| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google - ungewöhlicher Datenverkehr entdeckt (regelmässig)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.05.2015, 06:00
| #1 |
| |  Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) Guten Morgen. Vor kurzem installierte ich Windows 7 Ultimate 64 bit neu, da das System nach jahrelangem Gebrauch nicht mehr so stabil lief. Davor konnte ich allerdings Google normal benutzen; danach nicht mehr. Jede zweite Anfrage endet mit einer Captcha-Abfrage und dem Hinweis, dass etwas an der Kommunikation seltsam ist. Ich habe schon alles mögliche auf eigene Faust versucht. Von diversen Malware- und Anti-Rootkit-Programmen über das minutenlange Ausschalten des Routers & PCs bis hin zum neuen Aufspielen von Windows. Daher bin ich langsam mit meinem Latein am Ende. Nachdem das Problem mehrmals aufgetaucht war, versucht ich auch mit OpenDNS mein Glück, das half allerdings auch nicht. Wollte das nur erwähnen um die Möglichkeit auszuschließen, dass es etwas damit zu tun haben könnte. Hier also meine Zusammenstellung von Informationen. 1. Defogger Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 06:09 on 21/05/2015 (Shinryu)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
2b. Addition Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 19-05-2015
Ran by Shinryu at 2015-05-21 06:16:35
Running from D:\Temp
Boot Mode: Normal
==========================================================
==================== Accounts: =============================
Administrator (S-1-5-21-2346135767-3668649118-235344234-500 - Administrator - Disabled)
Gast (S-1-5-21-2346135767-3668649118-235344234-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2346135767-3668649118-235344234-1002 - Limited - Enabled)
Shinryu (S-1-5-21-2346135767-3668649118-235344234-1001 - Administrator - Enabled) => C:\Users\Shinryu
==================== Security Center ========================
(If an entry is included in the fixlist, it will be removed.)
AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE}
==================== Installed Programs ======================
(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
7-Zip 9.20 (x64 edition) (HKLM\...\{23170F69-40C1-2702-0920-000001000000}) (Version: 9.20.00.0 - Igor Pavlov)
Adobe Flash Player 17 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 17.0.0.188 - Adobe Systems Incorporated)
AMD Catalyst Install Manager (HKLM\...\{F37C2975-92EA-59CA-59E6-50E56F0E76DD}) (Version: 8.0.916.0 - Advanced Micro Devices, Inc.)
Ashampoo WinOptimizer 11 v.11.00.41 (HKLM-x32\...\{4209F371-8D72-8119-66FA-897D2D41E27F}_is1) (Version: 11.00.41 - Ashampoo GmbH & Co. KG)
AVG 2015 (HKLM\...\AVG) (Version: 2015.0.5941 - AVG Technologies)
AVG 2015 (Version: 15.0.4347 - AVG Technologies) Hidden
AVG 2015 (Version: 15.0.5941 - AVG Technologies) Hidden
BitTorrent (HKU\S-1-5-21-2346135767-3668649118-235344234-1001\...\BitTorrent) (Version: 7.9.3.40299 - BitTorrent Inc.)
BlueStacks App Player (HKLM-x32\...\BlueStacks App Player) (Version: 0.9.25.5401 - BlueStack Systems, Inc.)
BlueStacks Notification Center (HKLM-x32\...\{79809712-A577-4B8C-A9FC-51945690C7DC}) (Version: 0.9.25.5401 - BlueStack Systems, Inc.)
Desktop Icon Position Saver (64-bit) (HKLM-x32\...\dips64) (Version: - )
Firestorm SecondLife and OpenSim viewer (Version: 4.7.45325 - Phoenix Viewer Project) Hidden
Firestorm-Betax64 x64 (HKLM-x32\...\{97166652-349c-48f1-a024-fa8539c5cb47}) (Version: 4.7.45325 - Phoenix Firestorm Project Inc)
Java 8 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218045F0}) (Version: 8.0.450 - Oracle Corporation)
K-Lite Codec Pack 3.8.0 Full (HKLM-x32\...\KLiteCodecPack_is1) (Version: 3.8.0 - )
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.30514.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{071c9b48-7c32-4621-a0ac-3f809523288f}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 (HKLM-x32\...\{15134cb0-b767-4960-a911-f2d16ae54797}) (Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 (HKLM-x32\...\{22154f09-719a-4619-bb71-5b3356999fbf}) (Version: 11.0.50727.1 - Microsoft Corporation)
MozBackup 1.5.1 (HKLM-x32\...\MozBackup) (Version: - Pavel Cvrcek)
Mozilla Firefox 38.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 38.0.1 (x86 de)) (Version: 38.0.1 - Mozilla)
PC Probe II (HKLM-x32\...\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}) (Version: 1.04.86 - ASUSTeK Computer Inc.)
