Win Upd.: Speicherort wurde verschoben, keine Updates mehr - kein 08/15 Fall?

mugger · 29.11.2016, 18:27

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 27-11-2016
durchgeführt von mugger (29-11-2016 13:44:32)
Gestartet von C:\Users\mugger\Desktop\Neuer Ordner
Windows 8.1 (Update) (X64) (2016-11-28 09:12:39)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1479790127-220204967-1113009615-500 - Administrator - Disabled)
Gast (S-1-5-21-1479790127-220204967-1113009615-501 - Limited - Disabled)
Ich (S-1-5-21-1479790127-220204967-1113009615-1003 - Limited - Enabled) => C:\Users\Ich
mugger (S-1-5-21-1479790127-220204967-1113009615-1001 - Administrator - Enabled) => C:\Users\mugger
UpdatusUser (S-1-5-21-1479790127-220204967-1113009615-1002 - Limited - Enabled) => C:\Users\UpdatusUser

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Dolby Home Theater v4 (HKLM-x32\...\{B26438B4-BF51-49C3-9567-7F14A5E40CB9}) (Version: 7.2.8000.17 - Dolby Laboratories Inc)
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 8.1.0.1252 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.10.4276 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 2.0.0.37149 - Intel Corporation)
Intel(R) WiDi (HKLM\...\{6097158B-0184-4140-BEC3-7885794D2571}) (Version: 3.5.40.0 - Intel Corporation)
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 50.0.1 (x64 de) (HKLM\...\Mozilla Firefox 50.0.1 (x64 de)) (Version: 50.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 50.0.1 - Mozilla)
NVIDIA 3D Vision Treiber 331.65 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 331.65 - NVIDIA Corporation)
NVIDIA Grafiktreiber 331.65 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 331.65 - NVIDIA Corporation)
NVIDIA Update 1.15.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 1.15.2 - NVIDIA Corporation)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 8.3.730.2012 - Realtek)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6722 - Realtek Semiconductor Corp.)
Reimage Protector (HKLM\...\Reimage Protector) (Version:  - Reimage) <==== ACHTUNG
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 16.2.12.12 - Synaptics Incorporated)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-1479790127-220204967-1113009615-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel Corporation)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {3D46D3A1-6F9A-4D20-B2B0-56539B4B7122} - System32\Tasks\Dolby Selector => C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe [2012-08-31] (Dolby Laboratories Inc.)
Task: {80FBC70F-7371-41E9-86F1-5AA7D7FD712D} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-11-06] (Reimage®) <==== ACHTUNG

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-10-27 09:03 - 2013-10-27 09:03 - 00013088 _____ () C:\Program Files\NVIDIA Corporation\CoProcManager\detoured.dll
2016-11-28 11:07 - 2013-10-23 09:20 - 00102176 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2016-11-28 10:50 - 2013-10-09 13:37 - 01198912 ____R () C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\ACE.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2013-08-22 14:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1479790127-220204967-1113009615-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\Web\Wallpaper\Theme1\img1.jpg
HKU\S-1-5-21-1479790127-220204967-1113009615-1003\Control Panel\Desktop\\Wallpaper -> C:\Windows\Web\Wallpaper\Theme1\img2.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [{2AE3A506-3C55-4C62-9ED2-4397B77EAB40}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe
FirewallRules: [{74623939-5660-4517-8B72-6520BA767ABA}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{4396D97D-EC9E-45F5-AC70-77431C99C214}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{327966DA-C750-46CB-A6A6-BD439247B3C2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [{4A962F5F-37F3-49F5-A560-AE53ECCABEA3}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (11/28/2016 03:31:28 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0xC004E028
Befehlszeilenargumente:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9e4b231b-3e45-41f4-967f-c914f178b6ac;NotificationInterval=1440;Trigger=NetworkAvailable

Error: (11/28/2016 03:18:43 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0x80072EE7
Befehlszeilenargumente:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9e4b231b-3e45-41f4-967f-c914f178b6ac;NotificationInterval=1440;Trigger=UserLogon;SessionId=4

Error: (11/28/2016 03:18:43 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=9e4b231b-3e45-41f4-967f-c914f178b6ac

Error: (11/28/2016 03:18:43 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Lizenzerwerb-Fehlerdetails. 
hr=0x80072EE7

Error: (11/28/2016 01:40:34 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0x80072EE7
Befehlszeilenargumente:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9e4b231b-3e45-41f4-967f-c914f178b6ac;NotificationInterval=1440;Trigger=UserLogon;SessionId=3

