| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten NetzeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.10.2015, 13:09
| #1 |
| |  WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten Netze Ich habe ein vom Anbieter Steg-Electronics refurbished Windows-Tablet gekauft. Was mich stutzig macht: Selbst nachdem ich das System in den Werkzustand zurückgesetzt habe (mit der Option, alle Daten zu löschen), bleibt ein privates WLAN-Netz in der Liste der gesicherten Netzwerke. (Ich nehme an, es handelt sich um ein Netz, in dem der Vorbesitzer sich eingeloggt hat. Es gehört zu einem kleinen Betrieb in einer anderen Stadt - also keines, in dessen Nähe ich jemals gekommen wäre.) Dieses Netz ist sofort nach dem ersten Start nach dem Zurücksetzen in der Liste, auch wenn ich während des Zurücksetzens das Internet ausgeschaltet hatte. Dies sowohl mit der Zurücksetzen-Funktion, die man direkt aus den Windows-Einstellungen aus aufrufen kann, als auch via Zurücksetzen mittels erstelltem Wiederherstellungs-USB-Stick (wo zusätzlich auch die Daten aus dem TPM-Modul gelöscht werden). Das sollte im Normalfall doch nicht passieren, oder irre ich mich? Denn damit würde sich mein System automatisch in das WLAN-Netz des Vorbesitzers einloggen, wenn ich in dessen Reichweite käme - das erachte ich als potenzielles Sicherheitsrisiko. Oder hatte der Vorbesitzer sich Malware eingefangen? Vielen Dank für die Aufklärung! Hier die Logs: defogger_disable: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:13 on 25/10/2015 (*****)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:24-10-2015
durchgeführt von ***** (Administrator) auf TabletPC (25-10-2015 12:14:56)
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** (Verfügbare Profile: *****)
Platform: Microsoft Windows 8.1 mit Bing (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Intel Corporation) C:\Windows\System32\igfxCUIService.exe
() C:\Program Files\REALTEK\REALTEK Bluetooth\BTDevMgr.exe
(Intel Corporation) C:\Windows\System32\DptfParticipantProcessorService.exe
(Intel Corporation) C:\Windows\System32\DptfPolicyCriticalService.exe
(Intel Corporation) C:\Windows\System32\DptfPolicyLpmService.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel Corporation) C:\Windows\System32\igfxHK.exe
(Intel Corporation) C:\Windows\System32\igfxTray.exe
(Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
(Intel Corporation) C:\Windows\System32\DptfPolicyLpmServiceHelper.exe
() C:\Users\*****\Desktop\Defogger.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\Windows\System32\DptfPolicyLpmServiceHelper.exe [73216 2014-06-24] (Intel Corporation)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 10.0.1.1
Tcpip\..\Interfaces\{B3A66101-61A9-4F05-AC80-8C8616DFC28E}: [DhcpNameServer] 10.0.1.1
Internet Explorer:
==================
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 BTDevManager; C:\Program Files\REALTEK\REALTEK Bluetooth\BTDevMgr.exe [70144 2014-03-12] () [Datei ist nicht signiert]
S3 cphs; C:\Windows\system32\IntelCpHeciSvc.exe [280680 2014-08-15] (Intel Corporation)