PeerBlock 1.2 (r693) (HKLM\...\{015C5B35-B678-451C-9AEE-821E8D69621C}_is1) (Version: 1.2.0.693 - PeerBlock, LLC)
PhotoFiltre (HKU\S-1-5-21-2346135767-3668649118-235344234-1001\...\PhotoFiltre) (Version: - )
Platform (x32 Version: 1.34 - VIA Technologies, Inc.) Hidden
SecondLifeViewer (HKLM-x32\...\SecondLifeViewer) (Version: 3.7.28.300918 - Linden Research, Inc.)
The KMPlayer (remove only) (HKLM-x32\...\The KMPlayer) (Version: - )
VIA Plattform-Geräte-Manager (HKLM-x32\...\InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}) (Version: 1.34 - VIA Technologies, Inc.)
VisiPics V1.30 (HKLM-x32\...\VisiPics_is1) (Version: - Ozone)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
Windows Media Player Firefox Plugin (HKLM-x32\...\{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}) (Version: 1.0.0.8 - Microsoft Corp)
World of Tanks (HKU\S-1-5-21-2346135767-3668649118-235344234-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net)
XnView 1.97.8 (HKLM-x32\...\XnView_is1) (Version: 1.97.8 - Gougelet Pierre-e)
==================== Custom CLSID (selected items): ==========================
(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
==================== Restore Points =========================
20-05-2015 20:39:36 DirectX wurde installiert
21-05-2015 01:19:01 Removed AMD OverDrive.
==================== Hosts content: ==========================
(If needed Hosts: directive could be included in the fixlist to reset Hosts.)
2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts
==================== Scheduled Tasks (Whitelisted) =============
(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)
Task: {19C0D67A-5ADF-4921-A214-0AFA26416B53} - System32\Tasks\{7C6BC634-CC8F-4C2E-8ADF-A3DD4AA851AB} => pcalua.exe -a "D:\Temp\Computer und Hardware - Treiber\VIA_Audiotreiber_V6017031\VIA_Audio_V6017031\AsusSetup.exe" -d "D:\Temp\Computer und Hardware - Treiber\VIA_Audiotreiber_V6017031\VIA_Audio_V6017031"
Task: {27E3A9DF-F277-4063-84A7-DCFA9BB286F4} - System32\Tasks\ASUS\ASUS RegRun Loader => C:\Program Files (x86)\ASUS\AASP\1.01.02\AsLoader.exe [2009-12-28] (ASUSTeK Computer Inc.)
Task: {BDCDDBD9-E55D-46F7-8AEC-8EBED09B5961} - System32\Tasks\ASUS\i-Setup024607 => C:\Windows\AMD_Chipset_Win7_V307320\AsusSetup.exe [2008-08-01] (ASUSTek)
Task: {D8D9620E-4733-415D-8084-399D13AFB482} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-05-20] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
==================== Loaded Modules (Whitelisted) ==============
2015-05-20 03:16 - 2008-03-17 17:50 - 00072192 _____ () C:\Program Files (x86)\VIA\VIAudioi\VDeck\QsApoApi64.dll
2015-05-20 03:16 - 2009-01-06 17:11 - 00098816 _____ () C:\Program Files (x86)\VIA\VIAudioi\VDeck\Dts2ApoApi64.dll
2015-05-20 03:16 - 2008-01-18 14:50 - 00098816 _____ () C:\Program Files (x86)\VIA\VIAudioi\VDeck\VMicApi.dll
2015-03-31 16:24 - 2015-03-31 16:24 - 00102400 _____ () C:\Program Files\AMD\ATI.ACE\Fuel\Fuel.Proxy.Native.dll
2015-05-21 05:57 - 2015-05-21 05:57 - 00050477 _____ () D:\Temp\Defogger.exe
==================== Alternate Data Streams (Whitelisted) =========
(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)
==================== Safe Mode (Whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)
==================== EXE Association (Whitelisted) ===============
(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)
==================== Internet Explorer trusted/restricted ===============
(If an entry is included in the fixlist, the associated entry will be removed from the registry.)
==================== Other Areas ============================
(Currently there is no automatic fix for this section.)
