hallo,

ich brauche Hilfe.

habe eine selbstgebaute Anwendung, eine Art Chat von jemandem bekommen, die sehr verdächtig ist.
Ich nutze das Programm in einer Virtuellen Maschine mit VMWare Player, habe aber troztdem Bedenken.
Leider habe ich keine Ahnung von Viren, die meisten Scanner haben nichts erkannt, während einige eine Warnung gegeben haben ( Online Scan).

Kann sich das Ding jemand mal auseinander nehmen und schauen ob da irgendetwas wie Keylogger oder andere Schädlinge drinn sind und an wen Daten gesendet werden?

Hi,

und warum wirst du genötigt diesen Mist auszuführen? Wer zwingt dich dazu?
Wenn du Bedenken hast: NICHT ausführen. Also ganz einfach. So funktioniert das in der IT.

ich habe es ausgeführt und benutzt weil es eine Anwendung von meinem Freund, für seine Freunde war. jetzt möchte ich aber wissen ob ich infiziert wurde.

Dir ist schon klar, dass das die falsche Reihenfolge war?

Hast du die Datei noch? Wer hat dir Datei zugeschickt und bist du dir sicher, dass der das auch wirklich war? Hälst du es für möglich, dass der dir was Böses will weil er zB noch ne Rechnung offen hat?

Geht darum um die Plausibilitäten zu checken. Beantworte bitte deswegen diese Fragen wahrheitsgemäß, du willst ja Hilfe.

ja ich habe die Datei. Er hat es mir selbst zugeschickt, nur wer das wirklich gebastelt hat, weiss ich nicht. Ich habe aber seine VBA-Projekte gesehen und nichts verstanden, also gehe ich davon aus, dass es sein Werk ist. Es ist auch möglich, dass es böswillig ist. Für mich sind zur Zeit alle Menschen böse

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

https://www.virustotal.com/#/file/468fa80e95e059c39d5f578a64cfc356d6311bcb05be76157af6d20863e36d95/detection

Jetzt hast du ein Problem.

Die Erkennungsrate ist da recht deutlich...



Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 18-08-2017
durchgeführt von PC (Administrator) auf WIN-GRJIULIURAR (19-08-2017 01:52:18)
Gestartet von C:\Users\PC\Downloads
Geladene Profile: PC (Verfügbare Profile: PC & Gast)
Platform: Windows 7 Home Basic Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe
( ) C:\Program Files (x86)\OkayFreedom\bin\openvpnserv2.exe
(The OpenVPN Project) C:\Program Files (x86)\OkayFreedom\bin\openvpnserv.exe
(The OpenVPN Project) C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\openvpn.exe
() C:\Program Files (x86)\OkayFreedom\bin\openvpn-gui.exe
(Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieCtrl.exe
() C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\zenvpn.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Einstein) C:\Users\PC\Downloads\SCU.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [zenvpn] => C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\zenvpn.exe [9643265 2017-06-22] ()
HKLM-x32\...\Winlogon: [Shell] Explorer.exe, %windir%\System32\ssms.exe [ ] () <=== ACHTUNG
HKU\S-1-5-21-503510821-557856239-1455082979-1000\...\Run: [OPENVPN-GUI] => C:\Program Files (x86)\OkayFreedom\bin\openvpn-gui.exe [636032 2017-06-20] ()
HKU\S-1-5-21-503510821-557856239-1455082979-1000\...\Run: [SandboxieControl] => C:\Program Files\Sandboxie\SbieCtrl.exe [799368 2017-06-05] (Sandboxie Holdings, LLC)
Startup: C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat [2017-06-24] ()
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat [2017-08-19] ()

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

ProxyServer: [S-1-5-21-503510821-557856239-1455082979-1000] => 78.186.127.27:8080
Tcpip\Parameters: [DhcpNameServer] 10.8.0.1
Tcpip\..\Interfaces\{B8F810F9-249F-4D37-B642-A2B84AFB1E80}: [DhcpNameServer] 10.8.0.1
Tcpip\..\Interfaces\{E6B60BF5-803A-47F5-91EA-8E7F9C62CB25}: [DhcpNameServer] 192.168.132.2

