Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows\SysWOW64\setup.exe -> CPU-Last

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.03.2019, 21:18   #1
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo trojaner-board,

Mein taskmanager zeigt einen Process "setup.exe", der volle CPU-Last generiert.
Es handelt sich um c:\Windows\SysWOW64\setup.exe.

Anhänge:
malwarebyte_log.txt: Malwarebytes Kostenlos 3.7.1
FRST.zip: Faber Recovery Scan Tool(x64) 13.03 (Untersuchen)
Addition.txt: Faber Recovery Scan Tool(x64) 13.03 (Untersuchen)
SearchReg.txt: Faber Recovery Scan Tool(x64) 13.03 (Registry-Suche "setup.exe")


Anmerkung: Ich habe diese Operationen im gesicherten Modus durchgeführt. Ein Durchführen im normalen Modus ist nicht mehr möglich.

Für Support wäre ich dankbar!

Mit freundlichen Grüßen
Sebastian Geutebrueck
Angehängte Dateien
Dateityp: txt malwarebyte_log.txt (15,5 KB, 14x aufgerufen)
Dateityp: zip FRST.zip (19,3 KB, 7x aufgerufen)
Dateityp: txt Addition.txt (68,5 KB, 18x aufgerufen)
Dateityp: txt SearchReg.txt (30,5 KB, 11x aufgerufen)

Alt 16.03.2019, 13:47   #2
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?








Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CustomCLSID: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6} -> [OneDrive] => {a52bba46-e9e1-435f-b3d9-28daa648c0f6}
    CustomCLSID: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\amd64\FileSyncShell64.dll => Keine Datei
    CustomCLSID: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\amd64\FileSyncShell64.dll => Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
    Task: {34BEBE0B-28EF-4C41-B80B-77EB024B4CFD} - kein Dateipfad
    Task: {455831B0-04EA-4D51-9A33-B61555CB47FB} - System32\Tasks\ikujelamnie => "msiexec" -package hxxps://superdomain1709.info/opmireraabbxut.rov /q <==== ACHTUNG
    Task: {66BC8A73-75F7-43F3-B355-A48C3632ED31} - System32\Tasks\ovlygkmnsiq => "msiexec" /q -package hxxps://superdomain1709.info/ehiydafvpq.hok <==== ACHTUNG
    Task: {833C7BF2-E615-4EC3-9E65-E89B1B304C34} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)
    C:\Program Files\Common Files\Avast Software
    Task: {96F4D31A-AEE3-42FD-B505-EFA5491DB080} - System32\Tasks\{59DA57C1-8435-158F-DF1A-AE6858D6E74C} => "msiexec" /package hxxps://refreshnerer711.info/ed0dqm8x.FAL -q <==== ACHTUNG
    Task: {AAE22D62-B9D7-450D-B8F9-8B99817EFB16} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    Task: {C72FCD97-F3F5-4CA1-84B9-C1D0625890F7} - System32\Tasks\{8BCF4701-8D32-47B7-87EC-468C0950EB02} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.8.0.102/de/abandoninstall?source=lightinstaller&page=tsInstall
    Task: {D573C633-A96F-4584-BCE0-2270A1FB81BC} - System32\Tasks\DriverMaxAgent => C:\Program Files (x86)\Innovative Solutions\DriverMax\drivermax.exe
    C:\Program Files (x86)\Innovative Solutions
    Task: {FE5AFCE1-5209-49E6-B1F1-2CE677B1EA9E} - System32\Tasks\{7BBA84D2-5B4E-36CE-48B3-D11A36A979FF} => "msiexec" /i hxxps://refreshnerer711rb.info/C2sTdP8DW.yMb /q <==== ACHTUNG
    FirewallRules: [{CB8F896F-3255-45F8-B256-E29D55752C57}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Keine Datei
    FirewallRules: [{44AB29E2-A7C2-4A86-875A-8FF4404E41A2}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Keine Datei
    FirewallRules: [UDP Query User{375D6481-A159-452E-93F1-07FD0F8578CC}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe Keine Datei
    FirewallRules: [TCP Query User{5BF6E9D2-422F-4921-A59B-0BCF996A4587}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe Keine Datei
    FirewallRules: [UDP Query User{FCB6F407-659F-4846-ACA2-FD6ECEAEC109}C:\program files (x86)\easeus\easeus todo pctrans\bin\pctrans.exe] => (Allow) C:\program files (x86)\easeus\easeus todo pctrans\bin\pctrans.exe Keine Datei
    FirewallRules: [TCP Query User{9DE8A35E-1B55-4AE4-9E37-97EFF516478B}C:\program files (x86)\easeus\easeus todo pctrans\bin\pctrans.exe] => (Allow) C:\program files (x86)\easeus\easeus todo pctrans\bin\pctrans.exe Keine Datei
    FirewallRules: [UDP Query User{898F9A30-5176-4D39-A430-F22464A82139}C:\users\user\appdata\local\amazon music\amazon music helper.exe] => (Allow) C:\users\user\appdata\local\amazon music\amazon music helper.exe (Amazon Services LLC -> Amazon Services LLC)
    FirewallRules: [TCP Query User{526CA1CE-36A6-47EE-AF24-7E745007A801}C:\users\user\appdata\local\amazon music\amazon music helper.exe] => (Allow) C:\users\user\appdata\local\amazon music\amazon music helper.exe (Amazon Services LLC -> Amazon Services LLC)
    FirewallRules: [{0F3BD764-593E-445D-A09D-C0F329AB5959}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
    FirewallRules: [{118B9424-01A7-4A08-A14C-B2C208A8A71E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
    FirewallRules: [{21710E99-6B92-4A4D-B52C-0465243096EC}] => (Allow) C:\Windows\twain_32\Samsung\SLC460\ScanCDLM\ScanCDLM.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{76F6FEFD-D51D-4C5B-9785-4F93735FBB48}] => (Allow) C:\Windows\twain_32\Samsung\SLC460\ScanCDLM\ScanCDLM.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{D218C6FF-3898-41F9-B58D-A2F0F923B6A5}] => (Allow) C:\Program Files (x86)\Samsung\Easy Document Creator\EDC.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{4CA136C0-64E2-4331-80E3-ED19204F18C4}] => (Allow) C:\Program Files (x86)\Samsung\Easy Document Creator\EDC.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{35004A42-1342-49DD-A3A9-51BE0651139A}] => (Allow) C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{41A1CE18-85FD-44FB-97CD-E19DA06E105A}] => (Allow) C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe (Samsung Electronics CO., LTD. -> )
    FirewallRules: [{B7F31089-E065-4A19-94DE-C0E679D67CD7}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\IDS.Application.exe (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
    FirewallRules: [{B504B6A4-A2A1-4C53-AD19-85EAE77D9DC2}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\OrderSupplies.exe (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
