Rechner verhält sich auffällig

Pixel2011 · 08.09.2012, 14:36

Hallo,

anbei vier LogFiles, die bitte mal durchgeschaut werden sollten,
da sich der Rechner recht merkwürdig verhält. Mir ist aufgefallen,
dass oftmals bei Surfen manche Websiten nicht aufgerufen werden
können, auch beim Starten des Browsers. Zudem wird der Computer
beim Arbeiten oder Spielen zwischenzeitlich sehr langsam. Windows
Updates werden regelmäßig durchgeführt ein AntiVirenprogramm ist
auch installiert und die Windowsfirewall ist auch aktiviert. Falls weitere
Logs benötigt werden, bitte ich um Rückmeldung.
MalwareBytes (FullScann) und AnitVir finden nichts.

Danke.

Gmer:

Zitat:

---- System - GMER 1.0.15 ----

SSDT 8EF2F726 ZwCreateSection
SSDT 8EF2F730 ZwRequestWaitReplyPort
SSDT 8EF2F72B ZwSetContextThread
SSDT 8EF2F735 ZwSetSecurityObject
SSDT 8EF2F73A ZwSystemDebugControl
SSDT 8EF2F6C7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwRollbackEnlistment + 1409 82C42989 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 5A2 82C624E2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntoskrnl.exe!KeRemoveQueueEx + 14BF 82C6987C 4 Bytes [26, F7, F2, 8E]
.text ntoskrnl.exe!KeRemoveQueueEx + 181B 82C69BD8 4 Bytes [30, F7, F2, 8E]
.text ntoskrnl.exe!KeRemoveQueueEx + 185F 82C69C1C 4 Bytes [2B, F7, F2, 8E]
.text ntoskrnl.exe!KeRemoveQueueEx + 18DB 82C69C98 4 Bytes [35, F7, F2, 8E]
.text ntoskrnl.exe!KeRemoveQueueEx + 192F 82C69CEC 4 Bytes [3A, F7, F2, 8E]
.text ...
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x93C06000, 0x1456A8, 0xE8000020]
PAGE peauth.sys 9F46A02C 102 Bytes CALL AB1988BB
PAGE spsys.sys!?SPRevision@@3PADA + 4F90 9F618000 290 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 50B3 9F618123 629 Bytes [35, 61, 9F, FE, 05, 34, 35, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 5329 9F618399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 538F 9F6183FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 543B 9F6184AB 2228 Bytes [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE ...

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume7 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume8 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume9 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\0000004c halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume10 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

HijackThis:

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:36:24, on 08.09.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16446)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
E:\Programme\Avira\AntiVir\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Users\Arlt\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Arlt\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Arlt\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Arlt\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Arlt\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Arlt\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 86.59.5.46:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - E:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [VirtualCloneDrive] "E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://E:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: CC679CB8-DC4B-458B-B817-D447B3B6AC31 - vpnweb.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{516F705E-4D1E-4992-905F-D3DD93A05751}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{516F705E-4D1E-4992-905F-D3DD93A05751}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{516F705E-4D1E-4992-905F-D3DD93A05751}: NameServer = 192.168.2.1
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - E:\Programme\Avira\AntiVir\Avira\AntiVir Desktop\avguard.exe
O23 - Service: MBAMService - Malwarebytes Corporation - E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 5514 bytes

--- --- ---

aswMBR:

Zitat:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-08 16:01:24
-----------------------------
16:01:24.104 OS Version: Windows 6.1.7601 Service Pack 1
16:01:24.104 Number of processors: 2 586 0xF06
16:01:24.104 ComputerName: ARLT-PC UserName: Arlt
16:01:24.807 Initialize success
16:01:33.706 AVAST engine defs: 12090800
16:01:40.244 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
16:01:40.244 Disk 0 Vendor: SAMSUNG_HD300LJ ZT100-12 Size: 286168MB BusType: 3
16:01:40.259 Disk 0 MBR read successfully
16:01:40.259 Disk 0 MBR scan
16:01:40.259 Disk 0 Windows 7 default MBR code
16:01:40.275 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 15147 MB offset 63
16:01:40.275 Disk 0 Partition - 00 0F Extended LBA 271018 MB offset 31021515
16:01:40.291 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 75006 MB offset 31021578
16:01:40.291 Disk 0 Partition - 00 05 Extended 10001 MB offset 184635045
16:01:40.322 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 10001 MB offset 184635108
16:01:40.322 Disk 0 Partition - 00 05 Extended 100006 MB offset 358731450
16:01:40.337 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 100006 MB offset 205117983
16:01:40.353 Disk 0 Partition - 00 05 Extended 10001 MB offset 584027010
16:01:40.369 Disk 0 Partition 5 00 07 HPFS/NTFS NTFS 10001 MB offset 409930668
16:01:40.384 Disk 0 Partition - 00 05 Extended 76002 MB offset 809322570
16:01:40.400 Disk 0 Partition 6 00 07 HPFS/NTFS NTFS 76002 MB offset 430413543
16:01:40.416 Disk 0 scanning sectors +586067265
16:01:40.462 Disk 0 scanning C:\Windows\system32\drivers
16:01:50.322 Service scanning
16:02:17.025 Modules scanning
16:02:26.962 Disk 0 trace - called modules:
16:02:26.978 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll intelide.sys PCIIDEX.SYS atapi.sys
16:02:26.994 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8612f030]
16:02:26.994 3 CLASSPNP.SYS[8c67159e] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x86065030]
16:02:27.009 Scan finished successfully
16:03:55.509 Disk 0 MBR has been saved successfully to "C:\Users\Arlt\Desktop\MBR.dat"
16:03:55.509 The log file has been saved successfully to "C:\Users\Arlt\Desktop\aswMBR.txt"

ESET:

Zitat:

Abei der Log vom ESET OnlineScanner:

Zitat:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d2f300342868f3409f7e26144ff1d674
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-08 02:35:48
# local_time=2012-09-08 04:35:48 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 1068478 98744424 0 0
# compatibility_mode=8192 67108863 100 0 1638 1638 0 0
# scanned=71648
# found=0
# cleaned=0
# scan_time=1735

Hab noch ganz vergessen zu erwähnen, dass wenn ich
auf seiten wie youtube zugreifen will ich immer auf
Werbeseiten umgeleitet werde.

Gruß
Pixel2011

Ich weiß es wird hier nicht so gern gesehen, wenn ComboFix
ohne Anweisung ausgeführt wird, aber ich bin die nächste
Woche leider nicht da.