Internet Explorer:
==================
HKU\S-1-5-21-503510821-557856239-1455082979-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-503510821-557856239-1455082979-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
SearchScopes: HKU\S-1-5-21-503510821-557856239-1455082979-1000 -> {518b33ae-375d-712d-6742-d1fe0400268d} URL = hxxps://de.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=bgy_secureddownload_17_23&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dde%26pa%3Dwingy%26cd%3D2XzuyEtN2Y1L1QzutDtDtD0CtBzytCyC0CtDyCtA0F0E0EtAtN0D0Tzu0StCzyzzyEtN1L2XzutAtFtByCtFtBtFyDtCtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyEyEtByD0DyEtGtD0B0E0CtGtC0D0B0BtGtC0EzztBtG0A0D0CyBtByEyCyEyEtB0EyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByCyE0AyBzzyB0FtGzyzztC0BtGyEtAyCtBtGzyyD0DyDtG0FtB0CyC0EzyyDtBtCyDyBtD2QtN0A0LzutDtN1B2Z1V1T1S1NzutCtAtDyEtD%26cr%3D638530886%26a%3Dbgy_secureddownload_17_23%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BBasic&p={searchTerms}
DPF: HKLM-x32 {E02D74CB-4B6A-4B80-BFD2-6846F4A96228} hxxp://download.speakychat.me/speakylb.cab

FireFox:
========
FF Plugin-x32: @speakychat.me/SpeakyChat -> C:\Users\PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SpeakyChatLB\NPspeakychatlb.dll [Keine Datei]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-06-08] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-06-08] (Google Inc.)