    FirewallRules: [{4649E051-5F17-459C-9341-94461971AEB4}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\IDSAlert.exe (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
    FirewallRules: [{E207F8A6-BDD0-48FC-9489-54A272FA58DE}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\uninstall.exe (Samsung Electronics Co., Ltd.) [Datei ist nicht signiert]
    FirewallRules: [{FFD1D817-9B28-4492-94E1-0952823FCED8}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\CDAS2PC\CDAS2PC.exe (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
    FirewallRules: [{9E92F77A-E0F0-4117-BF12-7067355D1684}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\CDAS2PC\ScanProcess.exe (Samsung Electronics CO., LTD. -> ScanProcess)
    FirewallRules: [{B930B682-270A-4F8B-8975-87291276D47B}] => (Allow) C:\Program Files (x86)\Samsung\Easy Printer Manager\CDAS2PC\Scan2PCNotify.exe (Samsung Electronics CO., LTD. -> Scan2PCNotify)
    FirewallRules: [TCP Query User{0A899D8A-988B-48D6-AC4D-EB47C0526048}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\user\appdata\roaming\spotify\spotify.exe Keine Datei
    FirewallRules: [UDP Query User{AAE9483D-CE60-4E9D-9DE2-80EA012125F9}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\user\appdata\roaming\spotify\spotify.exe Keine Datei
    FirewallRules: [TCP Query User{552F8FD3-1F6E-4105-9EC3-B55FC63709ED}C:\program files (x86)\keepvid\keepvid music\downloadres\urlreqservice.exe] => (Block) C:\program files (x86)\keepvid\keepvid music\downloadres\urlreqservice.exe (Wondershare software CO., LIMITED -> Wondershare)
    FirewallRules: [UDP Query User{D4560AB5-F6EF-4023-A9EA-CC64E8376BAD}C:\program files (x86)\keepvid\keepvid music\downloadres\urlreqservice.exe] => (Block) C:\program files (x86)\keepvid\keepvid music\downloadres\urlreqservice.exe (Wondershare software CO., LIMITED -> Wondershare)
    FirewallRules: [TCP Query User{8F671184-4A86-4834-B9A8-15A6AAF65EF5}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\user\appdata\roaming\spotify\spotify.exe Keine Datei
    FirewallRules: [UDP Query User{A7B44418-E18D-4D01-83E9-83F81652F29F}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\user\appdata\roaming\spotify\spotify.exe Keine Datei
    FirewallRules: [{63B49F0F-0046-4AEF-A6E6-8C2E940FAF80}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google Inc.)
    FirewallRules: [{951ED701-C925-4423-84C2-5E0ED939887B}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{04AB3B26-80ED-4287-AD9A-EBC696A6FE23}] => (Allow) C:\Users\User\LegEoyOX.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{247CB039-80FB-4081-AD98-8DC64C16F22D}] => (Allow) C:\Users\User\AppData\Local\EULhyy.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{C06916C1-E920-4DDA-9F4E-1674A453FF5B}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{3C50DE56-1466-424C-B07C-08722E920088}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{6D84E6FD-9B5C-4F26-A5C9-E36263E228CE}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{749C0C14-A3C4-4FA7-AC4F-913D31AC76F2}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{19043619-22A3-47DD-9DE4-54465B74CD89}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{AD8AE28C-A908-41DF-A769-539CFCB48EFB}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{E2285CC3-5176-4493-98EA-E855A068AC1E}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{6A96B843-BEB8-4CC8-AB57-EE32ACBAD1E2}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{73DDEE3D-13DD-4CB2-8E1F-7A5D61BDC75A}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{CA6C14D6-8DDD-4534-AEE8-5A332038A7AE}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{DAEA83DF-9BDD-48B8-B2CD-0FFDEA15EDF1}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{A8F27671-A93C-4CCE-99A8-3DBD872642D7}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{0579CBC8-E145-4E09-B691-4783DE7A62B6}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{0E157875-ED49-49E0-9235-41358F16BE93}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{A6297EE5-0762-4343-8AFF-9A4AAEF4AF93}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{83ECF9C0-7158-45FC-85CA-5C8EF7D77B5D}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{F94DA623-4449-4C60-95E5-87C7E4E06D3C}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{581E90B2-ECAC-4E75-8BCC-BB43DFBFD793}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{4B82B734-6D59-4832-AE4B-74C71892E20B}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{6530D013-1A5A-47A5-B8A6-50EE9B2B61BE}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{FD153938-CAE7-4607-BFDE-EC9DE60D5F74}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{98D05644-FBD7-4661-A378-778BF49179FF}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{2F8483F3-868F-4809-8634-8753CCD931A0}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{4BE1F4A2-554C-4C9D-97AA-AEBE3A3A257B}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{AC8C4CB3-9277-48C6-95B5-5172F9E189