R2 DptfParticipantProcessorService; C:\Windows\system32\DptfParticipantProcessorService.exe [75264 2014-06-24] (Intel Corporation)
R2 DptfPolicyCriticalService; C:\Windows\system32\DptfPolicyCriticalService.exe [89088 2014-06-24] (Intel Corporation)
R2 DptfPolicyLpmService; C:\Windows\system32\DptfPolicyLpmService.exe [82432 2014-06-24] (Intel Corporation)
R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [280680 2014-08-15] (Intel Corporation)
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [288128 2014-09-22] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [22192 2014-09-22] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S3 ACC_SensorDriver; C:\Windows\System32\drivers\ACC_SensorDriver.sys [19968 2014-06-27] ()
S3 BthLEEnum; C:\Windows\system32\DRIVERS\BthLEEnum.sys [186880 2014-03-18] (Microsoft Corporation)
R3 BthMini; C:\Windows\System32\Drivers\BTHMINI.sys [24064 2013-08-22] (Microsoft Corporation)
R3 camera; C:\Windows\system32\DRIVERS\camera.sys [462336 2014-07-21] (Intel Corporation)
S3 DptfDevAmbient; C:\Windows\System32\drivers\DptfDevAmbient.sys [36352 2014-06-24] (Intel Corporation)
R3 DptfDevDBPT; C:\Windows\system32\DRIVERS\DptfDevPower.sys [17408 2014-06-24] (Intel Corporation)
R3 DptfDevDisplay; C:\Windows\system32\DRIVERS\DptfDevDisplay.sys [19968 2014-06-24] (Intel Corporation)
R3 DptfDevGen; C:\Windows\system32\DRIVERS\DptfDevGen.sys [28160 2014-06-24] (Intel Corporation)
R3 DptfDevProc; C:\Windows\system32\DRIVERS\DptfDevProc.sys [72704 2014-06-24] (Intel Corporation)
R3 DptfManager; C:\Windows\system32\DRIVERS\DptfManager.sys [174080 2014-06-24] (Intel Corporation)
R3 GoodixTouchDriver; C:\Windows\System32\drivers\GoodixTouchDriver.sys [37888 2014-07-21] (Windows (R) Win 7 DDK provider)
R3 GPIO; C:\Windows\System32\drivers\iaiogpioe.sys [23552 2014-05-16] (Intel Corporation)
R3 GpioVirtual; C:\Windows\System32\drivers\iaiogpiovirtual.sys [16896 2014-03-21] (Intel Corporation)
S3 GYRO_SensorDriver; C:\Windows\System32\drivers\GYRO_SensorDriver.sys [18944 2014-06-27] ()
R3 hm2056; C:\Windows\System32\drivers\hm2056.sys [43008 2014-07-25] (Intel Corporation)
R3 iaioi2c; C:\Windows\System32\drivers\iaioi2ce.sys [62464 2014-05-16] (Intel Corporation)
R3 iaiouart; C:\Windows\System32\drivers\iaiouart.sys [87552 2014-03-21] (Intel Corporation)
S3 intaud_WaveExtensible; C:\Windows\system32\drivers\intelaud.sys [32152 2014-08-01] (Intel Corporation)
R3 IntelBatteryManagement; C:\Windows\System32\drivers\IntelBatteryManagement.sys [38400 2014-08-01] ()
R3 IntelSST; C:\Windows\system32\drivers\isstrtc.sys [263168 2014-08-02] (Intel(R) Corporation)
R3 iwdbus; C:\Windows\System32\drivers\iwdbus.sys [23448 2014-08-01] (Intel Corporation)
R3 kxspb; C:\Windows\System32\drivers\kxspb.sys [46928 2014-07-03] (Kionix, Inc.)
S3 MAG_SensorDriver; C:\Windows\System32\drivers\MAG_SensorDriver.sys [20480 2014-06-27] ()
R0 MBI; C:\Windows\System32\drivers\MBI.sys [21968 2014-03-15] (Intel Corporation)
R3 PMIC; C:\Windows\System32\drivers\PMIC.sys [66560 2014-08-05] (Intel Corporation)
R3 rtii2sac; C:\Windows\system32\DRIVERS\rtii2sac.sys [185560 2014-06-17] (Realtek Semiconductor Corp.)