Chrome: 
=======
CHR Profile: C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default [2017-07-23]
CHR Extension: (Google Präsentationen) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-06-08]
CHR Extension: (Google Docs) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-06-08]
CHR Extension: (Google Drive) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-06-08]
CHR Extension: (YouTube) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-06-08]
CHR Extension: (Google Tabellen) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-06-08]
CHR Extension: (Google Docs Offline) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-06-12]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-06-08]
CHR Extension: (Google Mail) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-06-08]
CHR Extension: (Chrome Media Router) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-21]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 OpenVPNService; C:\Program Files (x86)\OkayFreedom\bin\openvpnserv2.exe [15872 2016-11-25] ( ) [Datei ist nicht signiert]
R2 OpenVPNServiceInteractive; C:\Program Files (x86)\OkayFreedom\bin\openvpnserv.exe [72832 2017-06-20] (The OpenVPN Project)
S3 OpenVPNServiceLegacy; C:\Program Files (x86)\OkayFreedom\bin\openvpnserv.exe [72832 2017-06-20] (The OpenVPN Project)
R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [198792 2017-06-05] (Sandboxie Holdings, LLC)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)
S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [203264 2009-07-14] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [207496 2017-06-05] (Sandboxie Holdings, LLC)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-08-19 01:51 - 2017-08-19 01:51 - 000029217 _____ C:\Users\PC\Downloads\Addition.txt
2017-08-19 01:50 - 2017-08-19 01:52 - 000007559 _____ C:\Users\PC\Downloads\FRST.txt
2017-08-19 01:49 - 2017-08-19 01:52 - 000000000 ____D C:\FRST
2017-08-19 01:49 - 2017-08-19 01:49 - 002395648 _____ (Farbar) C:\Users\PC\Downloads\FRST64.exe
2017-08-03 02:28 - 2017-08-16 18:09 - 000001456 _____ C:\Windows\Sandboxie.ini
2017-08-03 02:28 - 2017-08-03 02:28 - 000000914 _____ C:\Users\PC\Desktop\Sandboxed Web Browser.lnk
2017-08-03 02:28 - 2017-08-03 02:28 - 000000000 ___RD C:\Sandbox
2017-08-03 02:28 - 2017-08-03 02:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sandboxie
2017-08-03 02:28 - 2017-08-03 02:28 - 000000000 ____D C:\Program Files\Sandboxie
2017-08-03 02:27 - 2017-08-03 02:27 - 008981640 _____ (Sandboxie Holdings, LLC) C:\Users\PC\Downloads\SandboxieInstall.exe
2017-08-03 00:19 - 2017-08-03 00:19 - 000000000 ____D C:\Users\Gast\OpenVPN
2017-07-26 16:46 - 2017-07-26 16:47 - 000278528 _____ (Microsoft® Windows® Operating System) C:\Windows\SysWOW64\ssms.exe
2017-07-26 16:46 - 2017-07-26 16:47 - 000278528 _____ (Microsoft® Windows® Operating System) C:\Users\PC\Downloads\FSM.exe
2017-07-26 04:45 - 2017-07-26 04:45 - 000001619 _____ C:\Users\PC\Desktop\....txt
2017-07-25 21:38 - 2017-07-26 00:23 - 000000000 ____D C:\Users\PC\AppData\Local\Microsoft Games
2017-07-25 12:35 - 2017-07-25 18:34 - 000000000 ____D C:\Users\PC\AppData\Roaming\TeamViewer
2017-07-24 22:38 - 2017-07-24 22:38 - 000002940 _____ C:\Windows\System32\Tasks\{33E0A942-8C94-4CFA-BA67-F0491974A714}
2017-07-24 19:22 - 2017-07-25 12:35 - 000274432 _____ (Einstein) C:\Users\PC\Downloads\Ftp App.exe
2017-07-24 13:54 - 2017-07-24 13:54 - 000003130 _____ C:\Windows\System32\Tasks\{3D083D6D-0587-4358-AA43-F7FA9651BE6B}
2017-07-24 03:39 - 2017-07-24 03:39 - 000000000 ____D C:\Users\PC\Downloads\FTP
2017-07-24 02:02 - 2017-07-24 02:02 - 000094720 _____ (Einstein) C:\Users\PC\Downloads\FTP.exe
2017-07-23 17:38 - 2017-07-23 17:38 - 000003118 _____ C:\Windows\System32\Tasks\{84847724-1445-4325-987E-EC2A6832297B}
2017-07-23 02:51 - 2017-07-23 02:51 - 000003254 _____ C:\Windows\System32\Tasks\{E4533511-3EE9-4BCE-8057-1D68AEBB8BDB}
2017-07-23 02:49 - 2017-07-23 02:49 - 000091648 _____ (Einstein) C:\Users\PC\Downloads\Milacik (1).exe
2017-07-23 02:38 - 2017-07-23 02:38 - 000091648 _____ (Einstein) C:\Users\PC\Downloads\Milacik.exe
2017-07-21 23:11 - 2017-07-22 01:13 - 000000016 _____ C:\Users\PC\Desktop\leer.txt
2017-07-21 20:44 - 2017-07-21 20:44 - 000409088 _____ (Einstein) C:\Users\PC\Downloads\SCUN (1).exe
2017-07-21 17:43 - 2017-07-25 12:44 - 000000000 ____D C:\AdwCleaner
2017-07-21 12:41 - 2017-07-28 01:59 - 000410112 _____ (Einstein) C:\Users\PC\Downloads\SCU.exe
2017-07-21 12:30 - 2017-08-17 02:29 - 000049664 _____ (© 2006 - By Einstein) C:\Windows\SysWOW64\Unieinb124.exe
2017-07-21 12:30 - 2017-07-21 12:30 - 001854976 _____ (© 2006 - By Einstein) C:\Users\PC\Downloads\Univoice.exe
2017-07-21 12:29 - 2015-06-07 01:13 - 000062304 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-private-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000020832 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-math-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000019808 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-multibyte-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000017760 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-string-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000017760 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-stdio-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000016224 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-runtime-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000015712 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-convert-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000014176 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-time-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000014176 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-2-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000013664 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-filesystem-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012640 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-process-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012640 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-heap-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012640 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-conio-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012128 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-utility-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012128 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-locale-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012128 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-crt-environment-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012128 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-2-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000012128 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-1.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000011616 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-eventing-provider-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000011616 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l2-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000011616 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-timezone-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000011616 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l2-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:13 - 000011616 _____ (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-2-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000022368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-math-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000019808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-multibyte-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000017760 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-string-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000017760 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-stdio-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000016224 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-runtime-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000015712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-convert-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000014176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-time-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000014176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-2-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000013664 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-filesystem-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-process-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-heap-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-conio-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-utility-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-locale-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-environment-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-2-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000012128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-1.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000011616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-eventing-provider-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000011616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l2-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000011616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-timezone-l1-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000011616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l2-1-0.dll
2017-07-21 12:29 - 2015-06-07 01:08 - 000011616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-2-0.dll
2017-07-21 12:28 - 2015-06-07 01:13 - 000961192 _____ (Microsoft Corporation) C:\Windows\system32\ucrtbase.dll
2017-07-21 12:28 - 2015-06-07 01:08 - 000883712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ucrtbase.dll
2017-07-21 12:28 - 2015-06-07 01:08 - 000064352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-crt-private-l1-1-0.dll

