| |
| |||||||
Log-Analyse und Auswertung: Wiederkehrende Trojanermeldung nach neu aufsetzen des ComputersWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.02.2017, 19:30
| #1 |
 |  Wiederkehrende Trojanermeldung nach neu aufsetzen des Computers Guten Tag, Ich habe letzten Monat den Rechner neu aufgesetzt und mir beim Installieren der Treiber vermutlich einen Trojaner eingefangen. Ich habe auf dem Computer so gut wie garnichts drauf, weiß aber nicht wo sich dieser verstecken könnte. Antivir meldet beim Starten des Computers Funde und schiebt diese in Quarantäne, bei einer vollständigen Systemüberprüfung ist kein Fund sichtbar. Vielen dank für eventuelle Hilfe Die FRST Log file ist im Anhang, da sie leider zu groß ist. Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10-02-2017
durchgeführt von bobesch (10-02-2017 19:18:11)
Gestartet von C:\Users\bobesch\Downloads
Windows 7 Home Premium Service Pack 1 (X64) (2017-01-07 15:26:27)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-3949872989-636430968-2580751928-500 - Administrator - Disabled)
bobesch (S-1-5-21-3949872989-636430968-2580751928-1000 - Administrator - Enabled) => C:\Users\bobesch
Gast (S-1-5-21-3949872989-636430968-2580751928-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3949872989-636430968-2580751928-1002 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Adobe Flash Player 24 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 24.0.0.194 - Adobe Systems Incorporated)
Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.24.146 - Avira Operations GmbH & Co. KG)
Avira Connect (HKLM-x32\...\{845380e2-f0b5-4584-bc40-cc54345b3c06}) (Version: 1.2.77.41287 - Avira Operations GmbH & Co. KG)
Avira Connect (x32 Version: 1.2.77.41287 - Avira Operations GmbH & Co. KG) Hidden
chip 1-click download service (HKLM-x32\...\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}) (Version: 3.6.9.0 - Chip Digital GmbH)
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 11.0.6.1194 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2875 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 2.0.0.37149 - Intel Corporation)
MergeModule_x64 (Version: 8.0.00 - Sony Corporation) Hidden
Microsoft .NET Framework 4.6.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.01055 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 51.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 51.0.1 (x86 de)) (Version: 51.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 51.0.1.6234 - Mozilla)
NVIDIA 3D Vision Treiber 359.46 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 359.46 - NVIDIA Corporation)
NVIDIA Grafiktreiber 359.46 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 359.46 - NVIDIA Corporation)
NVIDIA Update 10.4.0 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 10.4.0 - NVIDIA Corporation)
Ralink RT2860 Wireless LAN Card (HKLM-x32\...\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}) (Version: 2.2.2.2 - Ralink)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {08298856-EA60-4B0F-8DF3-24C03ACEB3F7} - System32\Tasks\593m96q71k661 => Rundll32.exe "C:\ProgramData\593m96q71k661\593m96q71k661.dll",mqktcw <==== ACHTUNG
Task: {2D9C46BF-0BDB-47F1-AD84-BEFAF1D9BDDF} - System32\Tasks\6245v28o6e3480 => Rundll32.exe "C:\ProgramData\6245v28o6e3480\6245v28o6e3480.dll",voeWdEk <==== ACHTUNG
Task: {30488979-DB70-4965-AEE9-038D9BC47591} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-01-17] () <==== ACHTUNG
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => sc.execonfig upnphost start= auto
Task: {6FE913EF-DADB-427E-A11D-B2654F5DF0BE} - System32\Tasks\593m96q71k661-dll => Rundll32.exe "C:\ProgramData\593m96q71k661\593m96q71k661.dll",mqktcw
