Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seltsame Anwendung wollte bei Thunderbird-Setup Administratorrechte (https://www.trojaner-board.de/166483-seltsame-anwendung-wollte-thunderbird-setup-administratorrechte.html)

ThoWag 05.05.2015 13:12
Liste der Anhänge anzeigen (Anzahl: 1)
Servus Schrauber,

"Inplace Update" nach dieser Anleitung (hxxp://anleitung.trojaner-board.de/inplace-upgrade) ist durch. Und was soll ich sagen - es hat funktioniert! Kein Bluescreen mehr! Danke! :-)
Aber das Problem aus dem ersten Post ist wieder da. Ich hatte Security Essentials vorher deinstalliert und wollte es jetzt wieder installieren. Doppelklick auf das Setup => "Windows Hostprozess (Rundll32)" (da hatte ich mich im ersten Post vertan) möchte Adminrechte. Das gilt auch für andere Setups (getestet an dem alten Thunderbirdsetup) und sogar für den normalen Editor, sobald ich ihn mit "als Admin ausführen" starte.
Ich habe bisher sicherheitshalber die Adminrechte verweigert. Screenshot der Meldung im Anhang, da Anhänge offenbar ungern gesehen sind hier auch ein (hoffentlich korrektes) "Transkript":

Code:
Möchten Sie zulassen, dass durch das folgende
Programm Änderungen an diesem Computer
vorgenommen werden?
 
Programmname:                Windows-Hostprozess (Rundll32)
Verifizierter Herausgeber:        Microsoft Windows
Programmpfad:                "C:\Windows\system32\rundll32.exe'
                    C:\Users\Thomas\ApData\Local\Te
                    CwD35dB3RBal9YDxiU5m7nIrvSX7...
 
Informationen zum Zertifikat dieses Herausgebers anzeigen
Mich beruhigt, dass das Ding von Microsoft verifiziert und damit wohl nichts schädliches ist. Trotzdem hätte ich noch gerne grünes Licht von dir bevor ich die Adminrechte bestätige, wegen diesem Problem bin ich ja überhaupt zu euch gekommen. :-)

Viele Grüße
Thomas

schrauber 05.05.2015 15:37
Da will was aus den Temps die Rechte. Hast Du den Installer auf dem PC gespeichert oder bist du direkt aus Ausführen gegangen?

ThoWag 05.05.2015 16:52
Servus Schrauber,

ich habe es gespeichert und dann aus dem Downloadordner ausgeführt. Virustotal findet es harmlos: https://www.virustotal.com/de/file/b988f808c2e906c891f36638bf3f6be75c41793995f313fac30a67524c9f2000/analysis/1430840620/

Irgendwie wird scheinbar wirklich alles, was Adminrechte braucht oder freiwillig bekommen soll ("als Admin ausführen") als "Windows-Hostprozess (Rundll32)" angezeigt. Diese komischen Buchstabenkollonen in der letzten Zeile bei "Programmpfad" sind auch immer unterschiedlich.

Viele Grüße
Thomas

schrauber 06.05.2015 07:55
Ja, weil der Installer in die Temps geladen wird. Schau mal in der Systemsteuerung > Benutzerkonten > Benutzerkontensteuerung, wie hoch die UAC bei Dir eingestellt ist.

ThoWag 06.05.2015 08:41
Servus Schrauber,

wenn ich auf "Einstellungen der Benutzerkontensteuerung" gehe, werde ich ebenfalls von dem Windows-Hostprozess um Adminrechte gebeten. Soll ich die geben?

