GUI-Probleme, IE-Abstürze, Freezes - aber nichts im HJT-Log, oder doch?
 

Hallo Forum,

in der letzten Zeit hatte ich ein paar sehr seltsame Probleme, finde aber nichts (XP SP2, XP SP3).
Beschreibung: Schon längere Zeit hatte ich Ressourcen-Probleme mit GDI-Leaks, und die konnte ich im Task-Manager dem GDI-Verbrauch von Explorer.exe zuordnen.
Wenn der zu groß wurde, konnten Programme keine Fenster mehr öffnen, Rechtsklick-Menü ging nicht (v.a. in Explorer und IE, aber auch in anderen Programmen), Taskleiste füllte ganzen Bildschirm etc. etc.
Passierte normalerweise, nachdem der Rechner mehrere Wochen lief. Damals XP SP2.
Seit einiger Zeit habe ich XP SP3. Nun habe ich die gleichen Probleme (plus einige Webseiten laden seeehr langsam in IE), nur kommen sie nach ein paar Tagen statt ein paar Wochen. Das Mysterium: Ich finde im Taskmanager KEIN Programm mehr, das übermäßig GDI oder andere Ressourcen verbraucht. Oder ist da eines, das ich nicht sehe...?

Rootkit oder so?

Nachdem ich ein Avira-Update verkorkst hatte und eine Weile komplett ohne AV und noch dazu mit Admin-Rechten unterwegs war (jaja, soll man nicht machen, ich weiß, ist ein anderes Thema), kamen weitere Probleme dazu: IE-Abstürze häuften sich, Rechner fror gelegentlich komplett ein. Dazu dann noch Fehlermeldung "Runtime Error 216 at <Adresse>". Laut Rumgugeln deutet das auf Trojaner Backdoor.SubSeven. Statt Avira nun Avast, Scan mit Avast findet aber nichts.
Was das allermerkwürdigste ist: Die IE-Abstürze und der Runtime Error 216 sind seit dem vollständigen Entfernen von Avira nicht mehr aufgetreten.

(Nachtrag zu Backdoor.SubSeven: Lt. meinen Infos ist der uralt und verbreitet sich per Email-Attachement. Der kann es eigentlich gar nicht gewesen sein.)

Aber trotzdem habe ich noch das "unsichtbare" GDI-Ressourcen-Problem. Kein Programm "frisst" sie laut Taskmanager oder Process Explorer, aber wo gehen sie hin?

Hijack-Log scheint mir auch nichts anzuzeigen; aber das ist meine Frage: Ist da irgendwas zu sehen? Ich sehe da nichts außergewöhnliches.

(Habe das Log etwas editiert und bestimmte Einträge aus Datenschutzgründen entfernt bzw. mit Sternchen und Plus-Zeichen anonymisiert, die waren aber definitiv alle ungefährlich bzw. von mir selber angelegt; die "Trusted Zone"-Einträge hängen damit zusammen, daß die "Internet Zone" bei mir zugenagelt ist und die "Trusted Zone" auf die Sicherheitsinstellungen der "Internet Zone" gesetzt ist; die "Standard"-Sicherheit bekommen damit nur ausgewählte Webseiten, alle andere bekommen drastisch erhöhte Sicherheitseinstellungen; gab's mal als Anleitung in der c't.)

