblenden? Wenn du es da ncith überprüfen kannst, kannst du mal mit Process Explorer nach gucken.

 

also wenn ich im task manager auf den prozess rechtsklick eigenschaften mache, dann kommt das eigenschaftfenster von system32 und bei dateipfad öffnen kommt man bei dektop raus. beim process explorer ist dort noch smss.exe aufgeführt aber sonst kp
ich weiß nicht so richtig wie man mit dem process explorer umgeht

 

Eventuell liegt es an ZoneAlarm.

 

mmh ich weiß nciht so recht
zone alarm hab ich erst vor 1 oder 2 tagen installiert und alle probleme hier sind schon viel früher aufgetreten

MRT.exe hat nix gefunden cih habe Software system32 und AppData gescannt, ich probiere es jetzt noch mal mit dem gesammten c:\Windows verzeichniss

 

Wieso hast du dann ZA installiert? Wenn bereits Netzwerkfehler vorliegen, installiert man nicht zusätzlich eine Software, die da auch "pfuscht".
Ist jetzt die Windows Firewall deaktiviert?

 

ja ist deaktiviert habe ich schon gemacht als ich avira antivir installiert habe
ich musste ein programm blocken

der scan des windows verzeichnisses mit mrt.exe hat auch keine malware etc gefunden

ist die datei c:\users\bobi\appdata\roaming\winlogon.exe nun ein trojaner oder nciht? ich hab irgendwo mal gelesen das alle winlogon.exe die nicht in c\windows\system32 sind viren oder so sind

 

Das ist ein Trojaner.
http://forum.chip.de/viren-trojaner-wuermer/winlogon-exe-loeschen-beenden-1377618.html

 

muss ich meinen pc neu machen oder gibt es irgend ne andere möglichkeit wie ich den löschen kann?

 

Anderes wirst du das nicht sicher in den Griff kriegen.

 

so ne schiesse
naja vielen dank für deine schnelle Hilfe

 

@new2f7:

Das kommt davon, wenn man ungeschützt ins Internet geht.....

Am besten gehst du so vor:

Als erstens lade dir den UpdatePack herunter: http://winfuture.de/UpdatePack ( achte bitte auf Windows-Version!!!!! ) und speicherst das auf USB-Stick oder externe Medien......

danach trennst du den Internet komplett und installierst Windows 7 neu, anschließend den WinFuturePack ( den du vorher heruntergeladen hast )

damit ist der PC soweit aktuell.....

nun installierst du den Antiviren-Programm ( Update noch nicht durchführen !!!! )

Neustart, danach kannst du Internet wieder anklemmen.....

Voila nun bist du sicher vor Viren etc.

LG SUSE_DJAlex

 

jo danke für deinen tipp
ich hab bloß keine lust meinen pc neu zu machen so lange alles andere (auser diese nervige meldung beim start) funktioniert
warscheinlich würde eine neuinstallation das problem mit der kurzzeitigen cpu auslastung beheben aber ich bin nicht davon überzeugt, das der trojaner der grund dafür ist, weil das problem schon vorher aufgetreten ist
auserdem blokiere ich immer den start des programmes, weshalb die fake-winlogon.exe noch nie ausgeführt wurde und ich deshalb auser die 10 sekunden-lags ordentlich zocken kann

 

WOW HEUTE HAT AVIRA ANTIVIR DIE MALWRE ERKANNT UND SOFORT GELÖSCHT - ALLE SYMPTOME SIND WEG, MEIN PC IST GEHEILT, BETET ZU DEN ANTIVIRENPROGRAMMEN, BEGEHT REGELMÄSSIG OPFERGABEN IN FORM VON UPDATES UND DEM HOCHLADEN VON VERDÄCHTIGEN DATEIN UM DEN HACKER ZU ENTFLIEHEN...

MUHHHHA

 

Was macht dich da so sicher?

 

beim starten kommt nicht mehr diese hässliche meldung und beim zocken heute ist mir nix aufgefallen