Gruß
Pixel2011

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-09-09.02 - Arlt 09.09.2012  10:29:21.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3199.2362 [GMT 2:00]
ausgeführt von:: c:\users\Arlt\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\tmp72AD.tmp
c:\windows\system32\tmp72BE.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-09 bis 2012-09-09  ))))))))))))))))))))))))))))))
.
.
2012-09-09 08:33 . 2012-09-09 08:33	--------	d-----w-	c:\users\Arlt\AppData\Local\temp
2012-09-09 08:33 . 2012-09-09 08:33	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-09-06 15:26 . 2012-09-06 15:40	--------	d-----w-	c:\users\Arlt\AppData\Roaming\DVDVideoSoft
2012-08-23 14:03 . 2012-08-23 14:03	--------	d-----w-	c:\users\Arlt\AppData\Local\Rockstar Games
2012-08-23 14:03 . 2012-08-23 14:03	--------	d-sh--w-	c:\programdata\SecuROM
2012-08-23 13:53 . 2012-08-23 13:53	--------	d--h--r-	c:\users\Arlt\AppData\Roaming\SecuROM
2012-08-23 13:50 . 2012-08-23 13:50	107888	----a-w-	c:\windows\system32\CmdLineExt.dll
2012-08-23 08:49 . 2012-08-23 08:49	--------	d-----w-	c:\users\Arlt\AppData\Local\Chromium
2012-08-23 08:23 . 2012-08-23 08:23	--------	d-----w-	c:\program files\Rockstar Games
2012-08-23 08:00 . 2012-08-23 08:00	--------	d-----w-	c:\programdata\Rockstar Games
2012-08-19 11:16 . 2012-08-19 11:16	--------	d-----w-	c:\windows\PCHEALTH
2012-08-19 11:16 . 2012-08-19 11:16	--------	d-----w-	c:\program files\Microsoft Analysis Services
2012-08-19 10:17 . 2012-08-19 10:17	--------	d-----w-	c:\users\Arlt\AppData\Roaming\e-academy Inc
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-23 14:10 . 2009-08-18 09:30	564632	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2012-08-23 14:10 . 2009-08-18 09:24	19720	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-07-24 07:12 . 2012-07-24 07:12	445016	----a-w-	c:\windows\system32\wrap_oal.dll
2012-07-24 07:12 . 2012-07-24 07:12	109144	----a-w-	c:\windows\system32\OpenAL32.dll
2012-07-03 11:46 . 2011-12-31 15:38	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-18 01:14 . 2012-06-26 13:09	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{58178AB0-C9BC-464B-BF2D-E3DE38271776}\mpengine.dll
2012-06-16 12:31 . 2012-06-16 12:31	86528	----a-w-	c:\windows\system32\iesysprep.dll
2012-06-16 12:31 . 2012-06-16 12:31	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-06-16 12:31 . 2012-06-16 12:31	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-06-16 12:31 . 2012-06-16 12:31	74752	----a-w-	c:\windows\system32\iesetup.dll
2012-06-16 12:31 . 2012-06-16 12:31	63488	----a-w-	c:\windows\system32\tdc.ocx
2012-06-16 12:31 . 2012-06-16 12:31	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-06-16 12:31 . 2012-06-16 12:31	420864	----a-w-	c:\windows\system32\vbscript.dll
2012-06-16 12:31 . 2012-06-16 12:31	367104	----a-w-	c:\windows\system32\html.iec
2012-06-16 12:31 . 2012-06-16 12:31	35840	----a-w-	c:\windows\system32\imgutil.dll
2012-06-16 12:31 . 2012-06-16 12:31	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2012-06-16 12:31 . 2012-06-16 12:31	23552	----a-w-	c:\windows\system32\licmgr10.dll
2012-06-16 12:31 . 2012-06-16 12:31	1800192	----a-w-	c:\windows\system32\jscript9.dll
2012-06-16 12:31 . 2012-06-16 12:31	161792	----a-w-	c:\windows\system32\msls31.dll
2012-06-16 12:31 . 2012-06-16 12:31	152064	----a-w-	c:\windows\system32\wextract.exe
2012-06-16 12:31 . 2012-06-16 12:31	150528	----a-w-	c:\windows\system32\iexpress.exe
2012-06-16 12:31 . 2012-06-16 12:31	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2012-06-16 12:31 . 2012-06-16 12:31	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2012-06-16 12:31 . 2012-06-16 12:31	11776	----a-w-	c:\windows\system32\mshta.exe
2012-06-16 12:31 . 2012-06-16 12:31	1129472	----a-w-	c:\windows\system32\wininet.dll
2012-06-16 12:31 . 2012-06-16 12:31	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-06-16 12:31 . 2012-06-16 12:31	101888	----a-w-	c:\windows\system32\admparse.dll
2012-06-11 18:58 . 2012-06-11 18:58	8733696	----a-w-	c:\windows\system32\drivers\atikmdag.sys
2012-06-11 18:35 . 2012-06-11 18:35	58880	----a-w-	c:\windows\system32\coinst_8.98.dll
2012-06-11 18:00 . 2012-06-11 18:00	20467712	----a-w-	c:\windows\system32\atioglxx.dll
2012-06-11 17:25 . 2012-06-11 17:25	163840	----a-w-	c:\windows\system32\atiapfxx.exe
2012-06-11 17:24 . 2010-08-26 02:01	924160	----a-w-	c:\windows\system32\aticfx32.dll
2012-06-11 17:20 . 2012-06-11 17:20	442368	----a-w-	c:\windows\system32\ATIDEMGX.dll
2012-06-11 17:19 . 2012-06-11 17:19	468992	----a-w-	c:\windows\system32\atieclxx.exe
2012-06-11 17:19 . 2012-06-11 17:19	217600	----a-w-	c:\windows\system32\atiesrxx.exe