Task: {7AE8D794-6A68-4CBD-9440-24BB641DEACB} - System32\Tasks\flashplayer24_ka_install => Rundll32.exe "C:\ProgramData\593m96q71k661\593m96q71k661.dll",mqktcw
Task: {9619704D-F2FF-40D9-9609-712246D4063D} - System32\Tasks\pmhome_5300dl-exe => Rundll32.exe "C:\ProgramData\593m96q71k661\593m96q71k661.dll",mqktcw
Task: {C1CDD85E-367A-4587-9D10-6789E789D928} - System32\Tasks\pmhome_3021dl-exe => Rundll32.exe "C:\ProgramData\593m96q71k661\593m96q71k661.dll",mqktcw
Task: {C710F86B-D3C2-4AF9-92C5-5C581CC02528} - \SMW_UpdateTask_Time_333132313833363738382d414a34413734452a786c5a5a -> Keine Datei <==== ACHTUNG
Task: {DD9F510C-95F4-499A-90C8-BAC5BC372FF4} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => sc.exestart sppsvc
Task: {ED1B1D4D-99A8-4D3A-9951-EECD54C56218} - System32\Tasks\{AE257FC0-FDEA-4397-B2E9-D8309F773F2B} => pcalua.exe -a C:\Users\bobesch\Downloads\PMHOME_5300DL.exe -d C:\Users\bobesch\Downloads
Task: {F61D2BB9-3CA8-4916-990E-50BC65710EAC} - System32\Tasks\4a7y2r0 => Rundll32.exe "C:\ProgramData\4a7y2r0\4a7y2r0.dll",ayreb <==== ACHTUNG
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
Shortcut: C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Explоrеr.lnk -> C:\Users\bobesch\AppData\Roaming\Browsers\exe.erolpxei.bat ()
Shortcut: C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorer (64-bit).lnk -> C:\Users\bobesch\AppData\Roaming\Browsers\exe.erolpxei.bat ()
Shortcut: C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxрlorer (No Add-оns).lnk -> C:\Users\bobesch\AppData\Roaming\Browsers\exe.erolpxei.bat ()
Shortcut: C:\Users\bobesch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Eхрlоrеr Brоwsеr.lnk -> C:\Users\bobesch\AppData\Roaming\Browsers\exe.erolpxei.bat ()
Shortcut: C:\Users\bobesch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplorеr.lnk -> C:\Users\bobesch\AppData\Roaming\Browsers\exe.erolpxei.bat ()
ShortcutWithArgument: C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
ShortcutWithArgument: C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
ShortcutWithArgument: C:\Users\bobesch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
ShortcutWithArgument: C:\Users\bobesch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h1hz0au,bbf5e171-2c3d-447c-8638-74b24303ace9,
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2017-01-22 23:54 - 2016-02-15 08:26 - 00133056 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2017-02-10 15:20 - 2014-03-22 13:08 - 02998784 _____ () C:\ProgramData\6245v28o6e3480\6245v28o6e3480.dll
2017-02-10 15:18 - 2017-02-10 19:09 - 00248320 _____ () C:\Windows\TEMP\gCD58.tmp.exe
2016-04-21 19:02 - 2016-04-21 19:02 - 00027584 _____ () C:\Program Files\NVIDIA Corporation\CoProcManager\detoured.dll
2017-01-22 20:03 - 2012-11-02 15:19 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2016-04-21 19:02 - 2016-04-21 19:02 - 00029240 _____ () C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3949872989-636430968-2580751928-1000\...\localhost -> localhost
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-3949872989-636430968-2580751928-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\bobesch\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{6F570A86-57F8-4F50-8F69-D909A8B6EBBB}] => C:\Windows\system32\rundll32.exe
FirewallRules: [{843B7D50-2D96-4A23-A18F-C766E6467D9E}] => C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{C1B1CA5C-0457-4D1B-9BFA-00BDB0A4871A}] => C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{34EB1F02-1063-4C39-9550-51FAAD7133BE}] => C:\Windows\System32\rundll32.exe
FirewallRules: [{0019C4F1-5A4F-4598-97B8-8E2EC96CB125}] => C:\Windows\System32\rundll32.exe
FirewallRules: [{166E5153-A4B2-49C7-AFE0-6226F702F17F}] => C:\Windows\System32\rundll32.exe
FirewallRules: [{DCAEAE30-FDB1-45F1-84CC-A0E26904DF8A}] => C:\Windows\System32\rundll32.exe