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-08-19 01:39 - 2009-07-14 07:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2017-08-18 03:20 - 2009-07-14 06:45 - 000016832 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-08-18 03:20 - 2009-07-14 06:45 - 000016832 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-08-18 01:05 - 2017-06-08 02:56 - 000002187 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2017-08-18 01:05 - 2017-06-08 02:56 - 000002175 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2017-08-17 02:29 - 2017-06-08 02:52 - 000751616 _____ (UniVoice.us) C:\Windows\SysWOW64\unieinb13.ocx
2017-08-17 02:29 - 2017-06-08 02:52 - 000483328 _____ (Einstein) C:\Windows\SysWOW64\Univoice.ocx
2017-08-17 02:29 - 2017-06-08 02:52 - 000471040 _____ (Einstein) C:\Windows\SysWOW64\UnivoiceSkin.dll
2017-08-17 02:29 - 2017-06-08 02:52 - 000316352 _____ C:\Windows\SysWOW64\ein.zip
2017-08-17 02:29 - 2017-06-08 02:52 - 000108336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswinsck.ocx
2017-08-17 02:29 - 2017-06-08 02:52 - 000101888 _____ (Einstein) C:\Windows\SysWOW64\unieinb13.exe
2017-08-17 02:29 - 2017-06-08 02:52 - 000070564 _____ C:\Windows\SysWOW64\ws.swf
2017-08-16 23:08 - 2017-06-08 02:52 - 000048640 _____ (© 2006 - By Einstein) C:\Windows\SysWOW64\Univoice.exe
2017-08-03 00:19 - 2017-06-24 14:48 - 000000000 ____D C:\Users\Gast
2017-07-22 12:34 - 2009-07-14 07:09 - 000000000 ____D C:\Windows\System32\Tasks\WPD
2017-07-21 12:26 - 2017-06-08 01:54 - 000000000 ____D C:\Users\PC
2017-07-21 03:00 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\system32\NDF
2017-07-21 03:00 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\inf
2017-07-21 03:00 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\AppCompat
2017-07-21 02:59 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\registration
2017-07-21 01:10 - 2017-06-08 01:55 - 000000000 ____D C:\Users\PC\AppData\Local\VirtualStore

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2017-06-16 19:28 - 2017-06-16 19:41 - 000001181 _____ () C:\Users\PC\AppData\Roaming\trace_FilterInstaller.1.txt
2017-06-16 19:28 - 2017-06-16 19:28 - 000001181 _____ () C:\Users\PC\AppData\Roaming\trace_FilterInstaller.2.txt
2017-06-16 19:28 - 2017-06-16 19:51 - 000000919 _____ () C:\Users\PC\AppData\Roaming\trace_FilterInstaller.txt
2017-06-16 19:28 - 2017-06-16 19:51 - 000000000 _____ () C:\Users\PC\AppData\Roaming\trace_FilterInstaller.txt-CRT.txt

