Virenscanner meldet Malware nach Installation
Verfasst: 16.12.2020, 17:09
Betriebssystem: Windows
Handelspartner: corporate benefits
Beschreibung:
Hallo,
ich habe heute die aktuelle Version von CEWE Fotowelt heruntergeladen und installiert. Die Anwendung ließ sich problemlos installieren. Beim ersten Start der Anwendung hat der Virenscanner (Bull Guard) jedoch Alarm geschlagen und eine Malware in CEWE Fotowelt gemeldet.
Ist Ihnen ein Problem (Fehlalarm) mit dem genannten Virenscanner bekannt? Besteht eine Gefahr durch die installierte Software?
Anbei das Protokoll des Virenscanners:
Verdächtige Datei: CEWE Fotowelt.exe
Malware: Drop.Win64.MemTaskIE.103827
Pfad: D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe\CEWE Fotowelt.exe
Details
• [2112] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe
• [6896] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• [13876] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [10616] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [9936] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [16120] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• [14116] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
Dateien geändert
• C:\Users\carst\AppData\Local\Temp\crashwatcher_qtcefwing.log
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_3
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_2
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_1
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index-dir\temp-index
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index-dir\temp-index
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_0
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\index
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index
• C:\ProgramData\tmp\QCEFWebView\Cache\Visited Links
• C:\ProgramData\hps\face_clustering\facecluster.lock
• C:\Users\carst\AppData\Local\Temp\de.cewe.hps.registry.lock
• C:\ProgramData\tmp\qlfo6n-000chb-0001mo
• C:\ProgramData\hps\16175\filehash.txt
• C:\ProgramData\hps\face_clustering\facecluster_cw.db-journal
• C:\ProgramData\hps\face_clustering\facecluster_cw.db
• C:\ProgramData\tmp\WPD
• C:\ProgramData\tmp\WPD\thumbnails
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
Registrierung geändert
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : faceClusteringAutoScan (value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : faceClusteringFilterMinimumImageCount (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOptionDetails (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOptionDetails (old value = 1 -> new value = -1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerView (value = 2)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOption (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorSafeContainer (value = C:/ProgramData/tmp/hps2490031022_2112_SafeRegion 6)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorSafeContainer (value = )
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogVariant (old value = 2 -> new value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorIsActive (value = true)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorHasBeenReported (value = false)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorLastStartDate (value = 40004400610074006500540069006D00650028000000000000001000000000000000000000000000250086004000030002008200270000002900)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : StartupCounter (old value = 5 -> new value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : ShutdownCounter (old value = 5 -> new value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : 16175_highest_version_seen (value = 7001002)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showProactiveNews (old value = DECIDE_NO -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showContextSensitivHelp (old value = 0 -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : ToursCompletelySeen (old value = SCENARIO__MEET_HPS_TOUR -> new value = )
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showTours (old value = 0 -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showProactiveNews (old value = 0 -> new value = DECIDE_NO)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : dontShowToursIfCompleted (old value = 1 -> new value = DECIDE_YES)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : rule_33307_already_applied (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : highest_version_seen (old value = 6004001 -> new value = 7001002)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogVariant (value = 2)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogShownCounter (value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdown (value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : lflist (value = qlfo6n-000chb-0001mo)
Viele Grüße
C. Brauckmann
Vorgehensweise:
1. Download der Anwendung CEWE Fotowelt (heute)
2. Installation der Anwendung
3. Erster Start der Anwendung -> dabei alarmierte der Virenscanner und stellte die o.g. Datei unter Quarantäne
Systembeschreibung:
Intel i5, 16 GB, Windows 10 - aktueller Stand
Handelspartner: corporate benefits
Beschreibung:
Hallo,
ich habe heute die aktuelle Version von CEWE Fotowelt heruntergeladen und installiert. Die Anwendung ließ sich problemlos installieren. Beim ersten Start der Anwendung hat der Virenscanner (Bull Guard) jedoch Alarm geschlagen und eine Malware in CEWE Fotowelt gemeldet.
Ist Ihnen ein Problem (Fehlalarm) mit dem genannten Virenscanner bekannt? Besteht eine Gefahr durch die installierte Software?
Anbei das Protokoll des Virenscanners:
Verdächtige Datei: CEWE Fotowelt.exe
Malware: Drop.Win64.MemTaskIE.103827
Pfad: D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe\CEWE Fotowelt.exe
Details
• [2112] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe
• [6896] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• [13876] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [10616] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [9936] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
• [16120] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• [14116] D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
Dateien geändert
• C:\Users\carst\AppData\Local\Temp\crashwatcher_qtcefwing.log
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_3
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_2
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_1
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index-dir\temp-index
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index-dir\temp-index
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\data_0
• C:\ProgramData\tmp\QCEFWebView\Cache\GPUCache\index
• C:\ProgramData\tmp\QCEFWebView\Cache\Code Cache\js\index
• C:\ProgramData\tmp\QCEFWebView\Cache\Visited Links
• C:\ProgramData\hps\face_clustering\facecluster.lock
• C:\Users\carst\AppData\Local\Temp\de.cewe.hps.registry.lock
• C:\ProgramData\tmp\qlfo6n-000chb-0001mo
• C:\ProgramData\hps\16175\filehash.txt
• C:\ProgramData\hps\face_clustering\facecluster_cw.db-journal
• C:\ProgramData\hps\face_clustering\facecluster_cw.db
• C:\ProgramData\tmp\WPD
• C:\ProgramData\tmp\WPD\thumbnails
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\CEWE Fotowelt.exe
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\crashwatcher.exe
• D:\Anwendungen\CEWE\corporate benefits\CEWE Fotowelt\qtcefwing.exe
Registrierung geändert
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : faceClusteringAutoScan (value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : faceClusteringFilterMinimumImageCount (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOptionDetails (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOptionDetails (old value = 1 -> new value = -1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerView (value = 2)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : FotoExplorerSortOption (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorSafeContainer (value = C:/ProgramData/tmp/hps2490031022_2112_SafeRegion 6)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorSafeContainer (value = )
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogVariant (old value = 2 -> new value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorIsActive (value = true)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorHasBeenReported (value = false)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\hps2490031022\2112 : crashDetectorLastStartDate (value = 40004400610074006500540069006D00650028000000000000001000000000000000000000000000250086004000030002008200270000002900)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : StartupCounter (old value = 5 -> new value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : ShutdownCounter (old value = 5 -> new value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : 16175_highest_version_seen (value = 7001002)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showProactiveNews (old value = DECIDE_NO -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showContextSensitivHelp (old value = 0 -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : ToursCompletelySeen (old value = SCENARIO__MEET_HPS_TOUR -> new value = )
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showTours (old value = 0 -> new value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : showProactiveNews (old value = 0 -> new value = DECIDE_NO)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : dontShowToursIfCompleted (old value = 1 -> new value = DECIDE_YES)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service : rule_33307_already_applied (value = 1)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : highest_version_seen (old value = 6004001 -> new value = 7001002)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogVariant (value = 2)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdownDialogShownCounter (value = 0)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\16175 : logOnShutdown (value = UNDECIDED)
• HKEY_CURRENT_USER\\SOFTWARE\CeWe Color\Home Photo Service\hps : lflist (value = qlfo6n-000chb-0001mo)
Viele Grüße
C. Brauckmann
Vorgehensweise:
1. Download der Anwendung CEWE Fotowelt (heute)
2. Installation der Anwendung
3. Erster Start der Anwendung -> dabei alarmierte der Virenscanner und stellte die o.g. Datei unter Quarantäne
Systembeschreibung:
Intel i5, 16 GB, Windows 10 - aktueller Stand