R3 RtkUart; C:\Windows\System32\drivers\RtkUart.sys [507608 2014-07-11] (Realtek Semiconductor Corporation)
R3 RtlWlans; C:\Windows\system32\DRIVERS\rtwlans.sys [2768600 2014-08-14] (Realtek Semiconductor Corporation )
S3 SensorFusion; C:\Windows\System32\drivers\HIDFusion.sys [59240 2014-07-21] (Intel Corporation)
R3 SensorsServiceDriver; C:\Windows\system32\DRIVERS\WUDFRd.sys [188416 2014-05-31] (Microsoft Corporation)
R3 TXEI; C:\Windows\System32\drivers\TXEI.sys [75792 2014-01-09] (Intel Corporation)
S0 WdBoot; C:\Windows\System32\drivers\WdBoot.sys [29688 2014-09-22] (Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [219968 2014-09-22] (Microsoft Corporation)
R3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [84800 2014-09-22] (Microsoft Corporation)
R3 WUDFSensorLP; C:\Windows\system32\DRIVERS\WUDFRd.sys [188416 2014-05-31] (Microsoft Corporation)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-10-25 12:14 - 2015-10-25 12:15 - 00007565 _____ C:\Users\*****\Desktop\FRST.txt
2015-10-25 12:14 - 2015-10-25 12:14 - 00000000 ____D C:\FRST
2015-10-25 12:13 - 2015-10-25 12:13 - 00000488 _____ C:\Users\*****\Desktop\defogger_disable.log
2015-10-25 12:13 - 2015-10-25 12:13 - 00000000 _____ C:\Users\*****\defogger_reenable
2015-10-25 12:12 - 2015-10-24 21:27 - 01700352 _____ (Farbar) C:\Users\*****\Desktop\FRST.exe
2015-10-25 12:12 - 2015-10-24 21:27 - 00380416 _____ C:\Users\*****\Desktop\GMER.exe
2015-10-25 12:12 - 2015-10-24 21:26 - 00050477 _____ C:\Users\*****\Desktop\Defogger.exe
2015-10-25 08:41 - 2015-10-25 08:41 - 00028672 ___SH C:\Windows\system32\config\BCD-Template.LOG
2015-10-25 02:17 - 2015-10-25 12:12 - 00009239 _____ C:\Windows\WindowsUpdate.log
2015-10-25 00:34 - 2015-10-25 12:13 - 00000000 ____D C:\Users\*****
2015-10-25 00:34 - 2015-10-25 00:34 - 00001457 _____ C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-10-25 00:34 - 2015-10-25 00:34 - 00000144 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-10-25 00:34 - 2015-10-25 00:34 - 00000020 ___SH C:\Users\*****\ntuser.ini
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\Startmenü
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\Netzwerkumgebung
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\Druckumgebung
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\Documents\Eigene Musik
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\Documents\Eigene Bilder
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 _SHDL C:\Users\*****\AppData\Local\Verlauf
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 ____D C:\Users\*****\AppData\Roaming\Adobe
2015-10-25 00:34 - 2015-10-25 00:34 - 00000000 ____D C:\Users\*****\AppData\Local\VirtualStore
2015-10-25 00:34 - 2015-02-10 19:43 - 00000000 ___RD C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools
2015-10-25 00:34 - 2014-11-14 05:47 - 00000000 ___RD C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility
2015-10-25 00:34 - 2014-03-18 08:49 - 00000369 _____ C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pictures.lnk
2015-10-25 00:34 - 2014-03-18 08:49 - 00000369 _____ C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Documents.lnk
2015-10-25 00:34 - 2013-08-22 09:17 - 00000000 ___RD C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2015-10-25 00:34 - 2013-08-22 09:17 - 00000000 ____D C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-10-25 12:13 - 2014-11-14 05:02 - 00758868 _____ C:\Windows\system32\perfh010.dat
2015-10-25 12:13 - 2014-11-14 05:02 - 00149152 _____ C:\Windows\system32\perfc010.dat
2015-10-25 12:13 - 2014-03-18 08:47 - 03507216 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-25 12:11 - 2015-02-10 22:24 - 00003882 _____ C:\Windows\setupact.log
2015-10-25 12:09 - 2013-08-22 09:17 - 00000000 ____D C:\Windows\system32\sru