Error: (11/28/2016 01:40:33 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=9e4b231b-3e45-41f4-967f-c914f178b6ac

Error: (11/28/2016 01:40:33 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Lizenzerwerb-Fehlerdetails. 
hr=0x80072EE7

Error: (11/28/2016 01:36:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0x80072EE7
Befehlszeilenargumente:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9e4b231b-3e45-41f4-967f-c914f178b6ac;NotificationInterval=1440;Trigger=UserLogon;SessionId=2

Error: (11/28/2016 01:36:49 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Fehler beim Erwerb der Endbenutzerlizenz. hr=0x80072EE7
SKU-ID=9e4b231b-3e45-41f4-967f-c914f178b6ac

Error: (11/28/2016 01:36:49 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Lizenzerwerb-Fehlerdetails. 
hr=0x80072EE7


Systemfehler:
=============
Error: (11/29/2016 07:55:59 AM) (Source: DCOM) (EventID: 10010) (User: mugger_Book)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (11/29/2016 07:55:29 AM) (Source: DCOM) (EventID: 10010) (User: mugger_Book)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (11/29/2016 07:42:37 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "NVIDIA Stereoscopic 3D Driver Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (11/29/2016 07:38:31 AM) (Source: DCOM) (EventID: 10010) (User: mugger_Book)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (11/29/2016 07:38:01 AM) (Source: DCOM) (EventID: 10010) (User: mugger_Book)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (11/29/2016 07:25:58 AM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (11/28/2016 01:25:36 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (11/28/2016 01:03:17 PM) (Source: Microsoft-Windows-Eventlog) (EventID: 30) (User: NT-AUTORITÄT)
Description: Der Ereignisprotokollierungsdienst hat beim Aktivieren des Herausgebers "{0BF2FB94-7B60-4B4D-9766-E82F658DF540}" für den Kanal "Microsoft-Windows-Kernel-ShimEngine/Operational" einen Fehler (5) erkannt. Dieser Fehler hat keinen Einfluss auf den Betrieb des Kanals, beeinträchtigt jedoch die Fähigkeit des Herausgebers, Ereignisse für den Kanal auszulösen. Dieser Fehler ist oft darauf zurückzuführen, dass der Anbieter die ETW-Anbietersicherheit verwendet und der Ereignisprotokoll-Dienstidentität keine Berechtigungen zum Aktivieren gewährt hat.

Error: (11/28/2016 01:03:14 PM) (Source: Microsoft-Windows-Eventlog) (EventID: 30) (User: NT-AUTORITÄT)
Description: Der Ereignisprotokollierungsdienst hat beim Aktivieren des Herausgebers "{0BF2FB94-7B60-4B4D-9766-E82F658DF540}" für den Kanal "Microsoft-Windows-Kernel-ShimEngine/Operational" einen Fehler (5) erkannt. Dieser Fehler hat keinen Einfluss auf den Betrieb des Kanals, beeinträchtigt jedoch die Fähigkeit des Herausgebers, Ereignisse für den Kanal auszulösen. Dieser Fehler ist oft darauf zurückzuführen, dass der Anbieter die ETW-Anbietersicherheit verwendet und der Ereignisprotokoll-Dienstidentität keine Berechtigungen zum Aktivieren gewährt hat.

Error: (11/28/2016 01:02:59 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
Prozentuale Nutzung des RAM: 28%
Installierter physikalischer RAM: 8070.51 MB
Verfügbarer physikalischer RAM: 5795.77 MB
Summe virtueller Speicher: 9990.51 MB
Verfügbarer virtueller Speicher: 7846.63 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:116.86 GB) (Free:90.09 GB) NTFS
Drive e: (Win81Recovery) (CDROM) (Total:3.88 GB) (Free:0 GB) UDF

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 117.4 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt ============================

aswMBR

Code:

ATTFilter

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2016-11-29 14:53:16
-----------------------------
14:53:16.327    OS Version: Windows x64 6.2.9200 
14:53:16.327    Number of processors: 4 586 0x3A09
14:53:16.342    ComputerName: MUGGER_BOOK  UserName: mugger
14:53:16.530    Initialize success
14:53:16.639    VM: initialized successfully
14:53:16.639    VM: Intel CPU supported 
14:53:18.428    VM: supported disk I/O storport.sys
14:53:30.745    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
14:53:30.745    Disk 0 Vendor: SanDisk_SSD_U110_128GB U221000 Size: 120196MB BusType: 11
14:53:30.761    VM: Disk 0 MBR read successfully
14:53:30.761    Disk 0 MBR scan
14:53:30.761    Disk 0 Windows 7 default MBR code
14:53:30.761    Disk 0 Partition 1 00     EE          GPT           2097151 MB offset 1
14:53:30.776    Disk 0 scanning C:\Windows\system32\drivers
14:53:32.292    Service scanning
14:53:35.730    Modules scanning
14:53:35.730    Disk 0 trace - called modules:
14:53:35.746    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll storahci.sys 
14:53:35.761    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000915595e0]
14:53:35.761    3 CLASSPNP.SYS[fffff8004bc49abb] -> nt!IofCallDriver -> [0xffffe00090bcae50]
14:53:35.761    5 ACPI.sys[fffff8004b4017aa] -> nt!IofCallDriver -> \Device\00000032[0xffffe00090bca060]
14:53:35.761    Disk 0 statistics 131676/0/5 @ 73,57 MB/s
14:53:35.777    Scan finished successfully
14:54:02.430    Disk 0 MBR has been saved successfully to "C:\Users\mugger\Desktop\NEU\MBR.dat"
14:54:02.492    The log file has been saved successfully to "C:\Users\mugger\Desktop\NEU\aswMBR.txt"

avz_log

Code:

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.46
Scanning started at 29.11.2016 14:24:32
Database loaded: signatures - 297569, NN profile(s) - 2, malware removal microprograms - 56, signature database released 28.11.2016 16:00
Heuristic microprograms loaded: 408
PVS microprograms loaded: 10
Digital signatures of system files loaded: 847090
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 6.3.9600,  "Windows 8.1", install date 28.11.2016 10:12:39 ; AVZ is run with administrator rights (+)
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .rdata
Function kernel32.dll:ReadConsoleInputExA (1094) intercepted, method - ProcAddressHijack.GetProcAddress ->7595297A->779B1AD0
Function kernel32.dll:ReadConsoleInputExW (1095) intercepted, method - ProcAddressHijack.GetProcAddress ->759529AD->779B1B00
 Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:NtCreateFile (268) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C780->716CB775
Function ntdll.dll:NtSetInformationFile (549) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C4A0->716CB6F1
Function ntdll.dll:NtSetValueKey (580) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C830->716CC69D
Function ntdll.dll:ZwCreateFile (1650) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C780->716CB775
Function ntdll.dll:ZwSetInformationFile (1929) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C4A0->716CB6F1
Function ntdll.dll:ZwSetValueKey (1960) intercepted, method - ProcAddressHijack.GetProcAddress ->77B2C830->716CC69D
 Analysis: user32.dll, export table found in section .text
Function user32.dll:CallNextHookEx (1531) intercepted, method - ProcAddressHijack.GetProcAddress ->77448DC0->716CB6DB
Function user32.dll:SetWindowsHookExW (2303) intercepted, method - ProcAddressHijack.GetProcAddress ->77454600->716CC801
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
 Checking not performed: extended monitoring driver (AVZPM) is not installed
2. Scanning RAM
 Number of processes found: 9
 Number of modules loaded: 153
Scanning RAM - complete
3. Scanning disks
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
 Checking - disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Remotedesktopdienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suche)
>> Services: potentially dangerous service allowed: Schedule (Aufgabenplanung)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun is allowed
 >>  Network drives autorun is allowed
 >>  Removable media autorun is allowed
Checking - complete
Files scanned: 73240, extracted from archives: 44006, malicious software found 0, suspicions - 0
Scanning finished at 29.11.2016 14:33:57
Time of scanning: 00:09:27
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address hxxp://forum.kaspersky.com/index.php?showforum=19
For automatic scanning of files from the AVZ quarantine you can use the service hxxp://virusdetector.ru/

EEK.scan

Code:

ATTFilter

Emsisoft Emergency Kit – Version 11.9
Letztes Update: 29.11.2016 14:59:14
Benutzerkonto: mugger_Book\mugger
Computer name: MUGGER_BOOK
OS version: Windows 8.1x64 

Scan-Einstellungen:

Scan-Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, C:\

PUPs-Erkennung: An
Archiv-Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: An

Scan-Beginn:	29.11.2016 14:59:51

Gescannt:	183302
Gefunden	0

Scan-Ende:	29.11.2016 15:05:52
Scan-Zeit:	0:06:01

GMER

Code:

ATTFilter

GMER 2.2.19882 - hxxp://www.gmer.net
Rootkit scan 2016-11-29 14:47:18
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000032 SanDisk_SSD_U110_128GB rev.U221000 117,38GB
Running: qi2osr0i.exe; Driver: C:\Users\mugger\AppData\Local\Temp\ufdirpod.sys


---- User code sections - GMER 2.2 ----

.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                      00007ff89e9828a0 7 bytes JMP 00007ff89c6702d0
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                             00007ff89e9843b8 7 bytes JMP 00007ff89c670308
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                               00007ff89ea31f00 7 bytes JMP 00007ff89c670378
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                               00007ff89ea34094 7 bytes JMP 00007ff89c6703b0
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                              00007ff89ea344f0 7 bytes JMP 00007ff89c670340
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!K32GetModuleFileNameExW                      00007ff89ea34ad0 7 bytes JMP 00007ff89c670260
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                      00007ff89ea5ce0c 7 bytes JMP 00007ff89c670228
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                        00007ff89ea5ce7c 7 bytes JMP 00007ff89c670298
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                00007ff89c6821d0 5 bytes JMP 00007ff89c670180
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                           00007ff89c6829d0 7 bytes JMP 00007ff89c6700d8
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                         00007ff89c684310 5 bytes JMP 00007ff89c670110
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                             00007ff89c688c40 5 bytes JMP 00007ff89c670148
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\USER32.dll!CreateWindowExW                                00007ff89cc16d80 10 bytes JMP 00007ff89c670490
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                            00007ff89cc27490 5 bytes JMP 00007ff89c670458
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                     00007ff89cc27550 9 bytes JMP 00007ff89c6703e8
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                            00007ff89cc36b00 5 bytes JMP 00007ff89c670420
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                        00007ff89caa1500 8 bytes JMP 00007ff89c6701b8
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                          00007ff89caa1750 8 bytes JMP 00007ff89c6701f0
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\dxgi.dll!CreateDXGIFactory1                               00007ff899f97a88 5 bytes JMP 00007ff899de0110
.text   C:\Windows\system32\dwm.exe[892] C:\Windows\system32\dxgi.dll!CreateDXGIFactory                                00007ff899fa4990 5 bytes JMP 00007ff899de00d8
.text   C:\Windows\system32\nvvsvc.exe[976] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506                     00007ff89eec169a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Windows\system32\nvvsvc.exe[976] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514                     00007ff89eec16a2 4 bytes [EC, 9E, F8, 7F]
.text   C:\Windows\system32\nvvsvc.exe[976] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118                        00007ff89eec181a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Windows\system32\nvvsvc.exe[976] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142                        00007ff89eec1832 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Windows Defender\MsMpEng.exe[1968] C:\Windows\system32\psapi.dll!GetModuleBaseNameA + 506     00007ff89eec169a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Windows Defender\MsMpEng.exe[1968] C:\Windows\system32\psapi.dll!GetModuleBaseNameA + 514     00007ff89eec16a2 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Windows Defender\MsMpEng.exe[1968] C:\Windows\system32\psapi.dll!QueryWorkingSet + 118        00007ff89eec181a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Windows Defender\MsMpEng.exe[1968] C:\Windows\system32\psapi.dll!QueryWorkingSet + 142        00007ff89eec1832 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3848] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506     00007ff89eec169a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3848] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514     00007ff89eec16a2 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3848] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118        00007ff89eec181a 4 bytes [EC, 9E, F8, 7F]
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3848] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142        00007ff89eec1832 4 bytes [EC, 9E, F8, 7F]
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3528] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506  00007ff89eec169a 4 bytes [EC, 9E, F8, 7F]
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3528] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514  00007ff89eec16a2 4 bytes [EC, 9E, F8, 7F]
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3528] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118     00007ff89eec181a 4 bytes [EC, 9E, F8, 7F]
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3528] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142     00007ff89eec1832 4 bytes [EC, 9E, F8, 7F]

---- Threads - GMER 2.2 ----

Thread  C:\Windows\system32\csrss.exe [572:596]                                                                        fffff960009412d0