Einige Dateien in TEMP:
====================
2017-07-13 14:23 - 2017-07-13 14:28 - 041124104 _____ (SesliDunya) C:\Users\PC\AppData\Local\Temp\installerSesliDunya.exe
2017-06-08 01:55 - 2017-06-08 01:29 - 000079848 _____ (VMware, Inc.) C:\Users\PC\AppData\Local\Temp\storePwd.exe
2017-06-08 01:55 - 2017-06-08 01:29 - 000608744 _____ (VMware, Inc.) C:\Users\PC\AppData\Local\Temp\upgrader.exe

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-08-16 18:34

==================== Ende von FRST.txt ============================
         

--- --- ---

[/CODE]

Code: Alles auswählenAufklappen

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 18-08-2017
durchgeführt von PC (19-08-2017 01:53:03)
Gestartet von C:\Users\PC\Downloads
Windows 7 Home Basic Service Pack 1 (X64) (2017-06-07 23:54:45)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-503510821-557856239-1455082979-500 - Administrator - Disabled)
Gast (S-1-5-21-503510821-557856239-1455082979-501 - Limited - Enabled) => C:\Users\Gast
PC (S-1-5-21-503510821-557856239-1455082979-1000 - Administrator - Enabled) => C:\Users\PC

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 60.0.3112.101 - Google Inc.)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.5 - Google Inc.) Hidden
Hideman 3.3.0.0 (HKLM\...\Hideman) (Version: 3.3.0.0 - )
Microsoft .NET Framework 4.6 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft .NET Framework 4.6 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 (HKLM-x32\...\{74d0e5db-b326-4dae-a6b2-445b9de1836e}) (Version: 14.0.23026.0 - Microsoft Corporation)
OpenVPN 2.4.3-I601  (HKLM\...\OpenVPN) (Version: 2.4.3-I601 - OpenVPN Technologies, Inc.)
Sandboxie 5.20 (64-bit) (HKLM\...\Sandboxie) (Version: 5.20 - Sandboxie Holdings, LLC)
TAP-Windows 9.21.2 (HKLM\...\TAP-Windows) (Version: 9.21.2 - )
ZenMate (HKU\S-1-5-21-503510821-557856239-1455082979-1000\...\ZenMate) (Version: 3.0.0.14 - ZenGuard GmbH)
ZenVPN (HKLM-x32\...\ZenVPN) (Version:  - )

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2B5EFD22-5A0E-4673-AB41-205499DD0796} - System32\Tasks\{E4533511-3EE9-4BCE-8057-1D68AEBB8BDB} => C:\Windows\system32\pcalua.exe -a "C:\Users\PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZLZU01H8\Milacik.exe" -d C:\Users\PC\Desktop
Task: {50F32C93-3544-4AEE-B579-BFFA4258FCDE} - System32\Tasks\{3D083D6D-0587-4358-AA43-F7FA9651BE6B} => C:\Windows\system32\pcalua.exe -a "C:\Users\PC\Downloads\Milacik (1).exe" -d C:\Users\PC\Downloads
Task: {60F144E8-4779-4C6A-BD52-1B7A2F61D91F} - System32\Tasks\{33E0A942-8C94-4CFA-BA67-F0491974A714} => C:\Users\PC\Downloads\Milacik.exe [2017-07-23] (Einstein)
Task: {7C05055F-13ED-44E9-AAD6-81AD30C65626} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2017-06-08] (Google Inc.)
Task: {B819C8C7-C079-453F-A5A6-10F627F3BACC} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2017-06-08] (Google Inc.)
Task: {F480798A-B029-49DB-8198-2DF7604D9904} - System32\Tasks\{84847724-1445-4325-987E-EC2A6832297B} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\Milacik.exe -d C:\Users\PC\Downloads

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2017-06-20 14:48 - 2017-06-20 14:48 - 000636032 _____ () C:\Program Files (x86)\OkayFreedom\bin\openvpn-gui.exe
2017-06-22 02:53 - 2017-06-22 02:53 - 009643265 _____ () C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\zenvpn.exe
2017-06-22 02:53 - 2017-06-22 02:53 - 000174448 _____ () C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\liblzo2-2.dll
2017-06-22 02:53 - 2017-06-22 02:53 - 000112040 _____ () C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\libpkcs11-helper-1.dll
2017-06-13 19:45 - 2016-05-13 13:50 - 000579136 _____ () C:\Windows\Downloaded Program Files\speakylb.ocx