Viele Grüße
Thomas

schrauber 06.05.2015 12:47
Ja klar. :)

Aber das alles deutet schon darauf hin dass der Schieberegler gaaaaanz oben steht :)

ThoWag 06.05.2015 15:17
Servus Schrauber,

gut, habe dem Rundll32-Ding jetzt Adminrechte gegeben. Der Regler steht und stand auf der zweiten Stellung "Standard".
Das Problem hat sich dadurch offensichtlich gelöst, jetzt zeigt Windows bei der Adminrechteabfrage wieder die normalen Programmnamen ("Microsoft Security Essentials", "Editor") statt jedes Mal "Windows Hostprozess (Rundll)" an. :-)

Viele Grüße!
Thomas

schrauber 07.05.2015 07:16
Gelöst durch den einfachen Aufruf der Benutzerkontensteuerung? :wtf:

ThoWag 07.05.2015 07:36
Servus Schrauber,

offenbar? Ich habe diesen Dialog ja sogar mit "Abrechen" abgebrochen. Eventuell lag es auch daran, dass ich dabei dem "Windows-Hostprozess" Adminrechte gegeben hatte. Wie gesagt, jetzt zeigt er mir in diesem Adminrechte-Dialog auch wieder "Einstellungen der Benutzerkontensteuerung" als Programmname an statt "Windows-Hostprozess (Rundll32)". Als das ganze zum ersten Mal bei dem Thunderbirdsetup auftrat, war es ja auch vorbei als ich dem (damals ausversehen) Adminrechte gab.

Viele Grüße :-)
Thomas

schrauber 07.05.2015 09:49
Ok, da hat dann anscheinend irgendwas gehangen. Auch gut :)


Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren .
  • Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  • Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
  • Klicke auf OK.
    Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
  • Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.pngAbsicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
 Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

ThoWag 08.05.2015 13:29
Servus Schrauber,

ich war wohl zu voreilig. :-(
Das Problem mit den Bluescreens ist wieder da. Genau wie vorher -> "Herunterfahren Erzwingen" => Bluescreen mit Stopcode F4.

Code:
==================================================
Dump File        : 050815-13031-01.dmp
Crash Time        : 08.05.2015 14:17:00
Bug Check String  : CRITICAL_OBJECT_TERMINATION
Bug Check Code    : 0x000000f4
Parameter 1      : 00000000`00000003
Parameter 2      : fffffa80`05b33220
Parameter 3      : fffffa80`05b33500
Parameter 4      : fffff800`02fd8db0
Caused By Driver  : ntoskrnl.exe
Caused By Address : ntoskrnl.exe+80640
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company          : Microsoft Corporation
File Version      : 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Processor        : x64
Crash Address    : ntoskrnl.exe+80640
Stack Address 1  :
Stack Address 2  :
Stack Address 3  :
Computer Name    :
Full Path        : C:\Windows\Minidump\050815-13031-01.dmp
Processors Count  : 4
Major Version    : 15
Minor Version    : 7601
Dump File Size    : 268.848
Dump File Time    : 08.05.2015 14:17:45
==================================================

==================================================
Dump File        : 050815-12812-01.dmp
Crash Time        : 08.05.2015 14:15:12
Bug Check String  : CRITICAL_OBJECT_TERMINATION
Bug Check Code    : 0x000000f4
Parameter 1      : 00000000`00000003
Parameter 2      : fffffa80`038779d0
Parameter 3      : fffffa80`03877cb0
Parameter 4      : fffff800`02fccdb0
Caused By Driver  : ntoskrnl.exe
Caused By Address : ntoskrnl.exe+80640
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company          : Microsoft Corporation
File Version      : 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Processor        : x64
Crash Address    : ntoskrnl.exe+80640
Stack Address 1  :
Stack Address 2  :
Stack Address 3  :
Computer Name    :
Full Path        : C:\Windows\Minidump\050815-12812-01.dmp
Processors Count  : 4
Major Version    : 15
Minor Version    : 7601
Dump File Size    : 268.848
Dump File Time    : 08.05.2015 14:16:11
==================================================
Nach der Reperaturinstallation hat das noch ohne Probleme funktioniert, das habe ich mehrfach getestet. Auch als ich mich nicht getraut habe, dem "Windows Hostprozess" Adminrechte zu geben (weil ich ja ganz andere Programme gestartet hatte) funktionierte das Herunterfahren ohne Bluescreen.

Die einzige Installation war von Microsoft Security Essentials - das ist aber schon vorher Jahre auf dem Rechner gewesen und hat noch nie Probleme bereitet.