HKU\S-1-5-21-2346135767-3668649118-235344234-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Shinryu\AppData\Roaming\XnView\\xnview_wallpaper_20150520.bmp
DNS Servers: 208.67.222.222 - 208.67.220.220
==================== MSCONFIG/TASK MANAGER disabled items ==
(Currently there is no automatic fix for this section.)
==================== FirewallRules (Whitelisted) ===============
(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
FirewallRules: [{F628C22F-1438-4B2D-9488-9A1B346A201B}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe
FirewallRules: [{55B6C70D-22C9-4B7E-8E52-F2CF013D2FE0}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe
FirewallRules: [{CA78B680-E507-47A7-B9CB-586842904922}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe
FirewallRules: [{F1078512-1F47-4D10-9FFE-3D74BE2291F8}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe
FirewallRules: [{78FDF14C-70AF-4F15-9E5F-E99C05E9291C}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{C0F86DC8-C522-4BF0-822D-1C0FC0169E5F}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{5EB0DC3F-3C42-485A-9273-D8D6D9FACFB9}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgemca.exe
FirewallRules: [{44888A0A-A993-457F-8FFD-C35A0D82D749}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgemca.exe
FirewallRules: [{ADDAF45F-4C9D-44F6-BD36-F52A1EE2ABB9}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0FCD105A-FFF0-483E-A0B7-D13ED90DC28F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{E3EDDA57-D137-4E43-BED1-82B778B0A111}] => (Allow) C:\Users\Shinryu\AppData\Roaming\BitTorrent\BitTorrent.exe
FirewallRules: [{3BC1B756-DEAF-4E6B-B48D-AAAC84EE4B5C}] => (Allow) C:\Users\Shinryu\AppData\Roaming\BitTorrent\BitTorrent.exe
FirewallRules: [TCP Query User{B7C7C7D4-13C7-4350-85E8-2A0D4F05E14B}C:\games\world_of_tanks\wotlauncher.exe] => (Allow) C:\games\world_of_tanks\wotlauncher.exe
FirewallRules: [UDP Query User{D67C0476-91D7-41C2-B331-E7054F2AC3FF}C:\games\world_of_tanks\wotlauncher.exe] => (Allow) C:\games\world_of_tanks\wotlauncher.exe
FirewallRules: [TCP Query User{5DD7FB82-25E9-4C41-8B2B-C75F7E612C3A}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe
FirewallRules: [UDP Query User{D6CC5E89-C875-47D4-8CF4-D609907E0B48}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe
==================== Faulty Device Manager Devices =============
==================== Event log errors: =========================
Application errors:
==================
Error: (05/20/2015 07:34:57 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 07:02:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 06:33:49 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 05:47:16 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 05:41:54 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 09:30:20 AM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" aufgrund des Fehlers "0x80041003" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
Error: (05/20/2015 04:09:03 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error: (05/20/2015 03:54:45 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error: (05/20/2015 03:51:21 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 03:28:53 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
System errors:
=============
Error: (05/20/2015 08:26:16 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
Error: (05/20/2015 05:46:46 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
%%16405
Error: (05/20/2015 05:44:49 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Update" wurde mit folgendem Fehler beendet:
%%-2147024877
Error: (05/20/2015 05:44:25 PM) (Source: Service Control Manager) (EventID: 7043) (User: )
Description: Der Dienst AVGIDSAgent konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.
Error: (05/20/2015 05:43:50 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
%%16405
Error: (05/20/2015 09:19:02 AM) (Source: Service Control Manager) (EventID: 7043) (User: )
Description: Der Dienst Windows Modules Installer konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.
Error: (05/20/2015 03:18:59 AM) (Source: Service Control Manager) (EventID: 7030) (User: )
Description: Der Dienst "AODService" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
Microsoft Office Sessions:
=========================
Error: (05/20/2015 07:34:57 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 07:02:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 06:33:49 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 05:47:16 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 05:41:54 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 09:30:20 AM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 04:09:03 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
Error: (05/20/2015 03:54:45 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
Error: (05/20/2015 03:51:21 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/20/2015 03:28:53 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
==================== Memory info ===========================
Processor: AMD Phenom(tm) II X6 1055T Processor
Percentage of memory in use: 36%
Total physical RAM: 8190.18 MB
Available physical RAM: 5160.95 MB
Total Pagefile: 16378.55 MB
Available Pagefile: 13610.07 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:228.13 GB) (Free:153.25 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Nanami) (Fixed) (Total:227.87 GB) (Free:139.24 GB) NTFS
Drive f: (INTENSO) (Fixed) (Total:3726.01 GB) (Free:1790.64 GB) NTFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: A9E4F6A8)
Partition 1: (Not Active) - (Size=9.8 GB) - (Type=27)
Partition 2: (Active) - (Size=228.1 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=227.9 GB) - (Type=07 NTFS)
Attempted reading MBR returned 0 bytes.