2012-06-11 17:17 . 2012-06-11 17:17	163840	----a-w-	c:\windows\system32\atitmmxx.dll
2012-06-11 17:17 . 2012-06-11 17:17	20992	----a-w-	c:\windows\system32\atimuixx.dll
2012-06-11 17:17 . 2012-06-11 17:17	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2012-06-11 17:16 . 2010-08-26 01:52	6301696	----a-w-	c:\windows\system32\atidxx32.dll
2012-06-11 16:45 . 2012-06-11 16:45	46080	----a-w-	c:\windows\system32\aticalrt.dll
2012-06-11 16:45 . 2012-06-11 16:45	5480448	----a-w-	c:\windows\system32\atiumdag.dll
2012-06-11 16:45 . 2012-06-11 16:45	44032	----a-w-	c:\windows\system32\aticalcl.dll
2012-06-11 16:43 . 2012-06-11 16:43	4729344	----a-w-	c:\windows\system32\atiumdva.dll
2012-06-11 16:40 . 2012-06-11 16:40	13277696	----a-w-	c:\windows\system32\aticaldd.dll
2012-06-11 16:26 . 2012-06-11 16:26	368640	----a-w-	c:\windows\system32\atiadlxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	14848	----a-w-	c:\windows\system32\atiglpxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	33280	----a-w-	c:\windows\system32\atigktxx.dll
2012-06-11 16:25 . 2012-06-11 16:25	295936	----a-w-	c:\windows\system32\drivers\atikmpag.sys
2012-06-11 16:25 . 2010-08-26 01:20	42496	----a-w-	c:\windows\system32\atiuxpag.dll
2012-06-11 16:24 . 2012-06-11 16:24	32768	----a-w-	c:\windows\system32\atiu9pag.dll
2012-06-11 16:24 . 2012-06-11 16:24	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2012-06-11 16:23 . 2012-06-11 16:23	56832	----a-w-	c:\windows\system32\atimpc32.dll
2012-06-11 16:23 . 2012-06-11 16:23	56832	----a-w-	c:\windows\system32\amdpcom32.dll
2012-06-11 11:50 . 2012-06-11 11:50	159232	----a-w-	c:\windows\system32\clinfo.exe
2012-06-11 11:50 . 2012-06-11 11:50	65024	----a-w-	c:\windows\system32\OpenVideo.dll
2012-06-11 11:50 . 2012-06-11 11:50	56320	----a-w-	c:\windows\system32\OVDecode.dll
2012-06-11 11:49 . 2012-06-11 11:49	13008896	----a-w-	c:\windows\system32\amdocl.dll
2012-06-11 11:48 . 2012-06-11 11:48	50176	----a-w-	c:\windows\system32\OpenCL.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\program files\ATI Technologies\HydraVision\HydraDM.exe" [2010-08-25 393216]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMD AVT"="start AMD Accelerated Video Transcoding device initialization" [X]
"avgnt"="e:\programme\Avira\AntiVir\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Malwarebytes' Anti-Malware"="e:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"StartCCC"="e:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-06-11 641704]
"VirtualCloneDrive"="e:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2011-03-07 89456]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo RX700 Series]
2004-11-10 02:00	98304	----a-w-	c:\windows\System32\spool\drivers\w32x86\3\E_FATI9IE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-06-15 16:02	116648	----atw-	c:\users\Arlt\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2010-06-07 10:35	618496	----a-w-	c:\windows\Samsung\PanelMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2012-08-04 15:47	1353080	----a-w-	e:\programme\Steam\Steam.exe
.
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira Planer;e:\programme\Avira\AntiVir\Avira\AntiVir Desktop\sched.exe [x]
S2 MBAMService;MBAMService;e:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
S2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1365329241-340696394-2160705284-1000Core.job
- c:\users\Arlt\AppData\Local\Google\Update\GoogleUpdate.exe [2012-06-15 16:02]
.
2012-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1365329241-340696394-2160705284-1000UA.job
- c:\users\Arlt\AppData\Local\Google\Update\GoogleUpdate.exe [2012-06-15 16:02]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xcel exportieren - e:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
TCP: Interfaces\{516F705E-4D1E-4992-905F-D3DD93A05751}: NameServer = 192.168.2.1
DPF: CC679CB8-DC4B-458B-B817-D447B3B6AC31 - vpnweb.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-BCSSync - e:\programme\Microsoft Office\Office14\BCSSync.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1365329241-340696394-2160705284-1000\Software\SecuROM\License information*]
"datasecu"=hex:6c,f4,1a,5f,81,6f,e8,5d,75,1d,f4,f2,8d,e4,48,87,0b,5f,19,06,8b,
   f4,b9,85,88,c4,30,aa,6b,68,f6,3f,d8,15,2a,0e,fa,32,d6,c9,c4,d8,a6,b5,15,69,\
"rkeysecu"=hex:8c,83,66,18,dc,33,b7,43,48,6c,d6,c7,5a,a0,3e,c5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-09-09  10:35:15
ComboFix-quarantined-files.txt  2012-09-09 08:35
.
Vor Suchlauf: 463.388.672 Bytes frei
Nach Suchlauf: 590.585.856 Bytes frei
.
- - End Of File - - CC809729EBCF360CE8D52DF3F9DB447B

