99% cpu-auslastung (leerlauf) 1 min nach WinXP start, systemfreeze

[Kladde]

hallo liebe leute

folgendes problem beim rechner meiner freundin: winxp sp2 fährt ganz normal hoch und man kann so ca. eine minute nach der anmeldung alles normal benutzen. dann aber wird das ganze system extrem langsam und der leerlaufprozess nimmt 99% der cpu-auslastung ein, alle anderen prozesse haben 0%.

wenn ich z.b. in der ersten minute nach dem hochfahren nen virenscan laufen lasse (cpu-auslastung >0%), fährt diese sich nach ca. 1 min auf 0% runter und so gut wie nix geht mehr. man kann die maus noch bewegen, die "num-leuchte" auf der tastatur geht noch an und aus und wenn man vor dem "freeze" den taskmanager gestartet hat, kann man auch noch die scroll-leiste im reiter "prozesse" bewegen, aber sonst hängt alles.
im abgesicherten modus (mit und ohne netzerktreiber) funktioniert alles ohne probleme und die temperaturen der hardware sind auch kein problem.

vorher war auf ihrem rechner norton antivirus 2004 drauf, was ich aber letztens deinstalliert habe (zuerst ohne manuelles reste entfernen) und antivir pe 2007 dafür aufgespielt habe. das ist aber schon eine woche her und die probleme traten erst gestern auf. auch ein restloses entfernen aller registry-einträge und ordner von symantec/norton haben nichts gebracht.

hab dann mal die platte ausgebaut und bei mir extern angeschlossen und mit antivir pe 2007 gescannt.

ich hoffe, ihr könnt mir helfen. danke!

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 7. Juni 2007 12:29

Es wird nach 809055 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Scheinii
Computername: PCSCHEINII

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 22.04.2007 11:28:50
AVSCAN.DLL : 7.0.4.0 41000 Bytes 20.04.2007 09:36:35
LUKE.DLL : 7.0.4.11 143400 Bytes 20.04.2007 09:36:36
LUKERES.DLL : 7.0.4.0 10792 Bytes 20.04.2007 09:36:36
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 20:54:02
ANTIVIR2.VDF : 6.38.1.227 320000 Bytes 05.06.2007 19:14:04
ANTIVIR3.VDF : 6.38.2.5 44544 Bytes 06.06.2007 19:30:05
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 05.06.2007 19:14:04
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 09:36:35
AVPREF.DLL : 7.0.2.1 24616 Bytes 20.04.2007 09:36:35
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 09:36:36
AVPACK32.DLL : 7.3.0.10 360488 Bytes 31.05.2007 18:47:04
AVREG.DLL : 7.0.1.2 31784 Bytes 20.04.2007 09:36:35
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 20.04.2007 09:36:35
AVARKT.DLL : 1.0.0.17 278568 Bytes 10.05.2007 13:18:15
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 09:36:36
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 20.04.2007 09:36:32
RCTEXT.DLL : 7.0.45.0 86056 Bytes 20.04.2007 09:36:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Scheinii\LOKALE~1\Temp\bdbb011a.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: I:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 7. Juni 2007 12:29

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'J:\' <Daten>
Beginne mit der Suche in 'H:\' <system>
H:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\comuid.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\es.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\ole32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB828741$\txflog.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'I:\' <Games>


Ende des Suchlaufs: Donnerstag, 7. Juni 2007 13:02
Benötigte Zeit: 33:04 min

Der Suchlauf wurde vollständig durchgeführt.

5116 Verzeichnisse wurden überprüft
270375 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
36 Dateien konnten nicht durchsucht werden
270375 Dateien ohne Befall
3201 Archive wurden durchsucht
36 Warnungen
9 Hinweise
0 Versteckte Objekte wurden gefunden

hijackthis lieferte folgende ergebnisse:

Logfile of HijackThis v1.99.1
Scan saved at 12:06:38, on 07.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Anne\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-leipzig.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120989330066
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)

 

[Zedar]

Also theoretisch kann das daran liegen, das da noch Reste der Regestry des alten Norton noch irgendwo sind. Die machen dann den 2-Virenkiller-Effekt.

