PC nach hochfahren extrem langsam

Sasaki · 27.12.2012, 18:05

Hallo,

Mein Problem ist folgendes : Seit einigen Tagen wird mein Computer ca. 30 min. bis 1 Stunde nach dem hochfahren sehr langsam und es dauert Minuten lang bis er Bilder oder Programme oeffnet.

Ich habe schon diverse Viren und Spyware Programme wie Malwarebytes oder Spybot Search & Destroy durchscannen lassen aber es wurde nichts verdaechtiges gefunden.

Die Logdateien meines Systems wie im Thread http://www.trojaner-board.de/69886-a...-beachten.html erwuenscht habe ich als Anhang angehaengt da mir angezeigt wurde das der Text aus zu vielen Zeichen besteht.

markusg · 27.12.2012, 18:09

Hi
du sagst, es wurde nichts verdächtiges gefunden.
heißt das, es wurde gar nichts gefunden?
Falls doch, poste die Logs mit den Fundmeldungen.

Sasaki · 27.12.2012, 18:22

Okay, ich werde die Programme erneut scannen lassen und die Logs dann hier posten.

markusg · 27.12.2012, 19:16

nicht erneut, lies bitte, was oben steht.

Sasaki · 27.12.2012, 20:43

Mit erneut meinte ich Spybot und Malwarebytes, um die Logs zu posten hier sind sie :

Code:

ATTFilter

Search results from Spybot - Search & Destroy

27/12/2012 18:57:23
Scan took 00:23:43.
24 items found.

Macromedia.FlashPlayer.Cookies: [SBI $6AA61750]  Text file (File, nothing done)
  C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5E8AZ2P3\chatango.com\fixed_id.sol
  Properties.size=54
  Properties.md5=B7BA523283D302F1667BE83F79C85EFE
  Properties.filedate=1356562327
  Properties.filedatetext=2012-12-26 23:52:06

Macromedia.FlashPlayer.Cookies: [SBI $6AA61750]  Text file (File, nothing done)
  C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5E8AZ2P3\chatango.com\mini_login.sol
  Properties.size=48
  Properties.md5=24D469038E947632F5BA50468F0384C0
  Properties.filedate=1356562334
  Properties.filedatetext=2012-12-26 23:52:13

Macromedia.FlashPlayer.Cookies: [SBI $6AA61750]  Text file (File, nothing done)
  C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5E8AZ2P3\s.ytimg.com\videostats.sol
  Properties.size=275
  Properties.md5=8191AD80A3C69A375039C9E980947AC3
  Properties.filedate=1356630875
  Properties.filedatetext=2012-12-27 18:54:34

Macromedia.FlashPlayer.Cookies: [SBI $6AA61750]  Text file (File, nothing done)
  C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5E8AZ2P3\script.netzwelt.de\netzwelt_videoplayer.sol
  Properties.size=88
  Properties.md5=7D8C3485FF2AE255994A94403334692C
  Properties.filedate=1356557726
  Properties.filedatetext=2012-12-26 22:35:25

Macromedia.FlashPlayer.Cookies: [SBI $1EF45977]  Text file (File, nothing done)
  C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\5E8AZ2P3\skype.com\#ui\preferences.sol
  Properties.size=252
  Properties.md5=F46CCFBC074B79758270AA3890579FBC
  Properties.filedate=1356626892
  Properties.filedatetext=2012-12-27 17:48:11

Log: [SBI $8E73A7FB]  Install: setupact.log (File, nothing done)
  C:\Windows\setupact.log
  Properties.size=392
  Properties.md5=FD7E6F9DCCD7FEEBDD6E8D3F14AD24F8
  Properties.filedate=1356623461
  Properties.filedatetext=2012-12-27 16:51:01

MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Direct3D\MostRecentApplication\Name

MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\Direct3D\MostRecentApplication\Name

MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Direct3D\MostRecentApplication\Name

MS DirectDraw: [SBI $EB49D5AF] Most recent application (Registry Change, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name

MS DirectInput: [SBI $9A063C91] Most recent application (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\DirectInput\MostRecentApplication\Name

MS DirectInput: [SBI $7B184199] Most recent application ID (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\DirectInput\MostRecentApplication\Id

MS DirectInput: [SBI $6533916A] Last mapped application ID (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\DirectInput\MostRecentMapperApplication\ID

MS DirectInput: [SBI $31B11F6A] Last mapped application (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\DirectInput\MostRecentMapperApplication\Name

MS Wordpad: [SBI $4C02334D] Recent file list (Registry Key, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List

Windows: [SBI $1E4E2003] Drivers installation paths (Registry Change, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources

Windows: [SBI $1E4E2003] Drivers installation paths (Registry Change, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources

Windows Explorer: [SBI $7308A845] Run history (Registry Key, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Windows Explorer: [SBI $AA0766B5] Stream history (Registry Key, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

WinRAR: [SBI $B84F9965] Last used directory (Registry Change, nothing done)
  HKEY_USERS\S-1-5-21-4113920481-518187126-1621043143-1000\Software\WinRAR\General\LastFolder

Cookie: [SBI $49804B54] Browser: Cookie (9) (Browser: Cookie, nothing done)
  

Cache: [SBI $49804B54] Browser: Cache (19) (Browser: Cache, nothing done)
  

History: [SBI $49804B54] Browser: History (57) (Browser: History, nothing done)
  

Cookie: [SBI $49804B54] Browser: Cookie (276) (Browser: Cookie, nothing done)
  


--- Spybot - Search & Destroy version: 2.0.12.131  DLL (build: 20121113) ---

2012-11-13 blindman.exe (2.0.12.151)
2012-11-13 explorer.exe (2.0.12.173)
2012-11-13 SDBootCD.exe (2.0.12.109)
2012-11-13 SDCleaner.exe (2.0.12.110)
2012-11-13 SDDelFile.exe (2.0.12.94)
2012-11-13 SDFiles.exe (2.0.12.135)
2012-11-13 SDFileScanHelper.exe (2.0.12.1)
2012-11-13 SDFSSvc.exe (2.0.12.205)
2012-11-13 SDImmunize.exe (2.0.12.130)
2012-11-13 SDLogReport.exe (2.0.12.107)
2012-11-13 SDPESetup.exe (2.0.12.3)
2012-11-13 SDPEStart.exe (2.0.12.86)
2012-11-13 SDPhoneScan.exe (2.0.12.27)
2012-11-13 SDPRE.exe (2.0.12.13)
2012-11-13 SDPrepPos.exe (2.0.12.10)
2012-11-13 SDQuarantine.exe (2.0.12.103)
2012-11-13 SDRootAlyzer.exe (2.0.12.116)
2012-11-13 SDSBIEdit.exe (2.0.12.39)
2012-11-13 SDScan.exe (2.0.12.173)
2012-11-13 SDScript.exe (2.0.12.53)
2012-11-13 SDSettings.exe (2.0.12.130)
2012-11-13 SDShred.exe (2.0.12.105)
2012-11-13 SDSysRepair.exe (2.0.12.101)
2012-11-13 SDTools.exe (2.0.12.150)
2012-11-13 SDTray.exe (2.0.12.127)
2012-11-13 SDUpdate.exe (2.0.12.89)
2012-11-13 SDUpdSvc.exe (2.0.12.76)
2012-11-13 SDWelcome.exe (2.0.12.126)
2012-11-13 SDWSCSvc.exe (2.0.12.2)
2012-12-25 unins000.exe (51.1052.0.0)
1999-12-02 xcacls.exe
2012-08-23 borlndmm.dll (10.0.2288.42451)
2012-09-05 DelZip190.dll (1.9.0.107)
2012-09-10 libeay32.dll (1.0.0.4)
2012-09-10 libssl32.dll (1.0.0.4)
2012-11-13 SDAdvancedCheckLibrary.dll (2.0.12.98)
2012-11-13 SDECon32.dll (2.0.12.113)
2012-11-13 SDECon64.dll (2.0.12.113)
2012-11-13 SDEvents.dll (2.0.12.2)
2012-11-13 SDFileScanLibrary.dll (2.0.12.9)
2012-11-13 SDHelper.dll (2.0.12.88)
2012-11-13 SDImmunizeLibrary.dll (2.0.12.2)
2012-11-13 SDLists.dll (2.0.12.4)
2012-11-13 SDResources.dll (2.0.12.7)
2012-11-13 SDScanLibrary.dll (2.0.12.131)
2012-11-13 SDTasks.dll (2.0.12.15)
2012-11-13 SDWinLogon.dll (2.0.12.0)
2012-08-23 sqlite3.dll
2012-09-10 ssleay32.dll (1.0.0.4)
2012-11-13 Tools.dll (2.0.12.36)
2012-11-13 UninsSrv.dll (2.0.12.52)
2012-11-14 Includes\Adware.sbi (*)
2012-11-14 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2012-11-14 Includes\Dialer.sbi (*)
2012-11-14 Includes\DialerC.sbi (*)
2012-11-14 Includes\HeavyDuty.sbi (*)
2012-11-14 Includes\Hijackers.sbi (*)
2012-11-14 Includes\HijackersC.sbi (*)
2012-11-14 Includes\iPhone.sbi (*)
2012-11-14 Includes\Keyloggers.sbi (*)
2012-11-14 Includes\KeyloggersC.sbi (*)
2012-11-14 Includes\Malware.sbi (*)
2012-11-14 Includes\MalwareC.sbi (*)
2012-11-14 Includes\PUPS.sbi (*)
2012-11-14 Includes\PUPSC.sbi (*)
2012-11-14 Includes\Security.sbi (*)
2012-11-14 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2012-11-14 Includes\Spyware.sbi (*)
2012-11-14 Includes\SpywareC.sbi (*)
2011-06-07 Includes\Tracks.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2012-11-14 Includes\Trojans.sbi (*)
2012-11-14 Includes\TrojansC-02.sbi (*)
2012-11-14 Includes\TrojansC-03.sbi (*)
2012-11-14 Includes\TrojansC-04.sbi (*)
2012-11-14 Includes\TrojansC-05.sbi (*)
2012-11-14 Includes\TrojansC.sbi (*)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (PRO) 1.65.1.1000
www.malwarebytes.org