Could not read MBR for disk 1.
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-05-21 06:34:01
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST3500830AS rev.3.AAD 465,76GB
Running: Gmer-19357.exe; Driver: C:\Users\Shinryu\AppData\Local\Temp\pxldrpob.sys
---- User code sections - GMER 2.1 ----
.text C:\Windows\system32\SearchIndexer.exe[3196] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 0000000077cb0128
.text C:\Windows\system32\SearchIndexer.exe[3196] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 0000000077cb0018
.text C:\Windows\System32\svchost.exe[3840] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 00000001779d0128
.text C:\Windows\System32\svchost.exe[3840] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 00000001779d0018
.text C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\CCC.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 00000001779d0128
.text C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\CCC.exe[3508] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 00000001779d0018
.text C:\Windows\System32\svchost.exe[5480] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 00000001779d0128
.text C:\Windows\System32\svchost.exe[5480] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 00000001779d0018
.text C:\Windows\System32\svchost.exe[5480] C:\Windows\system32\kernel32.dll!CreateProcessInternalW 00000000779fdbc0 5 bytes JMP 00000001779d00a0
.text C:\Windows\system32\taskhost.exe[5832] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 0000000077cb0128
.text C:\Windows\system32\taskhost.exe[5832] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 0000000077cb0018
.text C:\Windows\system32\taskhost.exe[5832] C:\Windows\system32\kernel32.dll!CreateProcessInternalW 00000000779fdbc0 5 bytes JMP 0000000077cb00a0
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection 0000000077cffc4c 5 bytes JMP 0000000174db1460
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077cffe10 5 bytes JMP 0000000174db1120
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW 0000000075af3b93 5 bytes JMP 0000000174db1260
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000075ac1401 2 bytes JMP 75b0b1ef C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000075ac1419 2 bytes JMP 75b0b31a C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000075ac1431 2 bytes JMP 75b88f09 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000075ac144a 2 bytes CALL 75ae4885 C:\Windows\syswow64\KERNEL32.dll
.text ... * 9
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000075ac14dd 2 bytes JMP 75b88802 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000075ac14f5 2 bytes JMP 75b889d8 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000075ac150d 2 bytes JMP 75b886f8 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000075ac1525 2 bytes JMP 75b88ac2 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000075ac153d 2 bytes JMP 75affc78 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000075ac1555 2 bytes JMP 75b068bf C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000075ac156d 2 bytes JMP 75b88fc1 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000075ac1585 2 bytes JMP 75b88b22 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000075ac159d 2 bytes JMP 75b886bc C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000075ac15b5 2 bytes JMP 75affd11 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000075ac15cd 2 bytes JMP 75b0b2b0 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000075ac16b2 2 bytes JMP 75b88e84 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-Agent.exe[2480] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000075ac16bd 2 bytes JMP 75b88651 C:\Windows\syswow64\KERNEL32.dll
.text C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[2412] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection 0000000077cffc4c 5 bytes JMP 0000000174db1460
.text C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[2412] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077cffe10 5 bytes JMP 0000000174db1120
.text C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[2412] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW 0000000075af3b93 5 bytes JMP 0000000174db1260
.text C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[3232] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection 0000000077cffc4c 5 bytes JMP 0000000174db1460
.text C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[3232] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077cffe10 5 bytes JMP 0000000174db1120
.text C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[3232] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW 0000000075af3b93 5 bytes JMP 0000000174db1260
.text D:\Temp\Defogger.exe[5512] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection 0000000077cffc4c 5 bytes JMP 0000000174db1460
.text D:\Temp\Defogger.exe[5512] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077cffe10 5 bytes JMP 0000000174db1120
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW 0000000075af3b93 5 bytes JMP 0000000174db1260