F7}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{7F62CBE1-DB29-4C7B-8839-F1573EEFCA40}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{455A46D4-886A-4004-9C28-EFDFCAA17A66}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{48384756-4DFD-432C-83BF-745F19517BED}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{EFE3167D-E472-4851-B73F-2D8DCCB9F886}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{8EED4D84-F02F-415C-B268-112488513C5D}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{06605301-B3E6-4841-88AC-EFCBAC665989}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{7E1641F0-9967-415F-A314-BBF015C5B796}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{7AE9CB55-086E-4386-977F-453FB9B2A409}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\setup.exe Keine Datei
    FirewallRules: [{832BB23E-1588-480A-86A3-0C278F7697ED}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{D080BF1A-7AE6-468C-BFBE-C95F95628B91}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{31AB33CD-3952-47EE-B4ED-5EAC584CD5FC}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{16373234-C025-4596-9AB6-87EC9E0F03B1}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{CF386085-205F-443F-8279-9DE3545CD9B9}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{ECE04D62-DC05-4A2C-9911-1ECA8C128C12}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{9886BA9C-915E-47B0-A7D9-126A7B3A8052}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{A0202AD0-94CE-4E64-B7A3-83BBBA6C9397}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{7F91949D-92EE-40AB-B9B2-4A4EEA2FFC08}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{ECC7BAA9-9317-4444-B54B-E67A865F0BA9}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{9F4F6C23-3066-4F60-BF09-A93D1AAEA838}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{DCBE6D48-24E3-4E81-BEAF-AF0244142969}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{84B90E74-EFA6-4E7B-8E0F-8121212088D3}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{56BD1BEA-572C-4A73-BE9C-40A258558751}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{D9B051AB-62E5-470A-A342-B7C4F21E7A80}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{85D62200-ECC3-4D12-B449-2D6896F2651F}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{AA05FFCF-1839-4860-A16F-BBB94C9B15FB}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{2FA7075D-A673-4D34-8AC8-97D4A4F54585}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{CB9E1510-48E2-436F-B02B-756ABF5C13AE}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{57EC68CD-892B-4C0E-804C-55204AC12698}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{293080AE-2184-4965-BB6C-8571762C973C}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{8E728695-388D-43C0-96DE-B0EDCE157A95}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{2974C6EC-07D3-46F0-A44F-848B220DE03D}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{0574687D-3EE3-4456-B943-6BCAB08F2750}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{7A101F0C-27B1-4E1E-AEDD-CF6AE02A8384}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{D4EAC782-466B-410B-89B8-9425B47EC9A8}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{9B364669-6CE9-4FEB-BE07-A8BDB713F3B9}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{31498530-5C98-41C2-90CC-0E6FAF9A87D7}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{EEF25935-6FE1-44D3-A5A8-CD016C5CE1F1}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{621CEFD1-2ADB-4389-BAC3-79B01C759ADF}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{BCADE952-5BC8-4F86-882D-AB13D1677D36}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{5BCEDD59-3BD9-4BD7-95FB-F33DC20FDF39}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{0E54325C-256F-46CC-B1B6-75651751077C}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{80D04C15-F3F2-4216-92D4-4985F662E4ED}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{74930783-10BB-44AC-9E11-593B73A28844}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{AABDF72B-32CB-4962-8BF8-3B1866893DAB}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{A32578E7-69B3-4BF6-BACD-B9B5151E034D}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{8045D2E2-8F54-4F9E-99ED-341800929205}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{E233DD74-276B-4744-BC4C-9ADDC42CB9BF}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{17F73863-0101-4ADA-ADE7-602C76F9A8B2}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{DFEC4A3A-EEC6-4435-B964-2AF04261BB61}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{0C75609C-FFC5-4B0D-8076-B9BA39DE0A5A}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{004D6ED1-2144-48FC-82F8-9A32B59F884B}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{8FFB553C-0114-4A17-8EA9-8C8878AF74FC}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{C0859AAA-D7B3-410F-A6F6-84412E630EBB}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{5EBAF0E7-E596-4809-ACDE-FECBDA75311F}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{AECFBCF5-8FAC-4535-9BF2-21E5AAE4F549}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{FEE062A6-AA2D-45C2-8200-181DF94F65F2}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{5B7E94C6-8241-4CE2-B965-82285DB5279C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