==================== Wiederherstellungspunkte =========================
05-02-2017 04:13:19 Windows Update
07-02-2017 13:24:34 Windows Update
10-02-2017 15:39:59 WinZip Driver Updater (10/02/2017 15:39)
10-02-2017 18:52:14 Removed Visual Studio 2012 x64 Redistributables
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (02/10/2017 07:09:41 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (02/10/2017 06:45:16 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (02/10/2017 03:39:59 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {ba8da17d-64ba-485f-828f-4e62455ee6d6}
Error: (02/09/2017 06:50:19 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (02/07/2017 02:25:25 PM) (Source: MsiInstaller) (EventID: 11935) (User: bobesch-PC)
Description: Produkt: PlayMemories Home -- Fehler 1935. Während der Installation der Assembly "Microsoft.VC90.CRT,version="9.0.30729.5570",publicKeyToken="1fc8b3b9a1e18e3b",processorArchitecture="x86",type="win32"" ist ein Fehler aufgetreten. Weitere Informationen erhalten Sie unter "Hilfe" und beim Support. HRESULT: 0x800736FD, Assemblyschnittstelle: IAssemblyCacheItem, Funktion: Commit, Komponente: {D72DDA45-EE3D-3264-ABD3-3A34626903F2}
Error: (02/05/2017 08:51:52 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (02/05/2017 12:48:05 PM) (Source: MsiInstaller) (EventID: 11935) (User: bobesch-PC)
Description: Produkt: MergeModule_x86 -- Fehler 1935. Während der Installation der Assembly "Microsoft.VC90.CRT,version="9.0.30729.5570",publicKeyToken="1fc8b3b9a1e18e3b",processorArchitecture="x86",type="win32"" ist ein Fehler aufgetreten. Weitere Informationen finden Sie unter Hilfe und Support. HRESULT: 0x800736FD, Assemblyschnittstelle: IAssemblyCacheItem, Funktion: Commit, Komponente: {D72DDA45-EE3D-3264-ABD3-3A34626903F2}
Error: (02/03/2017 07:22:10 PM) (Source: MsiInstaller) (EventID: 11935) (User: bobesch-PC)
Description: Produkt: MergeModule_x86 -- Fehler 1935. Während der Installation der Assembly "Microsoft.VC90.CRT,version="9.0.30729.5570",publicKeyToken="1fc8b3b9a1e18e3b",processorArchitecture="x86",type="win32"" ist ein Fehler aufgetreten. Weitere Informationen finden Sie unter Hilfe und Support. HRESULT: 0x800736FD, Assemblyschnittstelle: IAssemblyCacheItem, Funktion: Commit, Komponente: {D72DDA45-EE3D-3264-ABD3-3A34626903F2}
Error: (02/03/2017 06:18:26 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm Bootstrap.exe, Version 10.3.0.12160 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.
Prozess-ID: 1280
Startzeit: 01d27e3955f83690
Endzeit: 0
Anwendungspfad: C:\Users\bobesch\AppData\Local\Temp\IXP000.TMP\Bootstrap.exe
Berichts-ID:
Error: (02/03/2017 05:32:42 PM) (Source: MsiInstaller) (EventID: 11935) (User: bobesch-PC)
Description: Produkt: MergeModule_x86 -- Fehler 1935. Während der Installation der Assembly "Microsoft.VC90.CRT,version="9.0.30729.5570",publicKeyToken="1fc8b3b9a1e18e3b",processorArchitecture="x86",type="win32"" ist ein Fehler aufgetreten. Weitere Informationen finden Sie unter Hilfe und Support. HRESULT: 0x800736FD, Assemblyschnittstelle: IAssemblyCacheItem, Funktion: Commit, Komponente: {D72DDA45-EE3D-3264-ABD3-3A34626903F2}
Systemfehler:
=============
Error: (02/10/2017 07:09:08 PM) (Source: Service Control Manager) (EventID: 7016) (User: )
Description: Der Dienst "chip 1-click download service" hat einen ungültigen aktuellen Status gemeldet: 0
Error: (02/10/2017 07:09:08 PM) (Source: Service Control Manager) (EventID: 7016) (User: )
Description: Der Dienst "chip 1-click download service" hat einen ungültigen aktuellen Status gemeldet: 0
Error: (02/10/2017 07:08:44 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am 10.02.2017 um 19:04:32 unerwartet heruntergefahren.