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000075ac1401 2 bytes JMP 75b0b1ef C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000075ac1419 2 bytes JMP 75b0b31a C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000075ac1431 2 bytes JMP 75b88f09 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000075ac144a 2 bytes CALL 75ae4885 C:\Windows\syswow64\kernel32.dll
.text ... * 9
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000075ac14dd 2 bytes JMP 75b88802 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000075ac14f5 2 bytes JMP 75b889d8 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000075ac150d 2 bytes JMP 75b886f8 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000075ac1525 2 bytes JMP 75b88ac2 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000075ac153d 2 bytes JMP 75affc78 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000075ac1555 2 bytes JMP 75b068bf C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000075ac156d 2 bytes JMP 75b88fc1 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000075ac1585 2 bytes JMP 75b88b22 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000075ac159d 2 bytes JMP 75b886bc C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000075ac15b5 2 bytes JMP 75affd11 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000075ac15cd 2 bytes JMP 75b0b2b0 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000075ac16b2 2 bytes JMP 75b88e84 C:\Windows\syswow64\kernel32.dll
.text D:\Temp\Defogger.exe[5512] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000075ac16bd 2 bytes JMP 75b88651 C:\Windows\syswow64\kernel32.dll
.text C:\Windows\system32\conhost.exe[6024] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection 0000000077b4de50 5 bytes JMP 0000000077cb0128
.text C:\Windows\system32\conhost.exe[6024] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 0000000077b4df70 5 bytes JMP 0000000077cb0018
.text C:\Windows\system32\conhost.exe[6024] C:\Windows\system32\kernel32.dll!CreateProcessInternalW 00000000779fdbc0 5 bytes JMP 0000000077cb00a0
---- Threads - GMER 2.1 ----
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3000:5844] 00000000762f7587
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3000:3904] 0000000064818aa6
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3000:5576] 0000000077d213b5
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3000:4532] 0000000077d327e5
Thread C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [3000:5936] 0000000077d327e5
---- EOF - GMER 2.1 ----
Code:
ATTFilter # AdwCleaner v4.204 - Bericht erstellt 21/05/2015 um 06:36:50
# Aktualisiert 12/05/2015 von Xplode
# Datenbank : 2015-05-20.1 [Server]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (x64)
# Benutzername : Shinryu - ACER
# Gestarted von : D:\Temp\adwcleaner_4.204.exe
# Option : Suchlauf
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
***** [ Internetbrowser ] *****
-\\ Internet Explorer v11.0.9600.17801
-\\ Mozilla Firefox v38.0.1 (x86 de)
*************************
AdwCleaner[R0].txt - [770 Bytes] - [20/05/2015 19:34:59]
AdwCleaner[R1].txt - [693 Bytes] - [21/05/2015 06:36:50]
########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [751 Bytes] ##########
Ich hoffe, es findet sich eine Lösung. In der Zwischenzeit werde ich Bluestacks wieder deinstallieren. Es macht leider mehr Ärger, als dass es nützt. Nachtrag: Ich weiß nicht, ob es eine Rolle spielt, aber ich hatte mir vor der Neuinstallation Malware eingefangen. Ein Installer für den KMPlayer war... nicht, was er vorgab, zu sein. Allerdings wurden die verschiedenen Programme augenscheinlich mit den vorhandenen Bedrohungen fertig und ausserdem ließ ich Windows die Systemfestplatte formatieren, bevor ich es neu aufspielte. Geändert von Shinryu (21.05.2015 um 06:28 Uhr) |
|
21.05.2015, 06:58
| #2 |
| /// the machine /// TB-Ausbilder    | Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) Hi,
__________________Logs bitte immer in codetags in den Thread posten 
__________________ |
|
25.05.2015, 08:23
| #3 |
| | Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) 4 Tage sind rum und das Thema noch aktuell.
__________________ |
|
25.05.2015, 16:16
| #4 |
| /// the machine /// TB-Ausbilder | Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) Ich warte auch immer noch auf die FRST Logs in Codetags im Thread......
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
28.05.2015, 05:57
| #5 |
| | Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) Schade, es ist keiner da, der helfen kann. Also habe ich mir selbst geholfen und einfach eine andere Suchmaschine genommen. Das löst wahrscheinlich das Problem nicht (falls etwas mit dem System nicht in Ordnung ist) aber zumindest die Symptome. Denn andere Suchmaschinen beschweren sich nicht. Thread kann also geschlossen werden. |
|
28.05.2015, 20:00
| #6 | |
| /// the machine /// TB-Ausbilder | Google - ungewöhlicher Datenverkehr entdeckt (regelmässig)Zitat:
__________________ --> Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) |
|
| Themen zu Google - ungewöhlicher Datenverkehr entdeckt (regelmässig) |
| adware, antivirus, asus, avg, browser, computer, defender, explorer, file, firefox, flash player, frage, google, internet, internet explorer, langsam, ordner, problem, scan, security, svchost.exe, system, tcp, udp, windows |
Linear-Darstellung
