Systems.exe verursacht hohe CPU Last

[Leko]

Hi,
ich hab vor zwei Tagen meine PC neu aufgesetzt und hab wieder Vista Ultimate x64 installiert.
Jetzt verursacht eine Systems.exe eine so hohe Systemlast, dass ich fast nicht mehr arbeiten kann.
Was macht dieses Systems.exe und wie kann ich das Problem beheben?
Hat diese Systems.exe etwas mit meine RAID 5 zu tun?

Gruß Leko

 

[jodd]

gibt 2 möglichkeiten:

1. hardwarekonflikt: treiber/hardware alles i.o. ? ob es am raid liegt, kp.

2. virus/wurm/dreck: mal einen scann gemacht ? wo liegt die system.exe ?

 

[Mike Lowrey]

Kann es sein, dass du den Onboard Controller für dein Raid 5 benutzt?

 

[Leko]

Ja ich verwende meinen OnBoard Controller für mein Raid 5. Ist ein Intel ICH8.
Bezüglich der Hardware werden mir im Gerätemanager keine Probleme angezeigt und ein Systemscan nach Viren etc. läuft atm.

EDIT:
Gut der Scan hat zwar ein Virus gefunden aber dieser bezog sich nicht auf die Systems.exe. ÜBer Google stßt man auf verschiedene Trojaner die mit der Systems.exe zusammenhängen würden aber bisher hab ich noch nichts konkretes gefunden um einen Trojaner bei mir auf dem System aufzudecken.

 

[CBase64]

Was macht dieses Systems.exe und wie kann ich das Problem beheben ?

W32/Agobot-P ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm.

W32/Agobot-P kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf andere Computer zu verbreiten, indem er die DCOM RPC- und die RPC Locator-Schwachstellen ausnutzt.

Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-P mit dem Dateinamen systems.exe in den Windows-System32-Ordner und erstellt die folgenden Registrierungseinträge, so dass der Wurm beim Start von Windows aktiviert wird:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunIISADMINS
= systems.exe

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesIISADMINS
= systems.exe

W32/Agobot-P verbindet sich mit einem remoten IRC-Server und einem bestimmten Kanal. Ein Angreifer kann auf die Backdoor-Funktion des Wurms über das IRC-Netzwerk zugreifen.

Der Wurm versucht außerdem, verschiedene sicherheitsbezogene Programme zu beenden und zu deaktivieren.

http://www.internet-magazin.de/internet/cm/virenecke/show_sophos.php?id=53

 

[isomer]

Google doch mal, da findest du schnell eine Antwort (gleich erstes Ergebnis).

CBase64 zeigt es dir genau.

 

[NeoXpert]

Auf jeden Fall kann ich in meinem Ultimate x64 keine Systems.exe finden

Tante edit: zu spät : ). Allerdings frag ich mich wie der da hin kommt... ; )

 

[serra.avatar]

Über ne Sicherheitslücke ... oder glaubt hier wirklich ernsthaft jemand das Vista sicher ist ?
Kein System dieser Welt ist sicher ... früher oder später verwitscht es jedes BS mal ... naja Vista scheint nicht lange durchgehalten zu haben naja und M$ lag schon immer sehr hoch in der Gunst solcher Schwachmattenprogrammierer die nix besseres mit ihrem Können anzufangen wissen als Viren etc. zu proggen

 

[Voyager10]

Bisher weiss keiner ob es ein Virus ist, Spekulationen sind daher eher kontraproduktiv.
Vielleicht meint er ja sogar den "Leerlauf" , bisher hat @Leko kein einziges Wort darüber verloren wo und was es sein soll . Wenns der Leerlauf ist dann sind einige schön angesprungen

 

[Jepe58]

Na, jedenfalls gehört eine "systems.exe" nicht auf eine Vista-Partition.
Kann ja wohl nur Malware sein ...

 

[Voyager10]

Ein Hijackthislog wäre hilfreicher .

 

[Leko]

Hm das komische ist echt das kein Scanner die kack Systems.exe als schädlich einstuft. *grr*
Ich hab jetzt auch mal HiJackThis über mein System laufen lassen und musste feststellen, dass die Systems.exe aufgeführt ist.
Mich wundert es nur wie der Trojaner so schnell auf mein System gekommen ist?! Ich hab als erstes die Windows Updates gezogen also ich vorgestern Windows neu installierte.
Wirklich nervig aber werd ich wohl nochmals Format C: machen dürfen....

Hier der Log von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:57, on 30.08.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\DAEMON Tools\daemon.exe
C:\Program Files (x86)\Grisoft\AVG7\avgcc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\ICQ6\ICQ.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [explorer.exe] C:\Windows\Systems.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files (x86)\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~2\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~2\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~2\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files (x86)\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\AVG7\avgemc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (X86)\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6850 bytes

 

[Mr. Incredible]

O4 - HKLM\..\Run: [explorer.exe] C:\Windows\Systems.exe würd ich löschen

 

[Voyager10]

Die Frage wäre jetzt, wie kommt das dahin ? Die zweite Frage wäre wie kam die EXE trotz UAC in den Windowsordner rein ? Die 3te Frage wäre wie konnte das Run-Programm starten wenn Vista Autostartobjekte blockiert die wie die meiste Malware nur mit Adminrechten funktionieren ? Nur Autostartobjekte ohne Adminrechte dürfen so starten .
Ich vermute hier wurden einige Sicherheitsvorkehrungen aus reiner Bequemheit deaktiviert.

 

[Jepe58]

Genau das ist die Frage !
Wenn man die Sicherheitsfunktionen von Vista nicht deaktiviert dürfte so etwas nicht ausgeführt werden.
Oder Vista hat da eine sehr ernste Lücke.

@Leko:
Bitte verrate uns was du alles abgeschaltet hast !

 

[Leko]

Ich hab die Systems.exe mittels HiJackThis gelöscht und das Problem besteht jetzt nicht mehr. Ich habe absolut nichts abgeschaltet, es könnte höchstens sein, dass ich zu schnell die UAC Meldung erlaubt habe, da bei einer Neuinstallation des Systems recht viel installiert wird. Anders könnte ich mir es nicht vorstellen.

 

[Jepe58]

Freut mich, dass du das ekelige Ding losgeworden bist.
Ja, man sollte schon schauen bevor man klickt - ich geb aber zu, das es bei der Installation und die erste Zeit kaum möglich ist.
Später wirds besser ...