Versión de la Base de Datos: v2012.12.27.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [administrador]

Protección: Personas de movilidad reducida

27/12/2012 18:32:08
mbam-log-2012-12-27 (20-39-27).txt

Tipos de Análisis: Análisis Completo (C:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 647922
Tiempo transcurrido: 2 hora(s), 7 minuto(s), 4 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 0
(No se han detectado elementos maliciosos)

fin

markusg · 27.12.2012, 20:49

das ist doch ein neues Log, oben steht doch deutlich, dass ich alle bisherigen Logs möchte, wo es Funde gab

Sasaki · 27.12.2012, 20:50

Ja es gab aber keine Funde, deshalb schrieb ich ja auch das die Viren und Spyware Programme keine verdaechtigen Dateien gefunden haben.

markusg · 27.12.2012, 20:53

Hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die
Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Sasaki · 27.12.2012, 22:32

Komischerweise wurde nach dem Scan von der OTL.exe nur eine OTL.txt und keine Extra.txt Datei erstellt. Ich kann den Log hier nicht einfugen da sonst wieder die maximale Laenge von 12.00000 Zeichen ueberschritten wird deshalb fuege ich ihn als Anhang hinzu.

markusg · 28.12.2012, 17:11

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Sasaki · 28.12.2012, 20:20

Es gab 7 Funde, das Log uebertrifft aber die maximale Zeichenlaenge deshalb haenge ich es an den Post an.

markusg · 03.01.2013, 17:03

Hi
gesundes neues, sorry für die Wartezeit.
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Sasaki · 03.01.2013, 20:20

Hallo markusg,

Dir auch ein frohes neues Jahr und ich freue mich das wir weitermachen koennen! Ich habe Combofix ausgefuehrt und bin den Anweisungen gefolgt.

Als Anhang das Logfile das erstellt wurde, Ich habe natuerlich wieder wie in der Anleitung erwuenscht meinen Namen unkenntlich gemacht.

Ich habe da mal eine Frage, ist es normal das nach der Ausfuehrung von Combofix neue Ordner in C:\ erstellt wurden die vorher nicht da waren? ($RECYCLE.BIN, Config.Msi, MSOCache, Qoobox, Recovery)

markusg · 03.01.2013, 21:03

Nur der Ordner Qoobox is neu, die andern gabs schon immer, nur versteckt.
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools,uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Sasaki · 03.01.2013, 21:32

Habe alles so gemacht wie du es mir aufgetragen hast, die Liste liegt als Anhang bei.

Wieso sind die versteckt gewesenen Ordner jetzt sichtbar, obwohl die Option "Verstecke Ordner anzeigen" ausgestellt ist?

27.12.2012, 18:09	#2
markusg /// Malware-holic	PC nach hochfahren extrem langsam Hi du sagst, es wurde nichts verdächtiges gefunden. heißt das, es wurde gar nichts gefunden? Falls doch, poste die Logs mit den Fundmeldungen. __________________ __________________

27.12.2012, 19:16	#4
markusg /// Malware-holic	PC nach hochfahren extrem langsam nicht erneut, lies bitte, was oben steht. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

27.12.2012, 20:49	#6
markusg /// Malware-holic	PC nach hochfahren extrem langsam das ist doch ein neues Log, oben steht doch deutlich, dass ich alle bisherigen Logs möchte, wo es Funde gab __________________ --> PC nach hochfahren extrem langsam

PC nach hochfahren extrem langsam

Log-Analyse und Auswertung: PC nach hochfahren extrem langsam