    FirewallRules: [{20441145-C7E5-4B00-BB37-41F600BB3BDB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
    FirewallRules: [{A077C64A-223B-4575-8DE1-557777E75533}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{B53527AF-AEFA-48CD-B45A-DAD0C07CAF6E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
    FirewallRules: [{CC21DF73-4ABA-4968-9B92-456D1B74B3AF}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe (Microsoft Windows Publisher -> Microsoft Corporation)
    FirewallRules: [{6986044F-A168-4E3F-A4D1-F9D542FA06CB}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    FirewallRules: [{D9F635F5-BEB4-4651-A8DB-88C3156C4B72}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{28065C12-CCB1-4978-8CCE-FD3FF815F516}] => (Allow) C:\WINDOWS\SysWOW64\nslookup.exe (Microsoft Windows -> Microsoft Corporation)
    FirewallRules: [{113A58BB-1D4A-4DD6-B747-9C1553A2498B}] => (Allow) C:\WINDOWS\SysWOW64\InstallShield\x32\setup.exe (Ghisler Software GmbH -> )
    GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
    GroupPolicy\User: Beschränkung ? <==== ACHTUNG
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-2537196151-4261474988-3807526252-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://de.yahoo.com/?fr=fp-comodo&type=33090001005_11.0.0.6802_i_hp_sp
    SearchScopes: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001 -> DefaultScope {0AA24E16-07B3-4694-8357-3C21ACC5F516} URL = hxxps://de.search.yahoo.com/yhs/search?hspart=comodo&hsimp=yhs-com_chrome&type=33090001005_11.0.0.6802_i_ds_sp&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001 -> {0AA24E16-07B3-4694-8357-3C21ACC5F516} URL = hxxps://de.search.yahoo.com/yhs/search?hspart=comodo&hsimp=yhs-com_chrome&type=33090001005_11.0.0.6802_i_ds_sp&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-2537196151-4261474988-3807526252-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Keine Datei
    FF Homepage: Mozilla\Firefox\Profiles\7vfacfnw.default -> hxxps://de.yahoo.com/?fr=fp-comodo&type=33090001004_11.0.0.6802_i_hp_sp
    FF Extension: (Kein Name) - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi [nicht gefunden]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7vfacfnw.default\searchplugins\AdTrustMediaSafeSearch.xml [2019-03-15]
    S1 asrdmon; C:\WINDOWS\system32\drivers\asrdmon.sys [18024 2019-03-15] (Advance System Care, Inc. -> )
    C:\WINDOWS\system32\drivers\asrdmon.sys
    2019-03-09 11:50 - 2019-03-09 11:50 - 001880576 _____ C:\WINDOWS\NjY2MjY3YWM.exe
    2019-03-09 11:50 - 2019-03-09 11:50 - 000111036 _____ C:\WINDOWS\uninstaller.dat
    2019-03-09 22:48 - 2019-03-09 22:48 - 000000000 ____D C:\ProgramData\SecuritySuite
    2019-03-09 22:22 - 2019-03-09 22:22 - 006161408 _____ C:\Users\User\AppData\Local\dump007.dat
    2019-03-09 22:22 - 2019-03-09 22:22 - 000003638 _____ C:\WINDOWS\System32\Tasks\ovlygkmnsiq
    2019-03-09 22:22 - 2019-03-09 22:22 - 000003446 _____ C:\WINDOWS\System32\Tasks\ikujelamnie
    2019-03-09 22:22 - 2019-03-09 22:22 - 000000012 _____ C:\Users\User\setup_01.ini
    2019-03-09 22:22 - 2019-03-09 22:22 - 000000009 _____ C:\Users\User\rstr4.ini
    2019-03-09 16:52 - 2019-03-15 11:43 - 000000000 ____D C:\WINDOWS\SysWOW64\SSL
    2019-03-09 16:52 - 2019-03-09 22:24 - 000000306 __RSH C:\Users\User\ntuser.pol
    2019-03-09 16:52 - 2019-03-09 16:52 - 000003690 _____ C:\WINDOWS\System32\Tasks\{59DA57C1-8435-158F-DF1A-AE6858D6E74C}
    2019-03-09 16:52 - 2019-03-09 16:52 - 000003482 _____ C:\WINDOWS\System32\Tasks\{7BBA84D2-5B4E-36CE-48B3-D11A36A979FF}
    2019-03-09 16:52 - 2019-03-09 16:52 - 000000903 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Manager.lnk
    2019-03-09 16:52 - 2019-03-09 16:52 - 000000306 __RSH C:\ProgramData\ntuser.pol
    2019-03-09 16:52 - 2019-03-09 16:52 - 000000003 _____ C:\Users\User\AppData\Local\wbem.ini
    Unlock: C:\Users\User\LegEoyOX.exe
    C:\Users\User\LegEoyOX.exe
    Unlock: C:\Users\User\AppData\Local\EULhyy.exe
    C:\Users\User\AppData\Local\EULhyy.exe
    2018-01-06 01:30 - 2018-01-06 01:30 - 000000124 _____ () C:\Users\User\AppData\Local\uts.ini
    2019-03-09 16:52 - 2019-03-09 16:52 - 000000003 _____ () C:\Users\User\AppData\Local\wbem.ini
    VirusTotal: C:\WINDOWS\SysWOW64\setup.exe
    VirusTotal: C:\WINDOWS\SysWOW64\InstallShield\setup.exe
    testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <==== ACHTUNG
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Schritt 2
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).
__________________