Soll ich nochmal ein "Inplace Upgrade" durchführen?

Viele Grüße und ein großes, großes Dankeschön
Thomas

schrauber 09.05.2015 08:41
Ja mach mal, und dann bei Abfragen dieser Art Adminrechte geben.

ThoWag 11.05.2015 12:58
Servus Schrauber,

ich habe jetzt zwei Reparaturinstallationen durchlaufen lassen.
Nach der ersten war wieder alles wie beim letzten Mal - keine Bluescreens, aber der "Windows Hostprozess" wollte Adminrechte. Die habe ich diesesmal sofort gegeben, beim Start des Security-Essentials-Setups. Danach kam diese Abfrage nicht mehr, bei keinem Programm. Und schon waren wieder die Bluescreens da.

Danach sofort wieder ein Inplace Upgrade durchgeführt. Auch hier wieder keine Bluescreens, aber der Hostprozess will immer Adminrechte. Egal was ich starte, ob Setup, den normalen Editor oder die Systemsteuerung. Jedes Mal die gleiche Abfrage, auch wenn die Buchstabenkollone nach "C:\Users\Thomas\AppData\Local\Te" immer anders ist.

Ich bin ratlos. :-(

Viele Grüße
Thomas

schrauber 12.05.2015 06:38
Sehr merkwürdig.

Poste bitte mal frische FRST logs.

ThoWag 13.05.2015 21:00
Servus Schrauber,

ich musste dem Hostprozess wieder Adminrechte geben - sonst hätte ich FRST nicht starten können. Außerdem hat FRST sich geupdated.


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-05-2015
Ran by Thomas (administrator) on THOMAS-PC on 13-05-2015 21:47:54
Running from C:\Users\Thomas\Downloads
Loaded Profiles: Thomas (Available profiles: Thomas)
Platform: Windows 7 Home Premium Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 8 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\rundll32.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-2253816567-2930413787-4049114413-1000\...\RunOnce: [h7BgsM2Ns] => rundll32 "C:\Users\Thomas\AppData\Local\Temp\hG7JnB4dsPnhj5Rqew6L\gwNWQ7HbhamP01AhBowAs.dll" NRjmN2U4YTgwNWQ4YzlhNmM5ZTc1ODAxMGFjOTNiOTBf <===== ATTENTION

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2253816567-2930413787-4049114413-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 83.169.184.161

FireFox:
========
FF ProfilePath: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\svd3mpjz.default
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_17_0_0_169.dll [2015-04-27] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_17_0_0_169.dll [2015-04-27] ()
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-03-17] (Adobe Systems Inc.)
FF Extension: NoScript - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\svd3mpjz.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2015-04-27]
FF Extension: Adblock Edge - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\svd3mpjz.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2015-04-27]

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 MBAMService; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-04-14] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [63704 2015-04-14] (Malwarebytes Corporation)

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-05-13 21:41 - 2015-05-13 21:47 - 00004919 _____ () C:\Users\Thomas\Downloads\Main.txt
2015-05-13 21:41 - 2015-05-13 21:41 - 00000000 ____D () C:\Users\Thomas\Downloads\FRST-OlderVersion
2015-05-08 14:17 - 2015-05-08 14:17 - 00268848 _____ () C:\Windows\Minidump\050815-13031-01.dmp
2015-05-08 14:16 - 2015-05-08 14:17 - 00000000 ____D () C:\Windows\Minidump
2015-05-08 14:16 - 2015-05-08 14:16 - 00268848 _____ () C:\Windows\Minidump\050815-12812-01.dmp
2015-05-05 14:08 - 2015-05-05 14:08 - 14179480 _____ (Microsoft Corporation) C:\Users\Thomas\Downloads\mseinstall.exe
2015-05-05 13:13 - 2015-05-05 12:33 - 00000000 ____D () C:\Windows\Panther
2015-05-05 13:12 - 2015-05-05 13:12 - 00262144 _____ () C:\Windows\system32\config\userdiff
2015-05-05 13:04 - 2015-05-05 13:04 - 00000000 ___HD () C:\$INPLACE.~TR
2015-05-05 13:04 - 2015-05-05 12:22 - 00000000 ___HD () C:\$WINDOWS.~Q
2015-05-05 12:50 - 2012-02-17 08:38 - 01031680 _____ (Microsoft Corporation) C:\Windows\system32\rdpcore.dll
2015-05-05 12:50 - 2012-02-17 07:34 - 00826880 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rdpcore.dll
2015-05-05 12:50 - 2012-02-17 06:58 - 00210944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpwd.sys
2015-05-05 12:50 - 2012-02-17 06:57 - 00023552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdtcp.sys
2015-05-05 12:33 - 2015-05-05 12:33 - 00000020 ___SH () C:\Users\Thomas\ntuser.ini
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Vorlagen
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Startmenü
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Lokale Einstellungen
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Eigene Dateien
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Anwendungsdaten
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default\Anwendungsdaten
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Anwendungsdaten
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Vorlagen
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Startmenü
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Favoriten
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Dokumente
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\ProgramData\Anwendungsdaten
2015-05-05 12:33 - 2015-05-05 12:33 - 00000000 _SHDL () C:\Program Files\Gemeinsame Dateien
2015-05-05 12:30 - 2014-05-14 18:23 - 02477536 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-05-05 12:30 - 2014-05-14 18:23 - 00058336 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-05-05 12:30 - 2014-05-14 18:23 - 00044512 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-05-05 12:30 - 2014-05-14 18:21 - 02620928 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-05-05 12:30 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-05-05 12:30 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll
2015-05-05 12:30 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-05-05 12:30 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe
2015-05-05 12:24 - 2015-05-13 21:46 - 00967600 _____ () C:\Windows\WindowsUpdate.log
2015-05-05 12:21 - 2015-05-05 12:21 - 00022960 _____ () C:\Windows\system32\emptyregdb.dat
2015-05-05 12:16 - 2015-05-05 12:33 - 00000000 ____D () C:\Users\Thomas
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Vorlagen
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Startmenü
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Netzwerkumgebung
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Lokale Einstellungen
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Eigene Dateien
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Druckumgebung
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Documents\Eigene Musik
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Documents\Eigene Bilder
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\AppData\Local\Verlauf
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\AppData\Local\Anwendungsdaten
2015-05-05 12:16 - 2015-05-05 12:16 - 00000000 _SHDL () C:\Users\Thomas\Anwendungsdaten
2015-05-05 12:16 - 2009-07-14 06:54 - 00000000 ___RD () C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2015-05-05 12:16 - 2009-07-14 06:49 - 00000000 ___RD () C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2015-05-05 12:15 - 2015-05-05 12:15 - 00001355 _____ () C:\Windows\TSSysprep.log
2015-05-05 12:15 - 2015-05-05 12:15 - 00001345 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2015-05-05 12:15 - 2015-05-05 12:15 - 00001326 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
2015-05-05 11:54 - 2015-05-05 12:21 - 00006256 _____ () C:\Windows\comsetup.log
2015-05-05 10:59 - 2015-05-05 10:59 - 00000652 _____ () C:\Windows\CompatibilityIssues.txt
2015-05-05 10:56 - 2015-05-05 11:50 - 00002544 _____ () C:\Windows\diagwrn.xml
2015-05-05 10:56 - 2015-05-05 11:50 - 00001890 _____ () C:\Windows\diagerr.xml
2015-05-02 20:21 - 2015-05-05 12:18 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CrystalDiskInfo
2015-05-02 20:21 - 2015-05-05 12:18 - 00000000 ____D () C:\Program Files (x86)\CrystalDiskInfo
2015-05-02 20:21 - 2015-05-02 20:21 - 03015656 _____ (Crystal Dew World ) C:\Users\Thomas\Downloads\CrystalDiskInfo6_3_2-en.exe
2015-05-02 20:21 - 2015-05-02 20:21 - 00001190 _____ () C:\Users\Thomas\Desktop\CrystalDiskInfo.lnk
2015-04-30 11:09 - 2015-04-30 11:09 - 00000207 _____ () C:\Windows\tweaking.com-regbackup-THOMAS-PC-Windows-7-Home-Premium-(64-bit).dat
2015-04-30 11:09 - 2015-04-30 11:09 - 00000000 ____D () C:\RegBackup
2015-04-30 11:05 - 2015-05-05 12:19 - 00000000 ____D () C:\Users\Thomas\Downloads\Tweaking.com - Windows Repair
2015-04-30 11:05 - 2015-04-30 11:05 - 10654284 _____ () C:\Users\Thomas\Downloads\tweaking.com_windows_repair_aio.zip
2015-04-28 13:52 - 2015-05-05 12:19 - 00000000 ____D () C:\Users\Thomas\Downloads\bluescreenview_v1.55
2015-04-28 13:48 - 2015-04-28 13:50 - 00067310 _____ () C:\Users\Thomas\Downloads\bluescreenview_v1.55.zip
2015-04-28 10:11 - 2015-05-05 12:18 - 00000000 ___SD () C:\Windows\SysWOW64\GWX
2015-04-28 10:11 - 2015-05-05 12:18 - 00000000 ___SD () C:\Windows\system32\GWX
2015-04-28 10:11 - 2015-05-05 12:18 - 00000000 ___SD () C:\Windows\system32\CompatTel
2015-04-28 10:11 - 2015-05-05 12:18 - 00000000 ____D () C:\Windows\system32\appraiser
2015-04-27 19:54 - 2012-06-02 16:57 - 00000003 ____N () C:\Windows\system32\Drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
2015-04-27 19:12 - 2015-05-05 12:19 - 00000000 ____D () C:\Users\Thomas\AppData\Roaming\Macromedia
2015-04-27 19:12 - 2015-05-05 12:19 - 00000000 ____D () C:\Users\Thomas\AppData\Roaming\Adobe
2015-04-27 19:12 - 2015-05-05 12:18 - 00000000 ____D () C:\Users\Thomas\AppData\Local\Macromedia
2015-04-27 17:29 - 2015-05-08 14:17 - 240966187 _____ () C:\Windows\MEMORY.DMP
2015-04-27 15:56 - 2015-04-27 15:56 - 00001211 _____ () C:\Users\Thomas\Downloads\MBAM.txt
2015-04-27 15:51 - 2015-05-05 12:18 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-04-27 15:51 - 2015-05-05 12:18 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-04-27 15:51 - 2015-05-05 12:18 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes Anti-Malware
2015-04-27 15:51 - 2015-04-27 15:51 - 00136408 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-04-27 15:51 - 2015-04-27 15:51 - 00001106 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-04-27 15:51 - 2015-04-14 09:37 - 00107736 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-04-27 15:51 - 2015-04-14 09:37 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-04-27 15:51 - 2015-04-14 09:37 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-04-27 15:43 - 2015-04-27 15:43 - 00000778 _____ () C:\Users\Thomas\Downloads\gmer.log
2015-04-27 15:24 - 2015-04-27 16:27 - 00009745 _____ () C:\Users\Thomas\Downloads\Addition.txt
2015-04-27 15:23 - 2015-05-13 21:42 - 00025804 _____ () C:\Users\Thomas\Downloads\FRST.txt
2015-04-27 15:19 - 2015-05-13 21:47 - 00000000 ____D () C:\FRST
2015-04-27 15:19 - 2015-04-27 15:19 - 00000474 _____ () C:\Users\Thomas\Downloads\defogger_disable.log
2015-04-27 15:19 - 2015-04-27 15:19 - 00000000 _____ () C:\Users\Thomas\defogger_reenable
2015-04-27 15:18 - 2015-04-27 15:18 - 21546080 _____ (Malwarebytes Corporation ) C:\Users\Thomas\Downloads\mbam-setup-2.1.6.1022.exe
2015-04-27 15:17 - 2015-05-13 21:41 - 02104832 _____ (Farbar) C:\Users\Thomas\Downloads\FRST64.exe
2015-04-27 15:17 - 2015-04-27 15:17 - 00050477 _____ () C:\Users\Thomas\Downloads\Defogger.exe
2015-04-27 15:16 - 2015-04-27 15:16 - 00380416 _____ () C:\Users\Thomas\Downloads\yed4cxii.exe
2015-04-27 12:40 - 2015-04-27 12:40 - 28745120 _____ (Mozilla) C:\Users\Thomas\Downloads\Thunderbird Setup 31.6.0.exe

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-05-13 21:44 - 2011-04-12 09:43 - 00643628 _____ () C:\Windows\system32\perfh007.dat
2015-05-13 21:44 - 2011-04-12 09:43 - 00126188 _____ () C:\Windows\system32\perfc007.dat
2015-05-13 21:44 - 2009-07-14 07:13 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-05-13 21:39 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-05-13 21:39 - 2009-07-14 06:51 - 00039652 _____ () C:\Windows\setupact.log
2015-05-05 19:19 - 2009-07-14 06:45 - 00022336 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-05-05 19:19 - 2009-07-14 06:45 - 00022336 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-05-05 14:46 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\rescache
2015-05-05 13:13 - 2009-07-14 07:38 - 00025600 ___SH () C:\Windows\system32\config\BCD-Template.LOG
2015-05-05 13:13 - 2009-07-14 07:32 - 00028672 _____ () C:\Windows\system32\config\BCD-Template
2015-05-05 13:13 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\oobe
2015-05-05 13:12 - 2009-07-14 07:32 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
2015-05-05 13:12 - 2009-07-14 07:32 - 00000000 ____D () C:\Program Files\Windows Sidebar
2015-05-05 13:12 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\Setup
2015-05-05 12:33 - 2009-07-14 05:20 - 00000000 __RHD () C:\Users\Default
2015-05-05 12:33 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\Recovery
2015-05-05 12:33 - 2009-07-14 05:20 - 00000000 ____D () C:\Program Files\Windows NT
2015-05-05 12:30 - 2009-07-14 07:32 - 00000000 ____D () C:\Windows\system32\restore
2015-05-05 12:25 - 2010-11-21 05:47 - 00011286 _____ () C:\Windows\PFRO.log
2015-05-05 12:21 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\Registration
2015-05-05 12:20 - 2009-07-14 06:45 - 00275912 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-05-05 12:19 - 2009-07-14 06:57 - 00001547 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2015-05-05 12:19 - 2009-07-14 06:46 - 00005157 _____ () C:\Windows\DtcInstall.log
2015-05-05 12:19 - 2009-07-14 05:20 - 00000000 ___RD () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2015-05-05 12:19 - 2009-07-14 05:20 - 00000000 ___RD () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2015-05-05 12:19 - 2009-07-14 05:20 - 00000000 ___RD () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2015-05-05 12:19 - 2009-07-14 05:20 - 00000000 ___RD () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2015-05-05 12:18 - 2011-04-12 09:54 - 00000000 ___RD () C:\Users\Public\Recorded TV
2015-05-05 12:18 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\AppCompat
2015-05-05 12:15 - 2009-07-14 05:20 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories
2015-05-05 12:15 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\sysprep
2015-04-30 11:18 - 2009-07-14 04:34 - 00000439 _____ () C:\Windows\win.ini

==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-05-05 14:39

==================== End Of Log ============================
--- --- ---


Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 13-05-2015
Ran by Thomas at 13-05-2015 21:47:54
Running from C:\Users\Thomas\Downloads
Boot Mode: Normal
==========================================================


==================== Accounts: =============================

Administrator (S-1-5-21-2253816567-2930413787-4049114413-500 - Administrator - Disabled)
Gast (S-1-5-21-2253816567-2930413787-4049114413-501 - Limited - Disabled)
Thomas (S-1-5-21-2253816567-2930413787-4049114413-1000 - Administrator - Enabled) => C:\Users\Thomas

==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.007.20033 - Adobe Systems Incorporated)
Adobe Flash Player 17 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 17.0.0.169 - Adobe Systems Incorporated)
CrystalDiskInfo 6.3.2 (HKLM-x32\...\CrystalDiskInfo_is1) (Version: 6.3.2 - Crystal Dew World)
Malwarebytes Anti-Malware Version 2.1.6.1022 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.6.1022 - Malwarebytes Corporation)
Mozilla Firefox 37.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 37.0.2 (x86 de)) (Version: 37.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 37.0.2 - Mozilla)
WinRAR 5.21 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.21.0 - win.rar GmbH)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)


==================== Restore Points  =========================

05-05-2015 12:30:06 Windows Update
05-05-2015 12:50:33 Windows Update
13-05-2015 21:46:15 Windows Update

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 04:34 - 2015-04-30 11:18 - 00000855 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1      localhost

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {0E2DACE6-91A8-407A-B987-1D8BA2DF6A10} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-03-07] (Adobe Systems Incorporated)
Task: {3B092C92-3F4D-4E61-907C-839249096B0E} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: {3DEBB22A-72EB-4432-BB7B-502A30F4B796} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: {94FB1D75-EE74-449B-8566-1A559D53E4EF} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-25] (Microsoft Corporation)
Task: {D6125483-61EA-4217-9C7D-5210D18FEA78} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-04-27] (Adobe Systems Incorporated)
Task: {E4AFA089-81DE-45AE-972E-E8248D3F4732} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-25] (Microsoft Corporation)
Task: {EA2911B0-08AB-4603-801C-0CF1367AED0C} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) ==============

2015-04-27 15:02 - 2015-04-27 15:02 - 00514711 _____ () C:\Users\Thomas\AppData\Local\Temp\hG7JnB4dsPnhj5Rqew6L\gwNWQ7HbhamP01AhBowAs.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)


==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) ===============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== Internet Explorer trusted/restricted ===============

(If an entry is included in the fixlist, the associated entry will be removed from the registry.)


==================== Other Areas ============================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-2253816567-2930413787-4049114413-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 8.8.8.8 - 83.169.184.161

==================== MSCONFIG/TASK MANAGER disabled items ==

(Currently there is no automatic fix for this section.)


==================== FirewallRules (whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

FirewallRules: [{B83D6681-0807-43DF-AC3B-E3DC3DBC185B}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0AC118EF-43B9-400F-9FAC-16F00AE1BD50}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Faulty Device Manager Devices =============

Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (05/13/2015 09:41:44 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/08/2015 02:26:20 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: rundll32.exe_appraiser.dll, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc9e0
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0xc06d007f
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x844
Startzeit der fehlerhaften Anwendung: 0xrundll32.exe_appraiser.dll0
Pfad der fehlerhaften Anwendung: rundll32.exe_appraiser.dll1
Pfad des fehlerhaften Moduls: rundll32.exe_appraiser.dll2
Berichtskennung: rundll32.exe_appraiser.dll3

Error: (05/08/2015 02:19:31 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/05/2015 05:19:16 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/05/2015 00:34:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: rundll32.exe_appraiser.dll, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc9e0
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0xc06d007f
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x838
Startzeit der fehlerhaften Anwendung: 0xrundll32.exe_appraiser.dll0
Pfad der fehlerhaften Anwendung: rundll32.exe_appraiser.dll1
Pfad des fehlerhaften Moduls: rundll32.exe_appraiser.dll2
Berichtskennung: rundll32.exe_appraiser.dll3

Error: (05/05/2015 00:33:43 PM) (Source: ESENT) (EventID: 215) (User: )
Description: WinMail (1324) WindowsMail0: Die Sicherung wurde abgebrochen, weil sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen wurde.

Error: (05/05/2015 00:33:39 PM) (Source: ESENT) (EventID: 215) (User: )
Description: WinMail (2560) WindowsMail0: Die Sicherung wurde abgebrochen, weil sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen wurde.

Error: (05/05/2015 00:33:07 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/05/2015 00:33:07 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/05/2015 00:33:06 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.


System errors:
=============
Error: (05/13/2015 09:39:57 PM) (Source: NETLOGON) (EventID: 3095) (User: )
Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als
Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser
Konfiguration nicht gestartet zu sein.