---- Registry - GMER 2.2 ----

Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed                              -1758615836
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\6036dd18934e                                    
Reg     HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System\mbamchameleon                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System\mbamchameleon@EventMessageFile                          C:\Windows\system32\drivers\mbamchameleon.sys
Reg     HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System\mbamchameleon@TypesSupported                            7
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Type                                                      2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Start                                                     3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@ErrorControl                                              1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Tag                                                       3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@ImagePath                                                 \??\C:\Windows\system32\drivers\mbamchameleon.sys
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@DisplayName                                               mbamchameleon
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Group                                                     FSFilter Activity Monitor
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@WOW64                                                     1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Protected                                                 C:\Users\mugger\Desktop\mbar\
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@RefCount                                                  1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@ProtectedPaths                                            \Device\HarddiskVolume4\Windows\System32\DRIVERS\mbamchameleon.sys?\Device\HarddiskVolume4\Users\mugger\Desktop\mbar\?\Device\HarddiskVolume4\Users\mugger\Desktop\mbar\?\Device\HarddiskVolume4\ProgramData\Malwarebytes' Anti-Malware (portable)\?
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@ProtectedRegistry                                         \REGISTRY\MACHINE\SYSTEM\CONTROLSET*\SERVICES\MBAMCHAMELEON\*?\Registry\MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\mbamchameleon\?
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon@Verified                                                  1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon\Instances                                                 
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon\Instances@DefaultInstance                                 mbamchameleon Instance
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon\Instances\mbamchameleon Instance                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon\Instances\mbamchameleon Instance@Altitude                 400900
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon\Instances\mbamchameleon Instance@Flags                    0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\mbamchameleon                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch                                               43

---- EOF - GMER 2.2 ----

Mbam

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 29.11.2016
Suchlaufzeit: 13:59
Protokolldatei: Mbam.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2016.11.29.06
Rootkit-Datenbank: v2016.11.20.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: mugger

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 334633
Abgelaufene Zeit: 3 Min., 18 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

mbar

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2016.11.29.06
  rootkit: v2016.11.20.01

Windows 8.1 x64 NTFS
Internet Explorer 11.0.9600.18525
mugger :: MUGGER_BOOK [administrator]

29.11.2016 14:12:55
mbar-log-2016-11-29 (14-12-55).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 335491
Time elapsed: 6 minute(s), 48 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Problembehandlung Update

Code:

ATTFilter

Windows Update
Gefundene Probleme
Es wurde ein potenzieller Fehler der Windows Update - Daten ... Behoben Beschädigung der Windows Update - Datenbank reparieren Abgeschlossen
Windows Update - Komponenten müssen repariert werden. Behoben Windows Update - Komponenten reparieren Abgeschlossen
Überprüfte, potenzielle Probleme
Standardspeicherorte für Windows Update - Daten wurden ge... Thema nicht vorhanden
Gefundene Probleme
< Es wurde ein potenzieller Fehler der Windows Update- Datenbank erkannt: 0x80070490
Behoben
Aufgrund der möglichen Probleme kann verhindert werden, dass Ihr System durch Windows Update auf dem neuesten Stand gehalten wird.
Beschädigung der Windows Update- Datenbank reparieren Abgeschlossen
Windows Update - Datenbank neu erstellen und Windows Update - Dienste neu starten
< Windows Update- Komponenten müssen repariert werden. Behoben
Mindestens eine Windows Update - Komponente ist falsch konfiguriert.
Windows Update- Komponenten reparieren Abgeschlossen
Durch die häufige Reparatur von Windows Update - Komponenten können allgemeine Windows Update - Fehler aufgelöst werden.
Überprüfte, potenzielle Probleme
Standardspeicherorte für Windows Update- Daten wurden geändert.
Thema nicht
vorhanden
Der Ort, an dem Windows Update - Daten gespeichert werden, wurde geändert und muss repariert werden.
Erkennungsdetails
Sammlungsinformationen
Computername: MUGGER_BOOK
Windows -Version: 6.3
Architektur: x64
Zeit: Dienstag, 29. November 2016 15:16:48
Herausgeberdetails
Windows - Netzwerkdiagnose
Ermittelt Probleme mit der Netzwerkkonnektivität.
Paketversion: 1.0
Herausgeber: Microsoft Windows
Seite 1 von 2
29. 11.2016file:///C:/Users/mugger/AppData/Local/ElevatedDiagnostics/2560293460/201611291 ...
Windows Update
Lösen Sie Probleme, durch die ein Update von Windows verhindert wird.
Paketversion: 5.0
Herausgeber: Microsoft Windows

Win Upd.: Speicherort wurde verschoben, keine Updates mehr - kein 08/15 Fall?

Log-Analyse und Auswertung: Win Upd.: Speicherort wurde verschoben, keine Updates mehr - kein 08/15 Fall?

3

Ähnliche Themen: Win Upd.: Speicherort wurde verschoben, keine Updates mehr - kein 08/15 Fall?