explorer.exe extrem hohe Speicherauslastung 150-480Mb

#0
24.01.2006, 22:08
...neu hier

Beiträge: 2
#1 Hallo,
Habe seit einigen Tagen ein Problem mit dem Windows explorer. Also nicht der internet explorer.
Habe mich anfangs gewundert warum mein rechner so langsam geworden ist. als ich dann im taskmanager unter Prozesse geschaut habe ist mir aufgefallen das die anwendung explorer.exe bei mir jede menge arbeitsspeicher frisst.
Hatte es auch schon mal das eine Fehlermeldung von windows kam, in der es hieß: nicht genügend virtueller speicher. Und daraufhin Programme beendet wurden und viele sich nicht mehr ausführen ließen.

Habe nicht sonderbar viele fenster oder programme am laufen so das ich mir das erklären könnte. Das sind teilweise bis zu 480Mb.
Die CPU auslastung ist bei diesem prozess nicht besonders hoch liegt meistens so bei 1% selten auch mal 20%.

hab es a´schon mit ad-aware, hjackthis und spybot s&d probiert.
hat aber auch nichts geholfen. Vierenscanner hat auch nichts gefunden

Kurze zusammenfassung von meinem system:
Windows xp proffessional SP2
Cpu 3GHz Pentium 4
512 DDRRAM
160Gb Festplatte

Hier mal die logfile von hjackthis


Logfile of HijackThis v1.99.1
Scan saved at 22:03:15, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Asgard.ASGARD-1A4A9D37\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\System Files Updater.exe /S
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rule Online] C:\DOKUME~1\ASGARD~2.ASG\ANWEND~1\PUREFO~1\poll dash.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroScoutOptions.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {12ECEDDC-BEFF-4419-9B3D-36B76A41230D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {12ECEDDC-BEFF-4419-9B3D-36B76A41230D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .thp: C:\Programme\Internet Explorer\Plugins\NPLM32.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137773294265
O17 - HKLM\System\CCS\Services\Tcpip\..\{C38B7512-1B78-482C-A149-EE1AED3740F9}: NameServer = 217.237.150.225 217.237.151.33
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe



Vielen Besten Dank schonmal im vorraus

Gruß Asgard1606
Dieser Beitrag wurde am 24.01.2006 um 22:22 Uhr von Asgard1606 editiert.
Seitenanfang Seitenende
25.01.2006, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 deinstalliere: BearShare

Lade findlop.zip by Metallica --> klicke findlop.bat --> kopiere ab, was im Texteditor erscheint
lade: lopxp.zip doppelkick: lopxp.bat --> kopiere ab, was im Texteditor erscheint
http://virus-protect.org/artikel/tools/lop.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2006, 21:53
...neu hier

Themenstarter

Beiträge: 2
#3 An Bearshare kann das nicht liegen. hab ich erst seit ein paar tagen installiert, und das problem hatte ich vorher schon

hier das was im editor stand von der findlop.bat datei:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A548FF2D939F76A9.job'
[TRACE] Printing all job properties

ApplicationName: 'c:\dokume~1\asgard~2.asg\anwend~1\purefo~1\Live less owns.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Asgard'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 01/05/2006 5:00:00
NextRun: 01/25/2006 22:00:00
StartError: SCHED_E_ACCOUNT_INFORMATION_NOT_SET
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 10/04/2000
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0


Und hier die editordatei von lopxp:


Rapport fait à 21:51:45,23 le 25.01.2006

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9409-00F4

Verzeichnis von C:\WINDOWS\Tasks

04.01.2006 23:41 280 A548FF2D939F76A9.job
29.12.2005 15:21 6 SA.DAT
29.12.2005 15:15 65 desktop.ini
07.06.2005 10:21 <DIR> ..
07.06.2005 10:21 <DIR> .
3 Datei(en) 351 Bytes
2 Verzeichnis(se), 3.972.153.344 Bytes frei

******************************************
Recherche dans Program files

Le dossier C:\Programme\C2Media n'existe pas

*************** Fin du rapport ****************
Seitenanfang Seitenende
26.01.2006, 11:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Asgard1606

Versteckte- und Systemdateien
http://virus-protect.org/invisible.html

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [Rule Online] C:\DOKUME~1\ASGARD~2.ASG\ANWEND~1\PUREFO~1\poll dash.exe

das fixe, damit es aus dem Autostart kommt (wird nicht geloescht)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

PC neustarten

im abgesicherten Modus löschen (auch die Unterordner)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

C:\Dokumente und Einstellungen\ASGARD~2.ASG\Anwendungsdaten\PUREFO.....
(den kompletten Namen kann ich nicht sehen, aber du musst es suchen + loeschen

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A548FF2D939F76A9.job
del A548FF2D939F76A9.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

Counterpy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende