Firefox.exe umbenennen hilft - aber warum?

    Hi,

    ich hatte in letzter Zeit das Problem, dass mein Firefox 3.5.3 eine 100%ige CPU-Auslastung verursachte, wenn etwas heruntergeladen wurde (Webseiten, Dateien). Der Process Explorer zeigte mir, dass es immer ein MOZCRT19.dll!endthreadex+0xa0 war, der die Auslastung verursachte. Nun bin ich die Problemdiagnose durchgegangen bis zu dem Tipp, die Firefox.exe umzubenennen. Das hat schlussendlich geholfen.

    Allerdings frage ich mich, warum das geholfen hat. Ich habe auf dem Rechner keine Firewall installiert (nutze die im Router).

    Antivir und Ad-Aware habe ich schon durchlaufen lassen, ohne Erfolg (wenn man es so nennen will^^).

    Hier mal das HijackThis-Log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:45:20, on 21.09.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16876)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS.0\System32\smss.exe
    C:\WINDOWS.0\system32\winlogon.exe
    C:\WINDOWS.0\system32\services.exe
    C:\WINDOWS.0\system32\lsass.exe
    C:\WINDOWS.0\system32\Ati2evxx.exe
    C:\WINDOWS.0\system32\svchost.exe
    C:\WINDOWS.0\System32\svchost.exe
    C:\WINDOWS.0\system32\Ati2evxx.exe
    C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
    C:\WINDOWS.0\system32\brsvc01a.exe
    C:\WINDOWS.0\system32\spoolsv.exe
    C:\WINDOWS.0\system32\brss01a.exe
    H:\Programme\Avira\AntiVir Desktop\sched.exe
    H:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    H:\Programme\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS.0\system32\oodag.exe
    C:\WINDOWS.0\system32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
    C:\WINDOWS.0\Explorer.EXE
    H:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    H:\Programme\Razer\Diamondback\razerhid.exe
    C:\WINDOWS.0\system32\rundll32.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS.0\system32\ctfmon.exe
    H:\Programme\phonostar\ps_timer.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    H:\Programme\DAEMON Tools Lite\daemon.exe
    C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
    H:\Programme\Razer\Diamondback\razertra.exe
    H:\Programme\Razer\Diamondback\razerofa.exe
    H:\Programme\Opera\opera.exe
    C:\Dokumente und Einstellungen\Administrator.ICHAG-26F30621E\Desktop\procexp.exe
    H:\Programme\Mozilla Firefox\firefox1.exe
    H:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wwwcache.fh-zwickau.de:3128
    R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Administrator.ICHAG-26F30621E\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Administrator.ICHAG-26F30621E\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - H:\Programme\Free Download Manager\iefdm2.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
    O4 - HKLM\..\Run: [Diamondback] H:\Programme\Razer\Diamondback\razerhid.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
    O4 - HKCU\..\Run: [PhonostarTimer] H:\Programme\phonostar\ps_timer.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Mozilla Sunbird.lnk = H:\Programme\Mozilla Sunbird\sunbird.exe
    O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
    O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Programme\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Programme\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download video with Free Download Manager - file://H:\Programme\Free Download Manager\dlfvideo.htm
    O8 - Extra context menu item: Download with Free Download Manager - file://H:\Programme\Free Download Manager\dllink.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3F4A783B-8C36-4591-A8FF-285EA09FC7EC}: NameServer = 192.168.178.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F5DDD77A-8906-4036-AD65-292B6D457A0F}: NameServer = 141.32.4.200,141.32.192.17
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fh-zwickau.de,zw.fh-zwickau.de
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fh-zwickau.de,zw.fh-zwickau.de
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS.0\system32\brsvc01a.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: NMSAccessU - Unknown owner - H:\Programme\CDBurnerXP\NMSAccessU.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe

    --
    End of file - 8092 bytes

    Ok, mach ich.

    Bisher hatte ich nur einen Smart Scan und keinen Full Scan gemacht, deswegen hab ich es nicht erwähnt^^

    Ach ja, noch was: ich hatte doch die Windows Firewall an. Hab garnicht mehr daran gedacht. Ich hab sie jetzt aber mal deaktiviert und den Firefox wieder zurück umbenannt. Das Problem war sofort wieder da. Somit düfte es mit der Firewall ja auch nichts zu tun haben, denk ich.