--- --- ---

cosinus · 11.09.2012, 11:46

Zitat:

Ich weiß es wird hier nicht so gern gesehen, wenn ComboFix
ohne Anweisung ausgeführt wird, aber ich bin die nächste
Woche leider nicht da.

Was hat das eine mit dem anderen zu tun?! Nur weil du nicht da bist ist das doch kein triftiger Grund CF zu starten!

Da es hier offensichtlich kein Malwareproblem ist, solltest du erstmal das hier abackern => http://www.trojaner-board.de/71631-p...tml#post425616

Pixel2011 · 11.09.2012, 22:17

Ok danke, dass du dir die Logs angesehen hast.

Gruß
Pixel2011

cosinus · 12.09.2012, 11:28

Haben die Hinweise denn bisher schon etwas gebracht?

Pixel2011 · 12.09.2012, 12:43

Naja bin ganz froh das CF den Temp Ordner mal
gereinigt hat. Muss aber auch dazu sagen, dass
der Rechner jetzt schon 6 Jahre alt ist und zwischen
zeitlich nur mal mit einer Grafikkarte und 2 GB RAM
aufgerüstet wurde. Hatte ihn erst anfang des Jahres wegen
des Rootkits neu aufgesetzt. Wird mir wohl nichts anderes
übrig bleiben als einen neuen zu kaufen.
Aber danke nochmal für die Tipps und Tricks.

Gruß
Pixel2011

cosinus · 12.09.2012, 14:37

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.

So kann man sehen ob sich da ein Hardwareproblem abzeichnet oder der Fehler eher in der Konfig in Windows und/oder im Dateisystem ist.

Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig das System unter Linux und berichte ob es dort normal läuft.

12.09.2012, 11:28	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rechner verhält sich auffällig Haben die Hinweise denn bisher schon etwas gebracht? __________________ Logfiles bitte immer in CODE-Tags posten

Rechner verhält sich auffällig

Log-Analyse und Auswertung: Rechner verhält sich auffällig