Gaming PC auf einmal langsamer, Virusverdacht

[Yannicki7]

Hallo,
Also ich habe im Moment ein ziemlich großes Problem mit meinem Rechner
CPU: i7 3770
GPU: GTX 660ti PNY
RAM: 16GB 1600 MHz
MoBo: Intel DH77KC
SSD: Samsung 840 Pro Series 256 GB (da ist Windows drauf)
HDD: ST1000DM003-1CH162 1TB
OS: Win 8.1

- folgendes:
Mein PC ist einfach so mal wesentlich langsamer geworden, das fiel mir erst auf, als ich mit nem Kumpel BF3 spielen wollte (läuft auf vollen Grafikeinstellungen eigentlich auf 60-120 FPS) hatte jedoch nur 7-15 FPS und auch die Texturen waren noch nicht vollkommen geladen (eher Matsch) und auch allgemein, auch nur beim Fenster verschieben in Windows , laggte es (auch bei allen anderen Anwendungen). Ich habe jedoch keine außerordentliche Belastung im Task- Manager feststellen können CPU auf einigermaßen konstanten 10% Auslastung RAM war 3.2 GB belegt, was eigentlich nicht viel ist, im Vergleich zu sonst. Treiber sind auch alle aktuell jedoch habe ich jetzt doch Angst das es ein Virus oder ähnlich sein könnte Win Defender und Avira Antivirus (free) konnten keinen Virus nach totalem Scan erkennen. Neustart bringt nichts .

Ich hoffe ihr könnt mir helfen und mir eine teure Reparatur ersparen Danke!

 

[Ernie123]

Schau mal mit dem MSI-Afterburner, wie deine GPU-Auslastung im Normalbetrieb ist. Für mich deutet es erstmal leicht in Richtung Mining-Trojaner.

 

[UNDERESTIMATED]

Installier dir mal Afterburner oder was ähnliches und beobachte deine GPU Auslastung/Taktraten/Temps während den Problemen.

 

[Yannicki7]

Oh ja merke gerade, dass meine gpu ne ziemliche auslastung hat angeblich sogar 75° (kann das sein?) Load ist auch bei 95%, was kann man da machen? und das im normalbetrieb

 

[hamleeet]

guck einfach mal in den Taskmanager, und schau da was die hohe Last verursacht

 

[Ernie123]

Guck mal, ob hier was zur Lösung beiträgt: https://www.computerbase.de/forum/threads/gpu-mining-trojaner-entdeckt-wie-entfernen.1158715/

Die Last ist auf der GPU nicht CPU.

 

[Yannicki7]

Also im Task Manager ist nichts besonderes festzustellen und Bitcoins nutze ich nicht (was hat das damit zu tun?)
Hab aber hier mal den LOg von Malwarebytes, falls ihr da was interpretieren könnt:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.27.06

Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16384
user :: SPIELECOMPUTER [limitiert]

Schutz: Aktiviert

27.12.2013 22:10:20
mbam-log-2013-12-27 (22-10-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 663421
Laufzeit: 49 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Iminent (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: {0E58603B-663B-11E2-BE82-BC05430D4509} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: {0E58603B-663B-11E2-BE82-BC05430D4509} -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 3
C:\Program Files (x86)\Gophoto.it (PUP.Optional.Gophoto.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\user\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\user\AppData\Roaming\OpenCandy\CBAB5ED7F925475EADC7664233E2EF7D (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 13
C:\Users\user\Desktop\Tools\WirelessKeyView.exe (PUP.WirelessKeyView) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\43c7bf9.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Desktop\Tools\WirelessKeyView.exe (PUP.WirelessKeyView) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\DTLite4461-0327.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\DTLite4461-0328.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_for_minecraft.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_fuer_free-3d-photo-maker.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_fuer_magix-3d-maker.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_fuer_netspeedmonitor (1).exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_fuer_netspeedmonitor.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\SoftonicDownloader_fuer_virtual-clonedrive.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\user\Downloads\windows-start-menu-vistart_8.1.0.exe (Adware.Bundler) -> Erfolgreich gelöscht und in Quarantäne gestellt.