2015-10-25 08:41 - 2015-05-04 08:57 - 00000000 __SHD C:\Recovery
2015-10-25 08:41 - 2013-08-22 09:17 - 00262144 _____ C:\Windows\system32\config\BCD-Template
2015-10-25 00:40 - 2013-08-22 09:17 - 00000000 ____D C:\Windows\AppReadiness
2015-10-25 00:38 - 2013-08-22 09:17 - 00000000 ____D C:\Windows\Microsoft.NET
2015-10-25 00:34 - 2014-03-22 12:11 - 00000000 ____D C:\Windows\Panther
2015-10-25 00:33 - 2013-08-22 09:17 - 00000000 ____D C:\Windows\system32\Recovery
2015-10-25 00:33 - 2013-08-22 07:21 - 00000000 ___RD C:\Users\Public
2015-10-24 23:47 - 2013-08-22 08:23 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-10-24 23:46 - 2013-08-22 09:18 - 00004552 _____ C:\Windows\DtcInstall.log
2015-10-24 23:46 - 2013-08-22 07:13 - 00262144 ___SH C:\Windows\system32\config\BBI
2015-10-24 23:42 - 2013-08-22 08:22 - 00335600 _____ C:\Windows\system32\FNTCACHE.DAT
2015-10-24 23:42 - 2013-08-22 07:21 - 00000000 __RHD C:\Users\Default
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2015-10-24 23:42
==================== Ende vom FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:24-10-2015
durchgeführt von ***** (2015-10-25 12:15:49)
Gestartet von C:\Users\*****\Desktop
Microsoft Windows 8.1 mit Bing (X86) (2015-10-24 23:34:10)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-993219285-3008512728-1961437080-500 - Administrator - Disabled)
Gast (S-1-5-21-993219285-3008512728-1961437080-501 - Limited - Disabled)
***** (S-1-5-21-993219285-3008512728-1961437080-1001 - Administrator - Enabled) => C:\Users\*****
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Intel(R) Processor Graphics (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.10.3910 - Intel Corporation)
kxaccel-1.0.13.20-win8-x86 (HKLM\...\{4BE64DB8-771F-42D0-B120-EFB738C40215}) (Version: 1.0.13.20 - Kionix)
REALTEK Bluetooth (HKLM\...\InstallShield_{192979A0-37F4-4703-B1BB-62052142CE44}) (Version: 1.0.52.40714 - Realtek Semiconductor Corp.)
REALTEK Bluetooth (Version: 1.0.52.40714 - Ihr Firmenname) Hidden
REALTEK Wireless LAN Driver (HKLM\...\{33AABC60-A52F-41FF-B2B9-17321240CD5}) (Version: 1.01.0243 - REALTEK Semiconductor Corp.)
Windows Driver Package - Kionix, Inc. (kxspb) Sensor I/O devices (06/26/2014 1.2.6.3) (HKLM\...\9B850DEC9F528A80EF96519B4987C5F90EF303B8) (Version: 06/26/2014 1.2.6.3 - Kionix, Inc.)
Windows Driver Package - Kionix, Inc. (WUDFRd) Sensor (06/26/2014 1.0.13.20) (HKLM\...\A29252E022AC11B53F70404D9A02C2B623F7A4BB) (Version: 06/26/2014 1.0.13.20 - Kionix, Inc.)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Wiederherstellungspunkte =========================
ACHTUNG: Systemwiederherstellung ist deaktiviert
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2013-08-22 07:13 - 2013-08-22 07:13 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {0D09366B-6E65-4BDC-B7C1-BF0AE80B43D5} - System32\Tasks\Microsoft\Windows\SetupSQMTask => C:\Windows\SYSTEM32\OOBE\SETUPSQM.EXE [2013-08-22] (Microsoft Corporation)
Task: {4DEB9670-3B62-4714-8586-82B23AA0F42C} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-02-10] (Microsoft Corporation)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2014-03-22 03:24 - 2014-03-12 13:31 - 00070144 _____ () C:\Program Files\REALTEK\REALTEK Bluetooth\BTDevMgr.exe
2015-10-25 12:12 - 2015-10-24 21:26 - 00050477 _____ () C:\Users\*****\Desktop\Defogger.exe
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iaioi2ce.sys => ""="Driver"
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-993219285-3008512728-1961437080-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (10/25/2015 12:35:08 AM) (Source: DptfPolicyLpmService) (EventID: 1) (User: )
Description: DptfPolicyLpmServiceServiceMainThread: GetForegroundApplicationIndex() failed.