    An Avira zweifle ich nicht, aber an dem sch*** AdAware...
    Nicht abschalten - DEINSTALLIEREN!
    (selbst "abgeschaltet" werkelt was von denen im Hintergrund)

    Warum ist eigentlich XP doppelt bei dir installiert?
    --> c:\WINDOWS.0
    http://forum.chip.de/windows-xp/c-w…ner-558034.html

    PS deine Dienste-Sache da, da läuft viel Schrott mit, die hälfte wird
    gar nicht benötigt!
    DHCP, DNS, Gateway, Ipsec, http-ssl, java-qs, Kompatibilität..., NLA, Remote-Registrierung,
    Sekundäre..., Server, SSDP, TCPIP-Netbios, Telefonie, Überwachung..., WebClient.
    Nur um die zu nennen, die auf dem Bild zu sehen sind.
    Gateway & Server &Computerbrowser & Arbeitsstationsdienst nur für andere LAN-Rechner, sonst nicht!
    Es reicht, diese alle genannten auf "manuell" zu stellen die obigen sogar auf "deaktiviert".
    Windows-Möchtegern-Firewall - nachdem ich die bei Win7 gesehen hab, absolut der Witz.
    Liegt daran, dass sie nur auf Anforderung blockiert (bzw auf Regel),
    aber nie präventiv im Voraus (wie eine Software-Firewall).

    Das Log sah soweit ok aus, nur reichlich viel Krempel im Autostart.
    Wenn die Fehlersuche sich als zeitintensiv gestalten sollte, wäre eine komplette
    Neuinstallation die bessere Wahl, dann wird man auch gleich das andere XP mit los.

    Zitat von Brummelchen

    An Avira zweifle ich nicht, aber an dem sch*** AdAware...
    Nicht abschalten - DEINSTALLIEREN!
    (selbst "abgeschaltet" werkelt was von denen im Hintergrund)

    Mal sehen. Es zieht schon recht viel Leistung. Da muss ich mal über eine Alternative nachdenken.

    Zitat

    Warum ist eigentlich XP doppelt bei dir installiert?
    --> c:\WINDOWS.0

    Ich hatte vor einiger Zeit mal neu installiert (dummerweise ohne vorher das alte Windows zu löschen. Da hat der Installer automatisch das Verzeichnis gewählt. Naja, im orginalen Windows-Ordner ist nichts mehr abgesehen von noch zwei Macromedia Flash Dateien, die sich partout nicht löschen lassen wollen. :-??
    Edit: hab schnell mal wieder den guten alten Unlocker installiert und die Dinger entfernt.

    Zitat

    PS deine Dienste-Sache da, da läuft viel Schrott mit, die hälfte wird
    gar nicht benötigt!

    Liegt auch an der Neuinstallation. Vorher hatte ich da mal ausgemistet. Sollte ich bei Gelegenheit auch mal wieder tun.

    Zitat

    Wenn die Fehlersuche sich als zeitintensiv gestalten sollte, wäre eine komplette
    Neuinstallation die bessere Wahl, dann wird man auch gleich das andere XP mit los.

    Das wäre das Letzte, worauf ich Lust hätte :D

    Aber danke für deine Hinweise!

    //

    Zitat von Brummelchen

    PS deine Dienste-Sache da, da läuft viel Schrott mit, die hälfte wird
    gar nicht benötigt!

    Mehr muss nicht sein und da ginge bestimmt noch mehr.
    [Blockierte Grafik: http://img2.pict.com/f5/f1/b0/1660877/0/300/23092009190916.jpg]

    Wenn es durch Umbenennen der .exe oder im abgesicherten Modus des OS läuft, ist i.d.R. ein Dritt-Prozess dafür verantwortlich (im günstigen Fall ein regulärer und keine Malware).
    Daher sollte nach und nach die Menge der Dienste und Prozesse reduziert werden, bis der Problemverursacher gefunden ist. Es gab hier auch schon Fälle bei denen Maustreiber zu Schwierigkeiten geführt haben.

    Zum HJT-Log: Die dort erwähnte Toolbar für den IE ist bewusst installiert?

    Hah, an den Diensten fummel ich nicht wieder rum. Ich wollte gestern ein wenig ausmisten und als Folge kam beim Neustart ne Fehlermeldung vom CCC und ich konnte keine mp3s mehr direkt durchs Doppelklicken öffnen. Zum Glück hatte ich den Screenshot gemacht :D

    Sollte es wirklich an was Ungefährlichem liegen, werd ich wohl damit leben können. Und wenn das Problem wieder auftritt, benenn ich die exe-Datei wieder um^^

    Jedenfalls danke ich euch allen erstmal für die Hilfe!

    Edit: diese qip-Toolbar scheint sich mit dem Programm eingenistet zu haben. Ich hab sie mal deaktiviert, auch wenn qip meines Erachtens vertrauenswürdig ist.