Error: (05/13/2015 09:39:56 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎08.‎05.‎2015 um 14:31:37 unerwartet heruntergefahren.

Error: (05/08/2015 02:17:47 PM) (Source: BugCheck) (EventID: 1001) (User: )
Description: 0x000000f4 (0x0000000000000003, 0xfffffa8005b33220, 0xfffffa8005b33500, 0xfffff80002fd8db0)C:\Windows\MEMORY.DMP050815-13031-01

Error: (05/08/2015 02:17:46 PM) (Source: NETLOGON) (EventID: 3095) (User: )
Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als
Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser
Konfiguration nicht gestartet zu sein.

Error: (05/08/2015 02:17:46 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎08.‎05.‎2015 um 14:16:11 unerwartet heruntergefahren.

Error: (05/08/2015 02:16:12 PM) (Source: BugCheck) (EventID: 1001) (User: )
Description: 0x000000f4 (0x0000000000000003, 0xfffffa80038779d0, 0xfffffa8003877cb0, 0xfffff80002fccdb0)C:\Windows\MEMORY.DMP050815-12812-01

Error: (05/08/2015 02:16:11 PM) (Source: NETLOGON) (EventID: 3095) (User: )
Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als
Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser
Konfiguration nicht gestartet zu sein.

Error: (05/08/2015 02:16:11 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎08.‎05.‎2015 um 14:14:34 unerwartet heruntergefahren.

Error: (05/08/2015 02:13:42 PM) (Source: NETLOGON) (EventID: 3095) (User: )
Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als
Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser
Konfiguration nicht gestartet zu sein.

Error: (05/08/2015 02:13:41 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎05.‎05.‎2015 um 19:44:21 unerwartet heruntergefahren.


Microsoft Office Sessions:
=========================
Error: (05/13/2015 09:41:44 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/08/2015 02:26:20 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: rundll32.exe_appraiser.dll6.1.7600.163854a5bc9e0KERNELBASE.dll6.1.7601.175144ce7c78cc06d007f000000000000a49d84401d0898a2b61fb2dC:\Windows\system32\rundll32.exeC:\Windows\system32\KERNELBASE.dll6e0ed5d1-f57d-11e4-a30b-08002710536d

Error: (05/08/2015 02:19:31 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/05/2015 05:19:16 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/05/2015 00:34:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: rundll32.exe_appraiser.dll6.1.7600.163854a5bc9e0KERNELBASE.dll6.1.7601.175144ce7c78cc06d007f000000000000a49d83801d0871f0e5bafecC:\Windows\system32\rundll32.exeC:\Windows\system32\KERNELBASE.dll524340f8-f312-11e4-88c7-08002710536d

Error: (05/05/2015 00:33:43 PM) (Source: ESENT) (EventID: 215) (User: )
Description: WinMail1324WindowsMail0:

Error: (05/05/2015 00:33:39 PM) (Source: ESENT) (EventID: 215) (User: )
Description: WinMail2560WindowsMail0:

Error: (05/05/2015 00:33:07 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (05/05/2015 00:33:07 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

Error: (05/05/2015 00:33:06 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.


==================== Memory info ===========================

Processor: Intel(R) Core(TM) i7 CPU 970 @ 3.20GHz
Percentage of memory in use: 62%
Total physical RAM: 4095.55 MB
Available physical RAM: 1554.66 MB
Total Pagefile: 8189.31 MB
Available Pagefile: 5664.21 MB
Total Virtual: 8192 MB
Available Virtual: 8191.83 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:119.9 GB) (Free:97.4 GB) NTFS
Drive d: (GSP1RMCHPXFRER_DE_DVD) (CDROM) (Total:3.04 GB) (Free:0 GB) UDF

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 120 GB) (Disk ID: 4D8E3977)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=119.9 GB) - (Type=07 NTFS)

==================== End Of Log ============================
Soll ich auch Defogger und GMER nochmal durchlaufen lassen?

Viele Grüße
Thomas


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:58 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131