Versuch mal, wenn das irgendwie geht, mit nem Regscrubber die Regestry zu säubern.

Vielleicht bringts ja was.

Gruß Zedar

 

[China]

Oder such manuell per "regedit" nach Einträgen in "CurrentUser" und "LocalMachine".
Sollten Ordner namens Symantec sein...

 

[Kladde]

hat leider nix gebracht. habe alle registry einträge mit "norton" und "symantec" manuelle entfernt und der regcleaner findet auch nichts mehr. auch wenn ich antivir wieder deinstalliere bleibt das problem.

der security taskmanager stuft allerdings eine datei C:\WINDOWS\system32\Suchspur.dll mit 77 punkten als gefährlich ein. bei beschreibung steht dort "Suchspur.SuchspurObj.1 (Browser Erweiterungen)" und bei Hersteller/Produkt steht " : Suchspur ".
kurz googeln ergab, dass es wohl eine spyware/malware o.ä. ist. hab die beiden einträge

O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
...
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM

mit hijackthis gefixed und die google toolbar deinstalliert, aber das problem besteht weiterhin.

 

[Ria]

... extrem langsam und der leerlaufprozess nimmt 99% der cpu-auslastung ein, alle anderen prozesse haben 0%.

Hallo,

wenn der Leerlaufprozess 99, 97 ... Prozent anzeigt, dann läuft das System zu 99, 97 ... Prozent im Leerlauf.

Je mehr Leistung von einem x-beliebigen, anderen Prozess in Anspruch genommen wird, desto niedriger wird er Wert vom Leerlaufprozess.

Lass Dir über den Task Manager - Registerkarte "Systemleistung" - die Grafiken anzeigen, dann verstehst Du besser, wie die Sache aufgebaut ist.


Bei dem Freeze-Problem, könnte ich mir vorstellen, dass Du die Symantec-Software nicht korrekt deinstalliert wurde.

Dazu: Auch wenn die spezielle Software von Symantec zur Deinstallation "SymNRT§ benutzt wurde, bleiben viele Dateien, Verzeichnisse und Registry-Einträge im System, die AntiVir behindern. In den Foren von AntiVir gibt es Informationen dazu.


mfg

Ria

 

[zazie]

Ich kenne solche Probleme eigentlich nur noch aus W98 SE-Zeiten (dort musste ich schliesslich neuinstallieren).

Nur so als Ideen:
- In den geposteten Log-Files fallen Zeilen auf, wo nicht (mehr) vorhandene Files aufgerufen werden (beispielsweise letzte Zeile hijack-Log: offenbar hat's doch noch Symantec-Reste, sonst gäbe es keinen Aufruf mehr)
- etwas nebulös scheint mir auch der Aufruf des Star-Force Removal-Tools

 

[Kladde]

nach zwei online-antivirenscans und manuellem gelösche geb ich's auf und werd formatieren und windows neu installieren.

@zazie: in dem hijackthis-log war noch ein norton-eintrag vorhanden, weil ich nach dem logfile erstellen noch norton-reste gefunden und gelöscht habe, aber danach kein neues logfile gespeichert hatte.

@ria: wenn ich kurz nach dem hochfahren anwendungen gestartet habe, die eine bestimmte cpu-auslastung (größer als null prozent) haben, dann wurden diese nach ca. einer minute auf null prozent zurückgefahren, der idle war bei 99% und das system hing fest.

trotzdem vielen dank für eure ratschläge

wen es noch interessiert:
ein kaspersky onlinescan ergab: "H:\Dokumente und Einstellungen\Anne\Desktop\downloads\zugang_vorlagen.exe Infizierte Objekte: Backdoor.Win32.Agent.abv"
und bei panda activescan wurden 51 spyware-sachen gefunden.