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2017-06-24 14:18 - 000000822 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-503510821-557856239-1455082979-1000\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 10.8.0.1 - 192.168.132.2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{517365A5-601F-4EE4-8515-49C8B1B52ECC}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

21-07-2017 01:51:51 Windows Update
21-07-2017 02:50:13 Wiederherstellungsvorgang
21-07-2017 12:27:49 Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026
21-07-2017 12:28:38 Windows Update
16-08-2017 18:41:44 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Basissystemgerät
Description: Basissystemgerät
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (08/19/2017 01:41:15 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (08/19/2017 01:41:12 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ZenMate.exe, Version: 3.0.0.14, Zeitstempel: 0x57bf0030
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015, Zeitstempel: 0x50b83c8a
Ausnahmecode: 0xe0434352
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0x94c
Startzeit der fehlerhaften Anwendung: 0x01d3187b6866b411
Pfad der fehlerhaften Anwendung: C:\Users\PC\AppData\Local\ZenMate\app-3.0.0.14\ZenMate.exe
Pfad des fehlerhaften Moduls: C:\Windows\syswow64\KERNELBASE.dll
Berichtskennung: b71c17e7-846e-11e7-85ef-000c2916c065

Error: (08/19/2017 01:41:10 AM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Anwendung: ZenMate.exe
Frameworkversion: v4.0.30319
Beschreibung: Der Prozess wurde aufgrund einer unbehandelten Ausnahme beendet.
Ausnahmeinformationen: System.Collections.Generic.KeyNotFoundException
Stapel:
   bei System.Windows.Threading.ExceptionWrapper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate)
   bei System.Windows.Threading.DispatcherOperation.InvokeImpl()
   bei System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object)
   bei System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
   bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
   bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object)
   bei System.Windows.Threading.DispatcherOperation.Invoke()
   bei System.Windows.Threading.Dispatcher.ProcessQueue()
   bei System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef)
   bei MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef)
   bei MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object)
   bei System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32)
   bei System.Windows.Threading.ExceptionWrapper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate)
   bei System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32)
   bei MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr)
   bei MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef)
   bei System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame)
   bei System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame)
   bei System.Windows.Application.RunDispatcher(System.Object)
   bei System.Windows.Application.RunInternal(System.Windows.Window)
   bei System.Windows.Application.Run(System.Windows.Window)
   bei ZenMate.App.Main()

Error: (08/18/2017 01:08:51 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: IEXPLORE.EXE, Version: 11.0.9600.17840, Zeitstempel: 0x555fe1bb
Name des fehlerhaften Moduls: speakychat.dll_unloaded, Version: 0.0.0.0, Zeitstempel: 0x59921822
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0942a909
ID des fehlerhaften Prozesses: 0xb84
Startzeit der fehlerhaften Anwendung: 0x01d317adbc331550
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
Pfad des fehlerhaften Moduls: speakychat.dll
Berichtskennung: 082d6c8e-83a1-11e7-9be6-000c2916c065

Error: (08/18/2017 01:08:25 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: IEXPLORE.EXE, Version: 11.0.9600.17840, Zeitstempel: 0x555fe1bb
Name des fehlerhaften Moduls: speakychat.dll, Version: 1.0.1.1, Zeitstempel: 0x59921822
Ausnahmecode: 0xc0000005
Fehleroffset: 0x006ca909
ID des fehlerhaften Prozesses: 0xb10
Startzeit der fehlerhaften Anwendung: 0x01d317abfe954cba
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
Pfad des fehlerhaften Moduls: C:\Users\PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SpeakyChatLB\speakychat.dll
Berichtskennung: f887e30c-83a0-11e7-9be6-000c2916c065