Error: (10/25/2015 12:33:26 AM) (Source: Windows Search Service Profile Notification) (EventID: 2) (User: )
Description: Die indizierten Daten von Windows Search für den Benutzer '<Event xmlns='hxxp://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Search-ProfileNotify' Guid='{FC6F77DD-769A-470E-BCF9-1B6555A118BE}' EventSourceName='Windows Search Service Profile Notification'/><EventID Qualifiers='49152'>2</EventID><Version>0</Version><Level>2</Level><Task>0</Task><Opcode>0</Opcode><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2015-10-24T23:33:26.000000000Z'/><EventRecordID>21</EventRecordID><Correlation/><Execution ProcessID='0' ThreadID='0'/><Channel>Application</Channel><Computer>TabletPC</Computer><Security/></System><ProcessingErrorData><ErrorCode>15005</ErrorCode><DataItemName>__binLength</DataItemName><EventPayload>5400610062006C0065007400500043005C00410064006D0069006E006900730074007200610074006F00720000003000780038003000300034003200310030003300000000000000</EventPayload></ProcessingErrorData></Event>' können im Zuge der Löschung des Benutzerprofils nicht entfernt werden. Fehlercode %2.
%3.
Systemfehler:
=============
Error: (10/25/2015 01:28:06 AM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst WSearch erreicht.
Error: (10/24/2015 11:45:33 PM) (Source: DCOM) (EventID: 10010) (User: NT-AUTORITÄT)
Description: {A47979D2-C419-11D9-A5B4-001185AD2B89}
Error: (10/24/2015 11:43:33 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Netzwerklistendienst" wurde mit folgendem Fehler beendet:
%%21
Error: (10/24/2015 11:43:15 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "IP-Hilfsdienst" wurde mit folgendem Fehler beendet:
%%1058
Error: (10/24/2015 11:42:04 PM) (Source: volmgr) (EventID: 46) (User: )
Description: Die Initialisierung des Speicherabbildes ist fehlgeschlagen.
==================== Memory info ===========================
Processor: Intel(R) Atom(TM) CPU Z3735G @ 1.33GHz
Prozentuale Nutzung des RAM: 67%
Installierter physikalischer RAM: 961.35 MB
Verfügbarer physikalischer RAM: 313.21 MB
Summe virtueller Speicher: 2753.35 MB
Verfügbarer virtueller Speicher: 1827.29 MB
==================== Laufwerke ================================
Drive c: (Windows) (Fixed) (Total:14.34 GB) (Free:6.72 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (Size: 14.6 GB) (Disk ID: 00000000)
Partition: GPT.
==================== Ende vom Addition.txt ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-10-25 13:14:24
Windows 6.2.9200 \Device\Harddisk0\DR0 -> \Device\00000040 VID:15 rev.0.1 14,56GB
Running: GMER.exe; Driver: C:\Users\*****~1\AppData\Local\Temp\uwloipob.sys
---- Kernel code sections - GMER 2.1 ----
.text ntoskrnl.exe!READ_REGISTER_BUFFER_ULONG + FD28 8136FF28 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 566 813744F6 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
---- Devices - GMER 2.1 ----
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime 0x22 0x5B 0x6A 0xE6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime 0x5A 0x3F 0xCF 0x40 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@de-DE 2
Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\MS_90011_00_07D2_6A^DB06E3A18BE1C8E4C4E8AEF9B415ED9D@Timestamp 0xDE 0x10 0x38 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\MS_90011_00_07D2_6A^DB06E3A18BE1C8E4C4E8AEF9B415ED9D\00\00@Rotation 1
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -1181938214
Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID c56a054e-06c9-4e83-b4e5-8eb98d9
Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@GlassSessionId 2
Reg HKLM\SYSTEM\CurrentControlSet\Control\WDI\Config@ServerName \BaseNamedObjects\WDI_{86fdd781-31eb-40b1-bc81-14f698ed2241}
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000@DefaultSettings.XResolution 800
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000@DefaultSettings.YResolution 1280
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000@DefaultSettings.Orientation 0
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000\Mon04110400@DefaultSettings.XResolution 800
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000\Mon04110400@DefaultSettings.YResolution 1280
Reg HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\UnitedVideo\CONTROL\VIDEO\{56C86DA1-1F54-4C1A-A0C2-AC33AA3E8B60}\0000\Mon04110400@DefaultSettings.Orientation 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\08d834612f24