-----------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09:25, on 27.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Tools\SonyEricsson_PCSuite\SupServ.exe
D:\oracle\ora92\bin\omtsreco.exe
D:\Tools\USBDLM\USBDLM.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\LOGI_MWX.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Tools\Avast5\avastUI.exe
D:\Tools\EverNote\UniClipper.exe
D:\Tools\Calimanjaro\Calimanjaro.exe
D:\Tools\AutoHotkey\AutoHotkey.exe
D:\Tools\ZBar\zbar.exe
C:\Programme\UltraEdit\UEDIT32.EXE
D:\Tools\BoxWech\BoxWech.exe
D:\Tools\EverNote\EverNote.exe
D:\Tools\FileBoxExtender\FileBX.exe
D:\Tools\Palm\HOTSYNC.EXE
D:\Tools\Insert_ToggleKey\itk.exe
D:\Tools\KatMouse\KatMouse.exe
D:\Tools\Locate\Locate32.exe
D:\Tools\WinShade\Program\WinShade.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
D:\Tools\Opera\opera.exe
D:\Tools\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Tools/GoogleAS/GoogleAS_dt.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=***+++***+++***+++***+++***+++***+++;http=***+++***+++***+++***+++***+++***+++;https=***+++***+++***+++***+++***+++***+++
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.infolinks.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\Spybot_Search_Destroy\SDHelper.dll
O2 - BHO: IESessions.Manager - {6ECF15F0-468D-4E25-8997-1C710E80F5CD} - D:\Tools\IESessions\IESessions.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Linkman - {5C9DCA26-CEC4-4280-A831-D622D4DBF113} - D:\Tools\Linkman\LinkmanCom.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast5] D:\Tools\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [UniClipper] "D:\Tools\EverNote\UniClipper.exe"
O4 - HKCU\..\Run: [Calimanjaro] "D:\Tools\Calimanjaro\Calimanjaro.exe" min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: EverNote.lnk = D:\Tools\EverNote\EverNote.exe
O4 - Startup: FileBox eXtender.lnk = D:\Tools\FileBoxExtender\FileBX.exe
O4 - Startup: HotSync Manager.lnk = D:\Tools\Palm\HOTSYNC.EXE
O4 - Startup: Insert_ToggleKey.lnk = D:\Tools\Insert_ToggleKey\itk.exe
O4 - Startup: KatMouse.lnk = D:\Tools\KatMouse\KatMouse.exe
O4 - Startup: Locate32 Autorun.lnk = ?
O4 - Startup: WinShade.lnk = D:\Tools\WinShade\Program\WinShade.exe
O4 - Global Startup: AutoHotkey.lnk = D:\Tools\AutoHotkey\AutoHotkey.exe
O4 - Global Startup: zbar.lnk = D:\Tools\ZBar\zbar.exe
O8 - Extra context menu item: >Search in Linkman - file://D:\Wl\Linkman\iescript_search.htm
O8 - Extra context menu item: Add to EverNote - res://D:\Tools\EverNote\enbar.dll/2000
O8 - Extra context menu item: Add to Linkman - file://D:\Wl\Linkman\iescript_add.htm
O8 - Extra context menu item: Add to Linkman (all tabs) - file://D:\Wl\Linkman\iescript_addall.htm
O8 - Extra context menu item: Add to Linkman and Edit - file://D:\Wl\Linkman\iescript_edit.htm
O8 - Extra context menu item: Add to WebSite-Watcher - C:\Dokumente und Einstellungen\Meister\Anwendungsdaten\aignes\WebSite-Watcher\config\settings\wswie.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Show Linkman - file://D:\Wl\Linkman\iescript_show.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: IESessions - {32FF09D3-2F66-4814-AA2C-835D5D2BF0FD} - D:\Tools\IESessions\IESessions.dll
O9 - Extra 'Tools' menuitem: IESessions - {32FF09D3-2F66-4814-AA2C-835D5D2BF0FD} - D:\Tools\IESessions\IESessions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Add to EverNote - {A5ABA0BB-F195-40d8-A5E9-0801153E6597} - D:\Tools\EverNote\enbar.dll
O9 - Extra 'Tools' menuitem: Add to EverNote - {A5ABA0BB-F195-40d8-A5E9-0801153E6597} - D:\Tools\EverNote\enbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\Spybot_Search_Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\Spybot_Search_Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: ***+++***+++***+++***+++***+++***+++
O15 - Trusted Zone: ***+++***+++***+++***+++***+++***+++
(von denen gibt's noch viel mehr, sieh Erklärung oben)
O15 - Trusted IP range: hxxp://127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***+++***+++***+++***+++***+++***+++
O17 - HKLM\Software\..\Telephony: DomainName = ***+++***+++***+++***+++***+++***+++e
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***+++***+++***+++***+++***+++***+++
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***+++***+++***+++***+++***+++***+++
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = v***+++***+++***+++***+++***+++***+++
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Tools\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Tools\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Tools\Avast5\AvastSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Tools\iTunes\bin\iPodService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - D:\Tools\SonyEricsson_PCSuite\SupServ.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: USBDLM - Uwe Sieber - www.uwe-sieber.de - D:\Tools\USBDLM\USBDLM.exe

-----------------------------------------------------------

Ach ja: "käptn_blaubär" passt nicht ins Feld "Benutzername"... :balla:

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,

danke für die Reaktion.
Kann leider gerade nicht weitermachen, werde die Anregungen morgen aufnehmen und dann Logs posten.

So, nu hab ich's geschafft:
-----------------------------------------------------------
1. Malwarebytes' Anti-Malware
-----------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4162

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

02.06.2010 16:07:01
mbam-log-2010-06-02 (16-07-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 1599158
Laufzeit: 2 Stunde(n), 54 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------------------------------------------
2. Die beiden Logs von OTL:
-----------------------------------------------------------

(z.T. mußte ich die Einträge anonymisieren mit *+*+* bzw. einzelne Einträge löschen, aus Datenschutzgründen)

OTL.txt


Extras.txt:

Mein OTL spricht übrigens deutsch, wo kann ich das abstellen?

Das ist doch ein Client-Rechner in einer Windows-Domäne!
Was sagt der Admin zum Problem oder bist Du die EDV? :D

siehe PN...