Error: (08/18/2017 12:54:06 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (08/18/2017 12:53:58 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ZenMate.exe, Version: 3.0.0.14, Zeitstempel: 0x57bf0030
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015, Zeitstempel: 0x50b83c8a
Ausnahmecode: 0xe0434352
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0x964
Startzeit der fehlerhaften Anwendung: 0x01d317aba500c3aa
Pfad der fehlerhaften Anwendung: C:\Users\PC\AppData\Local\ZenMate\app-3.0.0.14\ZenMate.exe
Pfad des fehlerhaften Moduls: C:\Windows\syswow64\KERNELBASE.dll
Berichtskennung: f38db01c-839e-11e7-9be6-000c2916c065

Error: (08/18/2017 12:53:56 AM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Anwendung: ZenMate.exe
Frameworkversion: v4.0.30319
Beschreibung: Der Prozess wurde aufgrund einer unbehandelten Ausnahme beendet.
Ausnahmeinformationen: System.Collections.Generic.KeyNotFoundException
Stapel:
   bei System.Windows.Threading.ExceptionWrapper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate)
   bei System.Windows.Threading.DispatcherOperation.InvokeImpl()
   bei System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object)
   bei System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
   bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
   bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object)
   bei System.Windows.Threading.DispatcherOperation.Invoke()
   bei System.Windows.Threading.Dispatcher.ProcessQueue()
   bei System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef)
   bei MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef)
   bei MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object)
   bei System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32)
   bei System.Windows.Threading.ExceptionWrapper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate)
   bei System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32)
   bei MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr)
   bei MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef)
   bei System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame)
   bei System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame)
   bei System.Windows.Application.RunDispatcher(System.Object)
   bei System.Windows.Application.RunInternal(System.Windows.Window)
   bei System.Windows.Application.Run(System.Windows.Window)
   bei ZenMate.App.Main()

Error: (08/17/2017 02:28:55 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: IEXPLORE.EXE, Version: 11.0.9600.17840, Zeitstempel: 0x555fe1bb
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0x00000000
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0xa8c
Startzeit der fehlerhaften Anwendung: 0x01d316d0c472c8db
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 0d371f58-82e3-11e7-b8dd-000c2916c065

Error: (08/16/2017 11:05:07 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Univoice.exe, Version: 1.0.0.0, Zeitstempel: 0x587f3736
Name des fehlerhaften Moduls: MSHTML.dll, Version: 11.0.9600.17842, Zeitstempel: 0x5565cf99
Ausnahmecode: 0xc0000005
Fehleroffset: 0x001759b5
ID des fehlerhaften Prozesses: 0x664
Startzeit der fehlerhaften Anwendung: 0x01d316d352fd07d8
Pfad der fehlerhaften Anwendung: C:\Windows\SysWOW64\Univoice.exe
Pfad des fehlerhaften Moduls: C:\Windows\SysWOW64\MSHTML.dll
Berichtskennung: 94a56fff-82c6-11e7-b8dd-000c2916c065


Systemfehler:
=============
Error: (08/18/2017 01:40:46 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/18/2017 01:40:31 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/18/2017 01:14:01 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/18/2017 01:06:37 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/17/2017 01:28:35 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/17/2017 12:17:31 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-21-503510821-557856239-1455082979-1000) für Benutzer WIN-GRJIULIURAR\PC von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 und APPID 
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/09/2017 02:35:07 AM) (Source: LsaSrv) (EventID: 6033) (User: NT-AUTORITÄT)
Description: Eine anonyme Sitzung mit hergestellter Verbindung von WIN-GRJIULIURAR hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen. Der Versuch wurde mit STATUS_ACCESS_DENIED zurückgewiesen, um die Verbreitung von sicherheitssensitiven Informationen an einen anonymen Anrufer zu verhindern.
 Der Anwendungsfehler, der diesen Versuch verursacht hat, sollte behoben werden. Wenden Sie sich an den Hersteller der Anwendung. Als temporären Workaround kann diese Sicherheitserkennung durch Setzen des DWORD Werts \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock auf 1 aufgehoben werden.
 Diese Meldung wird höchstens einmal pro Tag protokolliert.

