Problem mit fservice.exe und 100% CPU Auslastung

[tiger888]

Hi,
ich war bis gestern mit ein paar Freunden auf ner LAN und bis dato hat auch noch alles funktioniert doch als ich heute früh den PC anmachen wollte fingen die Problme an.

1. Wenn ich auf dem Deshtop bin kommt der Fehler das die fservice.exe nicht gefunden wurde.
Was kann ich dagegen machen?

2. Außerdem hab ich seit heute früh eine CPU Auslastung von 90-100%.
Woran kann das liegne

Bitte heflf mir.
Schonmal DANKE im vorraus!

Hab hier mal noch ein LogFile mit HijackThis gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 13:09:14, on 20.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\CSSOUR~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chip.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame *****en\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame *****en\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cbagent_standard_1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E6E5A0-9E5A-423D-9DFB-44FD22D11B53}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame *****en\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[Erde]

Hi

Erst mal zu dein Logfile von HijackThis,ich konnte nur einen Trojaner erkennen.

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

=> deutet auf den Troj/Prorat-I hin => fixen bitte, aber in abgesicherten Modus.

Auch hast du eine ctfmon.exe diese ein Programm ist und zu Office gehört.
Diese exe bremst vor allem ältere Systeme merklich aus. Diese überwacht offene Fenster, und noch dazu als Spracherkennung.
Ebenfalls der zur verfügungstellung, alternativer Texteingabegeräte oder Spracherkennung.

Um diese zu deaktivieren gehst wie folgt vor.
Start => Ausführen und msconfig eingeben, mit ok. bestätigen.

Jetzt bekommst du eine reihe´von Programmen diese bei jeden Start deiner Kiste ausgeführt werden, somit auch der Eintrag ctfmon.exe.
Deaktiviere das häckchen vor dem Eintrag und mit ok. betsätigen, Kiste neu Starten.

salodu erde

 

[tiger888]

Wie fixe ich den Trojaner?

Was ist wenn es dann immer noch nicht geht?

 

[Erde]

Hi

Wie fixe ich den Trojaner?

Wenn du mit HijackThis ein Scan gemacht hast, suchst du diese Datei F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe machst ein häckchen ins kastel, dann schaust du wieder etwas runter neben den Button Save Log ist ein Button Fix checked, darauf klicken und mit ok. betsätigen.

Was ist wenn es dann immer noch nicht geht?

Dann poste nochmal, oder machst gleich eine Windows XP Reparatur.

saludo erde

 

[tiger888]

Das hab ich gefixed und die Fehlermeldung ist auch weg doch die CPU Auslastung bleibt bei 100%

Was nun?

Hier noch das aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:25:25, on 20.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\CSSOUR~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chip.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame *****en\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame *****en\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cbagent_standard_1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E6E5A0-9E5A-423D-9DFB-44FD22D11B53}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame *****en\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[Erde]

Hi

Erst mal vorweg, ich mache das hier aus freien Stücken, da kann man wenigstens ab und zu mehr Höfflichkeit erwarten.

Was nun?

Öffne dein Taskmanager, Karte Prozesse nachsehen, welcher Prozess die CPU so stark auslastet. Ist der Prozess bekannt, dann nach eigenem Gutdünken handeln.

Isser unbekannt Googeln. Hat nichts geholfen wieder hier nachfragen.


saludo erde

 

[tiger888]

Hi,
das ist ja das komische, im Taskmanager ist kein Prozess der der eine hohe Auslastung hat.
Ich hab nur eins gemerkt:
Da gibt es eine svchost.exe und die ist ein Netzwerkdienst. Wenn ich den Prozess beende, dann erscheint ein Fenster in dem steht das sich der PC automatisch in 60 Sekunden runterfährt.
Was kann ich dagegen machen?

hab noch ein Bild von meinem Systemstart mit drangehängt aber da ist auch nichts auffälliges zu sehen.

 

[Erde]

Hi

Erstelle mal ein Screenshot vom Taskmanager deren Prozesse hier rein.
Mal sehen ob da was hängen geblieben ist.

In der Zeit schaue ich mir nochmal Logfile an.

Auf denn Bild vom Systemstart erkennt man zu wennig.

saludo erde

 

[tiger888]

Hi,
hier ist das Bild:
Das sind alle meine laufenden Prozesse

 

[Erde]

Hi

Also ich habe auch nichts erkennen können was deine CPU auf 100% auslastet.

Lasse mal noch hier nach Spyware testen.

Und hier ein Symantec Security Check.

Auch würde ich dir empfehlen sämtliche exen die bei dir nutzlos im Hintergrund laufen zu fixen.
Jde exe ist Internetfähig, und verbindet sich automatisch mit den Internet.

Bei mir sieht das so aus.

 

[SUID:root]

ATKKBService.exe => wahrscheinlich Malware

O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cbagent_standard_1.cab => keine Ahnung. Noch nie gesehen

Aber wie ich in deiner MSCONFIG gesehen habe, hattest du ja schon mehr Malware drauf.
Veilleicht solltest du mal den KAv updaten und an deiner "Sicherheitspolitik" feilen.

Deine Explorer.exe läuft auf 20%.
Beobachte mal, ob das so bleibt. Könnte sein, dass sich ein Prozess an den Explorer gehängt hat.
Ggf. beende den Task und starte ihn neu.
Sie mal nach, ob es sich danach ändert.

root