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\08d834aec96f
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\08d834aec97c
Reg HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@ReadyBootPlanAge 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 2239
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 21
Reg HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence 15
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI@IdleTime 39094
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AutoRotation@SensorPresent 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeLo 2088825121
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeHi 30478004
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeLo 2089293893
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeHi 30478004
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-993219285-3008512728-1961437080-1001\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeLo 1664588247
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-993219285-3008512728-1961437080-1001\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeHi 30478101
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-993219285-3008512728-1961437080-1001\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeLo 1664744489
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-993219285-3008512728-1961437080-1001\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeHi 30478101
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability@LastComputerName TabletPC
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\DPI@Overrode 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ThemeManager@ServerChangeNumber 16
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-993219285-3008512728-1961437080-1001@RefCount 4
Reg HKLM\SOFTWARE\Microsoft\Windows Search\UsnNotifier\Windows\Catalogs\SystemIndex@{5E81D08C-ABB8-4C18-BAC4-7C8902749603} 942587032
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\Grid@Layout_MaximumAvailableHeightCells 12
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\Grid@Layout_AvailableHeightCells 12
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.1 ----
|
|
25.10.2015, 14:27
| #2 |
| /// the machine /// TB-Ausbilder    | WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten Netze hi,
__________________Malware ist da keine. Wie auch, wurde ja zurück gesetzt  Hast Du schon versucht das WLAN jetzt in den Einstellungen zu löschen?
__________________ |
|
25.10.2015, 14:51
| #3 |
| | WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten Netze Das WLAN kann gelöscht werden. Aber da es nach einem erneutem Zurücksetzen doch wieder da ist (und nur dieses eine alte WLAN, nicht aber die, in die ich mich selbst eingeloggt habe), scheint zu zeigen, dass es bereits im Wiederherstellungs-Windows drin ist. Doch wie ist es dort hineingekommen? Sollte doch eine Clean Install sein, oder irre ich mich? (Das Tablet hat übrigens keine gesonderte Wiederherstellungs-Partition, die Datenträgerverwaltung meldet auf C: nur ein "Unterstützendes WIM" und "WIM-Start".)
__________________Wäre es normal, würde ich dies als Sicherheitsrisiko von Windows taxieren. Wäre es nicht normal, frage ich mich, wie es dort hinein gekommen ist - und woher ich wissen könnte, was sonst noch in der vermeintlichen "Clean Install" ist ... Ohne paranoid klingen zu wollen, diesem System könnte ich nicht mehr uneingeschränkt vertrauen. (Dummerweise ist auch eine Neu-Installation von Windows 8 nicht möglich, da einige spezifische Treiber nicht erhältlich sind. Auch ein Update auf Windows 10 wollte übrigens partout nicht gelingen, egal ob über Windows Update oder über das Media Creation Tool.) |
|
26.10.2015, 18:09
| #4 |
| /// the machine /// TB-Ausbilder | WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten Netze Die Frage kann ich leider nicht beantworten. Theoretisch kann man in ein Recovery ja alles reinpacken was man will.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
| Themen zu WLAN-Netz bleibt selbst nach Zurücksetzen des Computers in der Liste der gesicherten Netze |
| .dll, administrator, computer, cpu, dateien, defender, dnsapi.dll, einloggen, explorer, firewall, harddisk, internet, löschen, malware, microsoft, ordner, prozesse, realtek, registry, scan, services.exe, software, svchost.exe, system, wallpaper, winlogon.exe |
Linear-Darstellung