Error: (08/03/2017 02:31:46 AM) (Source: LsaSrv) (EventID: 6033) (User: NT-AUTORITÄT)
Description: Eine anonyme Sitzung mit hergestellter Verbindung von WIN-GRJIULIURAR hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen. Der Versuch wurde mit STATUS_ACCESS_DENIED zurückgewiesen, um die Verbreitung von sicherheitssensitiven Informationen an einen anonymen Anrufer zu verhindern.
 Der Anwendungsfehler, der diesen Versuch verursacht hat, sollte behoben werden. Wenden Sie sich an den Hersteller der Anwendung. Als temporären Workaround kann diese Sicherheitserkennung durch Setzen des DWORD Werts \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock auf 1 aufgehoben werden.
 Diese Meldung wird höchstens einmal pro Tag protokolliert.

Error: (08/03/2017 12:35:03 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-503510821-557856239-1455082979-501) für Benutzer WIN-GRJIULIURAR\Gast von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 und APPID 
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (08/03/2017 12:35:03 AM) (Source: DCOM) (EventID: 10016) (User: WIN-GRJIULIURAR)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-503510821-557856239-1455082979-501) für Benutzer WIN-GRJIULIURAR\Gast von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 und APPID 
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.


CodeIntegrity:
===================================
  Date: 2017-06-21 17:14:05.683
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-21 17:14:05.620
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-20 12:39:47.336
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-20 12:39:47.305
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-19 14:21:17.290
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-19 14:21:17.243
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-18 18:22:20.680
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-18 18:22:20.633
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-16 19:51:57.965
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2017-06-16 19:51:57.934
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\hmatap.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3-6006U CPU @ 2.00GHz
Prozentuale Nutzung des RAM: 83%
Installierter physikalischer RAM: 1023.49 MB
Verfügbarer physikalischer RAM: 173.21 MB
Summe virtueller Speicher: 2047.49 MB
Verfügbarer virtueller Speicher: 1000.07 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:60 GB) (Free:44.41 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (GSP1RMCPRXFRER_DE_DVD) (CDROM) (Total:3.04 GB) (Free:0 GB) UDF

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 60 GB) (Disk ID: C2BE81A7)
Partition 1: (Active) - (Size=60 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
         

Zitat:

Installierter physikalischer RAM: 1023.49 MB

Dein Ernst?
Was ist das für ein Rechner genau?

Die Liste der installierten Software ist so klein...das Gerät wäre unbrauchbar für den normalen Hausgebrauch. Ich hab den Eindruck du verschweigst da was. Was ist denn damit:

Zitat:

2017-06-08 01:55 - 2017-06-08 01:29 - 000079848 _____ (VMware, Inc.) C:\Users\PC\AppData\Local\Temp\storePwd.exe
2017-06-08 01:55 - 2017-06-08 01:29 - 000608744 _____ (VMware, Inc.) C:\Users\PC\AppData\Local\Temp\upgrader.exe

Was hast du da mit VMWare? Ich glaube langsam du hast Malware absichtlich auf ner VM ausgeführt...

ja. ich habe doch oben geschrieben, dass ich VMWare Player nutze. Will damit vermeiden mir etwas einzufangen, weil ich eine Chatseite nutze, für die man etwas runterladen muss und nicht auf meinem PC haben wollte.

OK, dashab ich gepflegt überlesen

Wenn du schon ne VM für sowas hast: dann sollte man auch VM-Techniken wie snapshots verwenden. Ansonsten: VM löschen, neu machen. Hast du nen snapshot: zurückkehren und alles ist wie vorher, als wenn der Mist niemals ausgeführt wäre.

von snapshot habe ich noch nicht gehört. ich lösche einfach die VM mit allem was drinn ist, wenn ich sie nicht mehr brauche.

können solche Schädlinge auch aus der VM ausbrechen oder kann jemand aus der VM zu meinen echten PC zugreifen?

Nein. Mach einfach die VM platt und fertig.

auch nicht über die IP-Adresse?

ich nutze in meiner VM ja auch die gleiche IP Adresse, wie auf meinem PC. Könnte jemand der meine IP-Adresse hat aber in der VM nicht fündig wird, versuchen über die IP-Adresse in mein PC einzudringen?