 

[Ernie123]

Jemand benutzt deine Karte zum Bitcoin-Mining. Deswegen Trojaner. Das ist der Zusammenhang. Kann sein das ich mich irre. Eine Grafikkarte läuft nicht von alleine unter Vollast.

Bitcoins sind Geld. Wenn jemand also Bitcoins auf deine Stromkosten berechnen kann, rechnet er zum Nulltarif.

 

[Yannicki7]

Jemand benutzt deine Karte zum Bitcoin-Mining.

Das hört sich ja Scheiße an, wie kann ich das lösen?

 

[Ernie123]

Schau mal im Taskmanager, ob ein SVCHost-Prozess (Prozesse aller Benutzer anzeigen) läuft der sehr viel Speicher verbraucht und schließ ihn. (Achtung vielleicht wird Windows instabil, falls noch was zu speichern ist oder so)
Geht die GPU-Last runter?

 

[UNDERESTIMATED]

Am sichersten wäre bei sowas immer das System neu aufzusetzen, das ist kein Mediamarkt Trick, aber selbst wenn du jetzt herausfindest was da die GPU so auslastet und das löschst, weißt du dennoch nicht ob nicht schon 100 andere Trojaner/Rootkits/Malware auf deinen PC nachgeladen wurde.

 

[Ernie123]

Ich pflichte meinem Vorredner bei. Das ist auf jeden Fall die sicherste Variante. Ich will nur erstmal schauen, ob es wirklich ein Mining-Trojaner ist.

 

[Yannicki7]

Scheiße, also die scvhost.exe kann ich nicht beenden, sie erstellt sich immer wieder neu aber ja die last geht kurz runter

 

[Ernie123]

Dann sicher jetzt deine wichtigen Daten. Und für morgen hast du wohl leider was zu tun.

Eventuell doch noch eine Alternative: Versuch ihn mit einer Testversion von Kaspersky zu entfernen:
http://www.t-online.de/computer/sic...ner-zwingt-tausende-pc-zum-geldschuerfen.html

Da heißt es, dass Kaspersky ihn anscheinend erkennt.

 

[hamleeet]

Ne du hast nichts oben außer ein paar Adware's und PUP's..das liegt an den Treibern oder an der Hawrdware selbst

 

[UNDERESTIMATED]

http://technet.microsoft.com/en-us/sysinternals/bb896653

Installieren - dann mitnem Rechtsklick auf die Spalten ->Select Columns->GPU Usage die GPU-Auslastung mit anhaken, dann siehst du in der Übersicht welcher Prozess dir die GPU so auslastet und hast wenigstens schon mal deinen Übeltäter

 

[Yannicki7]

Also was jetzt? Und wenn ich meine wichtigen daten sichere, wie kann ich mir sicher sein, dass eben dort kein trojaner drin ist?

Ergänzung (28. Dezember 2013)

Also was jetzt? Und wenn ich meine wichtigen daten sichere, wie kann ich mir sicher sein, dass eben dort kein trojaner drin ist?

ich sehe gerade, mir wird sogar der zugriff verweigert scvhost zu löschen

 

[UNDERESTIMATED]

Wenn du so schlau bist und die mithilfe von einem LiveLinux auf etwas frisch formatiertes sicherst ja.
Machst dus mit deinem "Infizierten" Windows dann definitiv nein.

 

[Ernie123]

Zieh dir Kaspersky Internet Security (Testversion). Vielleicht bekommt man das Kind ja doch noch aus dem Brunnen.

hamleeet: Wie kann es an der Hardware oder dem Treiber liegen, wenn das Beenden eines SVCHost-Prozesses kurz die Auslastung auf 0 senkt, bis der Prozess wieder anläuft??? Wie?

 

[Yannicki7]

Gibt es da keine andere Möglichkeit, dem Trojaner das Internet sperren oder so? Und muss in das Linux dann in eine virtuelle maschine oder kann man das parallel installieren?

Ergänzung (28. Dezember 2013)

Gibt es da keine andere Möglichkeit, dem Trojaner das Internet sperren oder so? Und muss in das Linux dann in eine virtuelle maschine oder kann man das parallel installieren?

oder würde es was bringen den pc zurückzusetzen? (den kaspersky test lasse ich solang grad laufen)