Windows 7: merkwürdiges Verhalten (Prozesse beenden sehr langsam, Bildschirmflackern, seltsame Internetverbindung)

FFrank

Hallo,
vorweg: Vermutlich bin ich nur etwas zu paranoid, aber die Symptome zusammen lassen mich an eine Infektion denken.

Was mir bisher aufgefallen ist:

• Bildschirmflackern:
  Tritt ab und zu mal auf, wüsste jetzt leider nicht wie ich das beschreiben sollte. Am ehesten erinnert es mich an das Flackern das ein Terminal-Server Benutzer sieht (oder zumindestens früher sah) wenn man sich in die Sitzung eingeklinkt hat. Deswegen vermutlich auch mein Misstrauen...
• Prozesse brauchen ungewöhnlich lange zum Beenden.
  Beim Start, Ausführung ist alles normal. Beenden dauert allerdings ewig. Aufgefallen ist mir das zuerst bei ping.exe, da es nach der Zusammenfassung, oder einem Abbruch mit Strg+C ca 5-10 Sekunden dauert bis der Prompt wieder erscheint. Das tritt auch bei anderen Programmen wie z.B. tracert oder auch notepad auf.
• Eine etwas seltsame Internetverbindung, die mich letztlich dazu gebracht hat hier zu posten:
  Und zwar eine Verbindung von von svchost zu 94.254.121.251 über UDP. Die IP gehört wohl zu einem schwedischen Anbieter von Virtual Servern (www.bahnhof.net) Der sich seiner Privacy Richtlinien rühmt, und damit das er Wikileaks gehostet hat.
  Kann natürlich sein, das ich da nur Windows Update oder ähnlichem aufgesessen bin, kommt mir aber irgendwie komisch vor.
  Die mit dem Prozess verbundenen Dienste waren (In Klammern jeweils, als was sich der Dienst auswies):
  • wuauserv (Windows Update)
  • Winmgmt (Windows-Verwaltungsinstrumentation)
  • Themes (Designs)
  • ShellHWDetection (Shellhardwareerkennung)
  • SENS (Benachrichtigungsdienst für Systemereignisse
  • Schedule (Aufgabenplanung)
  • ProfSVC (Benutzerprofildienst)
  • MMCSS (Multimediaklassenplaner)
  • LanmanServer (Server)
  • iphlpsvc (IP-Hilfsdienst)
  • IKEEXT (IKE- und AuthIP IPsec-Schlüsselerstellungsmodule)
  • EapHost (Extensible Authentication-Protokoll)
  • Browser (Computerbrowser)
  • Appinfo (Anwendungsinformationen)
  • AeLookupSvc (Anwendungserfahrung)

So, und nun zu den erstellten Logs. Leider muss ich gestehen das ich bei den FRST Runs zwei Fehler gemacht hab. Beim ersten Run hatte ich bereits einige Prozesse zum Testen abgeschossen, da ich nicht weiß inwiefern das die Ergebnisse beeinflusst, hab ich den Rechner nach dem Durchlauf neugestartet, die erstellten Dateien umbenannt, und einen zweiten Run gestartet. Beim zweiten Run hat dann Comodo einen von FRST gestarteten Prozess in die Sandbox gepackt. Also Autosandbox ausgeschaltet, Dateien umbenannt, dritter Run.
Ich poste hier die Dateien vom 3. Run, bei Bedarf kann ich die anderen Beiden auch hochladen.

Leider sind die Logs von FRST und GMER zu lang (oder ich hab zu viel Müll geschrieben). Deswegen als zip Attachment, sorry.

Lustig ist, das mich GMER etwas an der Nase herumgeführt hat. Nach dem Speichern der Datei auf dem Desktop, und dem Beenden des Programms war keine Datei auf dem Desktop zu finden Lösung war natürlich, das die Datei auf dem Admin Desktop lag, ich aber als normaler Nutzer angemeldet bin. Evtl. nimmt man das in den Erste Schritte Guide auf. Könnte mir vorstellen, das der ein oder andere etwas länger sucht :P

So, Danke schonmal fürs durchhalten bis hierher.
Frank