__________________

Alt 17.03.2019, 14:54   #3
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo Matthias,
Ich bin froh und dankbar, das du mich meiner annimmst!
Anbei die gewünschten Log-Files aus FRST64.EXE.

Ich habe die Files im abgesicherten Modus generieren (müssen).

Liebe Grüße,
Sebastian.
__________________
Angehängte Dateien
Dateityp: txt Fixlog.txt (62,1 KB, 11x aufgerufen)
Dateityp: zip FRST.zip (18,1 KB, 2x aufgerufen)
Dateityp: txt Addition.txt (46,3 KB, 12x aufgerufen)

Alt 18.03.2019, 13:52   #4
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hast du nach den folgenden Schritten immer noch so eine hohe CPU-Last, wenn du den Rechner im normalen Modus startest?
Und wird diese hohe CPU-Last immer noch von dieser setup.exe erzeugt? Denn FRST konnte die Datei nämlich nicht (mehr) finden.
Den Rechner einfach zum Testen bitte in den normalen Modus starten, auch gerne einige Zeit warten, den Taskmanager öffnen und mir Bilder dieser erhöhten Auslastung zeigen.




Der folgende FRST-Fix dauert länger, also bitte warten und geduldig sein.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    C:\Users\User\AppData\Local\Temp\s2s.exe
    C:\Users\User\AppData\Local\Temp\nsj735A.tmp
    C:\WINDOWS\TEMP\nss9605.tmp
    C:\WINDOWS\uninstaller.dat
    C:\WINDOWS\NjY2MjY3YWM.exe
    C:\WINDOWS\system32\drivers\ZTVhZGFiOGYxZTE1NTg
    C:\Program Files\ZmIyOGMyYTlmYjc4MjE0
    C:\WINDOWS\Temp\WCwHVCKCGWireClJ
    C:\Users\User\AppData\Local\Temp\wBEOOIeOyxELgBhCN
    C:\Program Files (x86)\NDeBlRjARAUn
    C:\Program Files (x86)\aeVSlgaHU
    C:\Program Files (x86)\EhGTHpYbMZVU2
    C:\ProgramData\DQtKumvopDKCWKVB
    C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
    C:\Program Files (x86)\bqzrWnnidGJDC
    C:\Program Files (x86)\PdUEJHwTcIE
    C:\Users\User\AppData\LocalLow\TJqfuVTHYCGlj
    C:\program files\zmiyogmyytlmyjc4mje0\
    C:\WINDOWS\System32\drivers\ZTVhZGFiOGYxZTE1NTg.sys
    C:\WINDOWS\NjY2MjY3YWM
    C:\WINDOWS\osuzipiqlglroxygd.osuz
    C:\Users\User\AppData\Local\Temp\wjmAEC.tmp\update.exe
    C:\Users\User\AppData\Local\Temp\nsj3A98.tmp
    C:\WINDOWS\TEMP\nss50DF.tmp
    C:\WINDOWS\jtujisucrcifribhsj.jtuji
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\Local\Temp\s2s.exe"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\Local\Temp\nsj735A.tmp"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\TEMP\nss9605.tmp"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\uninstaller.dat"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\NjY2MjY3YWM.exe"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\system32\drivers\ZTVhZGFiOGYxZTE1NTg"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files\ZmIyOGMyYTlmYjc4MjE0"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\Temp\WCwHVCKCGWireClJ"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\Local\Temp\wBEOOIeOyxELgBhCN"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\NDeBlRjARAUn"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\aeVSlgaHU"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\EhGTHpYbMZVU2"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\ProgramData\DQtKumvopDKCWKVB"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\bqzrWnnidGJDC"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\PdUEJHwTcIE"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\LocalLow\TJqfuVTHYCGlj"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\program files\zmiyogmyytlmyjc4mje0\"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\System32\drivers\ZTVhZGFiOGYxZTE1NTg.sys"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\NjY2MjY3YWM"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\osuzipiqlglroxygd.osuz"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\Local\Temp\wjmAEC.tmp\update.exe"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Users\User\AppData\Local\Temp\nsj3A98.tmp"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\TEMP\nss50DF.tmp"
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\WINDOWS\jtujisucrcifribhsj.jtuji"
    CMD: dir "%ProgramFiles%"
    CMD: dir "%ProgramFiles(x86)%"
    CMD: dir "%ProgramData%"
    CMD: dir "%Appdata%"
    CMD: dir "%LocalAppdata%"
    CMD: dir "%CommonProgramFiles(x86)%"
    CMD: dir "%CommonProgramW6432%"
    CMD: dir "%UserProfile%"
    CMD: dir "C:\"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    CMD: sfc /scannow
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • BITS wiederherstellen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Bereinigen & Neu Starten.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Bereinigen & Neu Starten.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).








Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von AdwCleaner,
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 18.03.2019, 14:16   #5
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo Matthias,

Du hast recht!
CPU-Last und setup.exe scheinen nicht mehr auf!
Es sieht gut aus!

Schritt 1 und Schritt 2 führe ich trotzdem aus, denke ich.

Mit freundlichen Grüßen
Sebastian Geutebrueck


Alt 18.03.2019, 15:13   #6
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Zitat:
Zitat von geutebrueck Beitrag anzeigen
Schritt 1 und Schritt 2 führe ich trotzdem aus, denke ich.
Solltest du auch... wir sind mit der Bereinigung ja noch nicht fertig...