Error: (02/10/2017 06:50:52 PM) (Source: Service Control Manager) (EventID: 7016) (User: )
Description: Der Dienst "chip 1-click download service" hat einen ungültigen aktuellen Status gemeldet: 0
Error: (02/10/2017 06:50:52 PM) (Source: Service Control Manager) (EventID: 7016) (User: )
Description: Der Dienst "chip 1-click download service" hat einen ungültigen aktuellen Status gemeldet: 0
Error: (02/10/2017 06:41:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (02/10/2017 06:40:42 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (02/10/2017 06:40:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (02/10/2017 06:39:42 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (02/10/2017 06:39:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
Zugriff verweigert
CodeIntegrity:
===================================
Date: 2017-01-17 18:17:17.126
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Common Files\Noobzo\GNUpdate\smw.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2017-01-17 18:17:16.954
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Common Files\Noobzo\GNUpdate\smw.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2017-01-17 18:16:18.490
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Common Files\Noobzo\GNUpdate\smw.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2017-01-17 18:16:18.409
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Common Files\Noobzo\GNUpdate\smw.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i7-2630QM CPU @ 2.00GHz
Prozentuale Nutzung des RAM: 34%
Installierter physikalischer RAM: 6056.16 MB
Verfügbarer physikalischer RAM: 3936.69 MB
Summe virtueller Speicher: 12110.5 MB
Verfügbarer virtueller Speicher: 9706.93 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:149.04 GB) (Free:112.66 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: () (Fixed) (Total:425.64 GB) (Free:425.54 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596.2 GB) (Disk ID: 98B324F9)
Partition 1: (Not Active) - (Size=21.5 GB) - (Type=1C)
Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=425.6 GB) - (Type=OF Extended)
==================== Ende von Addition.txt ============================
Code:
ATTFilter 10.02.2017, 18:48:36 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.iywcl [trojan]'
in Datei 'C:\Windows\Temp\gDE4D.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 18:47:51 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.cmgvl [trojan]'
in Datei 'C:\Windows\Temp\gDE4E.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:20:27 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.cmgvl [trojan]'
in Datei 'C:\Windows\Temp\g7A4.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:20:25 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.cmgvl [trojan]'
in Datei 'C:\Windows\Temp\g7A4.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:20:23 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.17db21 (Cloud) [TR/ATRAPS.17db21]'
in Datei 'C:\Windows\Temp\gCD59.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:20:23 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.iywcl [trojan]'
in Datei 'C:\Windows\Temp\gCD56.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:18:28 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.cmgvl [trojan]'
in Datei 'C:\Windows\Temp\gCD57.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
10.02.2017, 15:18:27 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.cmgvl [trojan]'
in Datei 'C:\Windows\Temp\gCD57.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
09.02.2017, 18:51:45 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g30FF.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
09.02.2017, 18:51:45 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g30FF.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
09.02.2017, 18:51:44 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g30FF.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
07.02.2017, 16:03:14 [System-Scanner] Malware gefunden
Die Datei 'C:\Windows\Temp\g8CF2.tmp'
enthält folgendes Muster 'TR/ATRAPS.fqkci' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5fa04f71.qua' verschoben!
07.02.2017, 13:24:06 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g2EDC.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
03.02.2017, 22:12:22 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BNH3SPPR\and_lt_php_echo_get_the_title_ID_and_gt[1].exe'
enthält folgendes Muster 'ADWARE/ICLoader.Gen7' [adware]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3554196e.qua' verschoben!
03.02.2017, 22:09:30 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\gF8CF.tmp'
enthält folgendes Muster 'TR/ATRAPS.ecttk' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46577e94.qua' verschoben!
03.02.2017, 17:07:23 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\gD23D.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
23.01.2017, 15:56:29 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\gCA03.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
23.01.2017, 14:37:34 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g59D2.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
23.01.2017, 03:40:56 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g1499.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
23.01.2017, 03:40:55 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\g1499.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
23.01.2017, 01:19:19 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/SpeedBit.odarx [adware]'
in Datei 'C:\Windows\System32\bi3.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
22.01.2017, 20:40:28 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Wdfload.crqun [trojan]'
in Datei 'C:\Windows\Temp\gB193.tmp.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
22.01.2017, 20:28:50 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.lbxgi [trojan]'
in Datei 'C:\Windows\Temp\gC15B.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
22.01.2017, 18:48:13 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.lbxgi [trojan]'
in Datei 'C:\Windows\Temp\g7BD.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
19.01.2017, 11:15:48 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/HPDefender.ysegp [adware]'
in Datei 'C:\Users\bobesch\AppData\Local\Temp\Set52D3.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 20:58:20 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.Gen4 (Cloud) [TR/ATRAPS.Gen4]'
in Datei 'C:\Windows\Temp\g9C6D.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 20:58:19 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/ATRAPS.Gen4 (Cloud) [TR/ATRAPS.Gen4]'
in Datei 'C:\Windows\Temp\g9C6D.tmp gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 19:02:06 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\TIB77C2.tmp'
enthält folgendes Muster 'HEUR/APC (Cloud)' [heuristic]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5066f3f0.qua' verschoben!
17.01.2017, 18:54:34 [System-Scanner] Malware gefunden
Die Datei 'C:\Windows\taskmgr.exe'
enthält folgendes Muster 'TR/BitCoinMiner.vlduz' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7be18884.qua' verschoben!
17.01.2017, 18:53:41 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\is-LFKET.tmp\pm-standalone-setup.exe'
enthält folgendes Muster 'PUA/SpeedUpMyPC.Gen' [riskware]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07a3de5d.qua' verschoben!
17.01.2017, 18:49:43 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\0W7FHKAD5L\cas.exe'
enthält folgendes Muster 'TR/Downloader.Gen9' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b41f11d.qua' verschoben!
17.01.2017, 18:49:35 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\0W7FHKAD5L\appsoft.exe'
enthält folgendes Muster 'TR/Dropper.Gen' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3445c37b.qua' verschoben!
17.01.2017, 18:49:24 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Temp\Per77F0.tmp'
enthält folgendes Muster 'TR/Crypt.Xpack.zfrkk' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71dfe373.qua' verschoben!
17.01.2017, 18:47:22 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YDQ5G3N3\taskmgr[1].exe'
enthält folgendes Muster 'TR/BitCoinMiner.vlduz' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '17e9d8b3.qua' verschoben!
17.01.2017, 18:44:56 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0UN0XCF5\svchost[1].exe'
enthält folgendes Muster 'TR/Agent.17' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45a683de.qua' verschoben!
17.01.2017, 18:44:27 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\bobesch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0UN0XCF5\csrss[1].exe'
enthält folgendes Muster 'TR/BitCoinMiner.lkvi' [trojan]
Ausgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d20ac99.qua' verschoben!
17.01.2017, 18:30:51 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/CsdiMonetize.gaebf [adware]'
in Datei 'C:\Program Files\KJNMR8WM59\KJNMR8WM5.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:30:46 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/CsdiMonetize.gaebf [adware]'
in Datei 'C:\Program Files\LL34BJ4YF6\LL34BJ4YF.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:24:11 [System-Scanner] Malware gefunden
Die Datei 'C:\Windows\svchost.exe'
enthält folgendes Muster 'TR/Agent.17' [trojan]
Ausgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!
17.01.2017, 18:22:14 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Dropper.Gen [trojan]'
in Datei 'C:\Program Files (x86)\DPower\ZNWD44.VIR gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:22:10 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Dropper.Gen [trojan]'
in Datei 'C:\Program Files (x86)\DPower\ZNWD44.VIR gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:21:57 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/CsdiMonetize.gaebf [adware]'
in Datei 'C:\Program Files (x86)\DPower\CTNROEDA48.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:19:14 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Dropper.Gen [trojan]'
in Datei 'C:\Program Files (x86)\DPower\uninstaller.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:18:13 [Echtzeit-Scanner] Malware gefunden
Muster 'TR/Dropper.Gen [trojan]'
in Datei 'C:\Program Files (x86)\DPower\ZNWD44.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
17.01.2017, 18:18:04 [Echtzeit-Scanner] Malware gefunden
Muster 'ADWARE/SpeedBit.Gen7 [adware]'
in Datei 'C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
Geändert von bobesch (10.02.2017 um 19:36 Uhr) |
| Themen zu Wiederkehrende Trojanermeldung nach neu aufsetzen des Computers |
| antivirus, askbar, avg, avira, computer, cpu, defender, desktop, firefox, flash player, home, iexplore.exe, installation, internet, internet explorer, kein fund, launch, malware, problem, problem gelöst, registry, rundll, scan, starten, svchost, svchost.exe, systemüberprüfung, tr/dropper.gen, trojaner |
Baum-Darstellung