Oder willst du nur einen "halb-sauberen Rechner" haben?
__________________
--> Windows\SysWOW64\setup.exe -> CPU-Last

Alt 18.03.2019, 18:07   #7
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo Matthias,
Anbei die gewünschten Log-Files.

Ich denke, AdwCleaner hat etwas gefunden - PUP.Optional.Mail.Ru.

Mit freundlichen Grüßen
Sebastian Geutebrueck
Angehängte Dateien
Dateityp: txt AdwCleaner[C01].txt (1,6 KB, 11x aufgerufen)
Dateityp: txt Fixlog.txt (35,4 KB, 18x aufgerufen)

Alt 18.03.2019, 20:44   #8
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hinweis: Der Suchlauf mit ESET kann länger ( >> 2 Stunden) dauern.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    C:\ProgramData\ubnmeoaw.nlb
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\s2s.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\nsj735A.tmp
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\TEMP\nss9605.tmp
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\uninstaller.dat
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\NjY2MjY3YWM.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\system32\drivers\ZTVhZGFiOGYxZTE1NTg
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\ZmIyOGMyYTlmYjc4MjE0
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\Temp\WCwHVCKCGWireClJ
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\wBEOOIeOyxELgBhCN
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\NDeBlRjARAUn
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\aeVSlgaHU
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\EhGTHpYbMZVU2
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\DQtKumvopDKCWKVB
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\bqzrWnnidGJDC
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\PdUEJHwTcIE
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\LocalLow\TJqfuVTHYCGlj
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\program files\zmiyogmyytlmyjc4mje0\
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\System32\drivers\ZTVhZGFiOGYxZTE1NTg.sys
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\NjY2MjY3YWM
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\osuzipiqlglroxygd.osuz
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\wjmAEC.tmp\update.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\nsj3A98.tmp
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\TEMP\nss50DF.tmp
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\jtujisucrcifribhsj.jtuji
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Schritt 2
Downloade Dir bitte ESET Online Scanner auf deinen Desktop (Bebilderte Anleitung).
  • Starte die Installationsdatei.
  • Klicke auf Erste Schritte und akzeptiere die Nutzungsbedingungen.
  • Klicke wiederrum auf Erste Schritte, wähle die empfohlenen Einstellungen aus und klicke auf Weiter.
  • Wähle einen Vollständigen Scan aus, aktiviere die Erkennung von potentiell unerwünschten Anwendungen und klicke auf Prüfung starten.
  • Zuerst werden die notwendigen Module und Signaturen heruntergeladen, anschließend startet der Suchlauf automatisch.
  • Klicke am Ende des Suchlaufs zuerst auf Weiter. Im Scan-Bericht werden gegebenenfalls die gefundenen Elemente aufgelistet, klicke hier auf Scan-Log speichern und speichere das Ergebnis als eset.txt auf deinen Desktop ab, damit wir notfalls an die Ergebnisse noch kommen.
  • Klicke immer auf Weiter und beende ESET mit Ohne Feedback schließen.
  • Öffne die ausführliche Logdatei über die Tastenkombination WIN+R (Ausführen), kopiere ins Textfeld folgendes hinein und klick dann auf OK.
    Code:
    ATTFilter
     notepad "%tmp%\log.txt"
             
  • Du solltest nun eine geöffnete Textdatei mit dem ausführlichen ESET-Log sehen - alles markieren mit STRG+A und hier in CODE-Tags posten.







Schritt 3
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Gibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von ESET,
  • die beiden neuen Logdateien von FRST,
  • die Beantwortung der gestellten Fragen.
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 18.03.2019, 23:30   #9
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo Matthias,
Ich fürchte, die "CODE-Tags"-Anweisung habe ich nicht verstanden bzw. blicke nicht, wie ein Code-Tag zu posten ist.
Anbei die Log-Files im Anhang.
Ich finde - durchaus begeistert - keine Probleme mehr mit System oder Browser.

Liebe Grüße Sebastian.
Angehängte Dateien
Dateityp: txt Fixlog.txt (6,7 KB, 13x aufgerufen)
Dateityp: txt eset.txt (304 Bytes, 15x aufgerufen)
Dateityp: zip FRST.zip (18,4 KB, 2x aufgerufen)
Dateityp: txt Addition.txt (61,1 KB, 27x aufgerufen)

Alt 19.03.2019, 13:18   #10
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Keine Datei
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Keine Datei
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Keine Datei
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Keine Datei
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Keine Datei
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    CMD: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f /reg:64
    DeleteQuarantine:
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.







Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 19.03.2019, 20:24   #11
geutebrueck
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Hallo Matthias,
Anbei die abschließende fixlog.txt
Liebe Grüße Sebastian.
Angehängte Dateien
Dateityp: txt Fixlog.txt (3,4 KB, 9x aufgerufen)

Alt 20.03.2019, 19:19   #12
M-K-D-B
/// TB-Ausbilder
 
Windows\SysWOW64\setup.exe -> CPU-Last - Standard

Windows\SysWOW64\setup.exe -> CPU-Last



Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Antwort

Themen zu Windows\SysWOW64\setup.exe -> CPU-Last
c:\windows, dankbar, durchführen, handel, hänge, kostenlos, malwarebytes, modus, nicht mehr, normale, normalen, opera, process, recovery, scan, support, syswow64, taskma, taskmanager, tool, troja, trojaner-board, untersuchen, volle, windows



Ähnliche Themen: Windows\SysWOW64\setup.exe -> CPU-Last


  1. Windows 10 Trojan.Agent, C:\Windows\SysWOW64\rlls.dll
    Log-Analyse und Auswertung - 06.11.2018 (35)
  2. Win10: Viren in C:\Windows\SysWOW64\*.exe
    Log-Analyse und Auswertung - 14.06.2018 (17)
  3. Windows 8.1: Troj/AndroMem-B in C:\Windows\SysWOW64\msiexec.exe
    Log-Analyse und Auswertung - 24.06.2017 (19)
  4. Windows: Trojan.Win32.FireHooker.a in C:\windows\SysWOW64\...
    Log-Analyse und Auswertung - 01.08.2016 (23)
  5. Windows 8.1: Runtime Errror c:\windows\syswow64\rundll32.exe und Update-Fehler bei Windows
    Log-Analyse und Auswertung - 24.11.2015 (14)
  6. Windows 7 Trojan.Agent, C:\Windows\SysWOW64\rlls.dll
    Log-Analyse und Auswertung - 26.08.2015 (7)
  7. C:\WINDOWS\SysWOW64\RunDll32.exe Virus?
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (33)
  8. Unicode Dateinamen in: C:\Windows\SysWOW64
    Plagegeister aller Art und deren Bekämpfung - 22.03.2014 (10)
  9. C:\Windows\SysWow64\CScript.exe
    Log-Analyse und Auswertung - 01.03.2014 (11)
  10. C:\Windows\SysWow64\CScript.exe
    Alles rund um Windows - 19.02.2014 (5)
  11. Windows 7: u.A. Lange Bootzeit / Verdächtige Dateien im Ordner Windows/SysWOW64
    Log-Analyse und Auswertung - 23.09.2013 (21)
  12. TR/Click.Age.245760 in C:\Windows\SysWOW64\SUSB.exe
    Log-Analyse und Auswertung - 02.09.2013 (11)
  13. trojan.NTPacker in c:\windows\syswow64\propsys.dll
    Log-Analyse und Auswertung - 01.04.2013 (9)
  14. OTL-Scan: Veränderungen in Windows\SysNative und Windows\SysWow64
    Log-Analyse und Auswertung - 25.03.2013 (0)
  15. Mein Online-Banking wurde ausspioniert!! / Fehler in C:\Windows\SysWOW64\rundll32.exe. Folgender Eintrag fehlt: FQ10 (Beim Windows-Start)
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (2)
  16. Virus korwbrkrr.dll in C:\Windows\SysWOW64
    Log-Analyse und Auswertung - 30.06.2011 (11)
  17. windows abgebrochenes setup
    Alles rund um Windows - 05.03.2006 (4)

Zum Thema Windows\SysWOW64\setup.exe -> CPU-Last - Hallo trojaner-board, Mein taskmanager zeigt einen Process "setup.exe", der volle CPU-Last generiert. Es handelt sich um c:\Windows\SysWOW64\setup.exe. Anhänge: malwarebyte_log.txt: Malwarebytes Kostenlos 3.7.1 FRST.zip: Faber Recovery Scan Tool(x64) 13.03 (Untersuchen) Addition.txt: - Windows\SysWOW64\setup.exe -> CPU-Last...
Archiv
Du betrachtest: Windows\SysWOW64\setup.exe -> CPU-Last auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.