|
Log-Analyse und Auswertung: Windows8: Virus trotz Neuinstallation des OS noch immer aktivWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.08.2015, 10:25 | #1 |
| Windows8: Virus trotz Neuinstallation des OS noch immer aktiv Hallo Leute, Ich habe mir kürzlich beim entpacken eines Uncut-Patches ein Virus eingefangen. Nachdem weder McAfee, noch die üblichen Freeware-Angebote zur Malwarebekämpfung das Virus entfernen konnten beschloss ich mein OS Win 8.1 Pro 64 Bit neu aufzusetzen. Zunächst versuchte ich es über das Lenovo-Tool ThinkVantage, was von Lenovo vorgesehen ist für den Factory-Reset. ThinkVantage reagiert nicht und auch der Direktzugriff auf die SicherungsPartition Lenovo_Recovery(Q) ist nicht möglich. Auf dem herkömmlichen Weg von Windows, den "erweiterten Wiederherstellungsmethoden", gabs es ebenso keinen Erfolg, nur die Info: "Die erforderlichen Wiederherstellungsdateien wurden nicht gefunden. Die gleiche Meldung erhielt ich auch, als ich eine Recovery-DVD erstellen wollte. Auf den Befehl F11 beim Start reagierte das System ebenfalls nicht und fährt normal hoch, obwohl das Gerät laut Hersteller in den Recovery-Mode booten müssten. Anscheinend blockierte das Virus den Recovery-Mode und den Zugriff auf die Sicherungsdateien. Als letzte Lösung habe ich ich also die ISO direkt von Microsoft geladen und auf DVD gebrannt. Die Neuinstallation funktionierte einwandfrei und ich klickte auf "nichts" als Microsoft mich fragte, ob ich etwas von meinen Daten übernehmen möchte. Nun habe ich Win8 frisch drauf, aber leider öffnen sich weiterhin willkürlich Fenster und alles ist extrem verlangsamt. Der Virenscan von McAfee ergab, dass sich mein ungebetener Gast noch immer auf dem Gerät herumtreibt. Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank vorab. Ich hab hier mal die Logfiles von FRST rangehangen, sowie die Ergebnisse des Gmer-Scans: FRST-LogFiles: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:14-08-2015 01 durchgeführt von Eik (Administrator) auf EIK-PC (15-08-2015 10:50:00) Gestartet von C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1 Geladene Profile: Eik (Verfügbare Profile: Eik) Platform: Windows 8.1 Pro (X64) Sprache: Deutsch (Deutschland) Internet Explorer Version 11 (Standard-Browser: IE) Start-Modus: Normal Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.) (Lenovo.) C:\Windows\System32\ibmpmsvc.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Intel Corporation) C:\Windows\System32\igfxCUIService.exe (Synaptics Incorporated) C:\Windows\System32\valWBFPolicyService.exe (Synaptics Incorporated) C:\Windows\System32\valWbioSyncSvc.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe (McAfee, Inc.) C:\Program Files\McAfee\MSC\McAPExe.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynFP\Shared\SensorDBSynch.exe (McAfee, Inc.) C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe (Intel Corporation) C:\Windows\System32\igfxEM.exe (Intel Corporation) C:\Windows\System32\igfxHK.exe (Intel Corporation) C:\Windows\System32\igfxTray.exe (Microsoft Corporation) C:\Windows\System32\SkyDrive.exe (Microsoft Corporation) C:\Windows\System32\SettingSyncHost.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe (Microsoft Corporation) C:\Windows\System32\WWAHost.exe ==================== Registry (Nicht auf der Ausnahmeliste) =========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.) HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs: C:\WINDOWS\system32\nvinitx.dll => C:\WINDOWS\system32\nvinitx.dll [184048 2013-12-26] (NVIDIA Corporation) AppInit_DLLs-x32: C:\WINDOWS\SysWOW64\nvinit.dll => C:\WINDOWS\SysWOW64\nvinit.dll [156256 2013-12-26] (NVIDIA Corporation) ==================== Internet (Nicht auf der Ausnahmeliste) ==================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt..) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1442497613-3789252926-842570062-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-1442497613-3789252926-842570062-1001 -> DefaultScope {D07FF20A-D211-4E3A-B792-E863378E2B9B} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C011DE0D20150814&p={searchTerms} SearchScopes: HKU\S-1-5-21-1442497613-3789252926-842570062-1001 -> {D07FF20A-D211-4E3A-B792-E863378E2B9B} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C011DE0D20150814&p={searchTerms} Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2015-08-04] (McAfee, Inc.) Handler-x32: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2015-08-04] (McAfee, Inc.) Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2015-08-04] (McAfee, Inc.) Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2015-08-04] (McAfee, Inc.) Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files\McAfee\MSC\McSnIePl64.dll [2015-07-21] (McAfee, Inc.) Filter-x32: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files (x86)\McAfee\MSC\McSnIePl.dll [2015-07-21] (McAfee, Inc.) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 Tcpip\..\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}: [DhcpNameServer] 192.168.178.1 FireFox: ======== FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [2015-07-21] () FF Plugin-x32: @mcafee.com/MSC,version=10 -> c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL [2015-07-21] () FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF Extension: McAfee Anti-Spam Thunderbird Extension - C:\Program Files\McAfee\MSK [2015-08-14] Chrome: ======= CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-08-14] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-08-14] ==================== Dienste (Nicht auf der Ausnahmeliste) ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) S2 0258571439587472mcinstcleanup; C:\Users\Eik\AppData\Local\Temp\025857~1.EXE [882000 2015-06-18] (McAfee, Inc.) R2 HomeNetSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [319376 2014-10-01] (Intel Corporation) S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation) R2 McAfee SiteAdvisor Service; c:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe [155368 2015-08-04] (McAfee, Inc.) R2 McAPExe; C:\Program Files\McAfee\MSC\McAPExe.exe [782608 2015-07-21] (McAfee, Inc.) R2 mccspsvc; C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe [1694152 2015-07-23] (McAfee, Inc.) R2 McMPFSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) R2 McNaiAnn; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) S3 McODS; C:\Program Files\McAfee\VirusScan\mcods.exe [639456 2015-07-17] (McAfee, Inc.) R2 mcpltsvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) R2 McProxy; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) R3 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [232656 2015-06-29] (McAfee, Inc.) R2 mfemms; C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe [373704 2015-07-15] (McAfee, Inc.) R3 mfevtp; C:\WINDOWS\system32\mfevtps.exe [254792 2015-06-29] (McAfee, Inc.) R2 MSK80Service; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.) R2 valWBFPolicyService; C:\Windows\system32\valWBFPolicyService.exe [49040 2014-07-24] (Synaptics Incorporated) R2 valWbioSyncSvc; C:\Windows\system32\valWbioSyncSvc.exe [32256 2014-07-24] (Synaptics Incorporated) S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [347880 2014-09-24] (Microsoft Corporation) S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23824 2014-09-24] (Microsoft Corporation) ===================== Treiber (Nicht auf der Ausnahmeliste) ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) R3 cfwids; C:\Windows\System32\drivers\cfwids.sys [77536 2015-07-02] (McAfee, Inc.) S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [207208 2015-05-19] (McAfee, Inc.) S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [25816 2015-06-18] (Malwarebytes Corporation) S3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [64216 2015-06-18] (Malwarebytes Corporation) R3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [412440 2015-07-02] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [347800 2015-07-02] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [496888 2015-07-02] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [875928 2015-07-02] (McAfee, Inc.) R3 mfencbdc; C:\Windows\system32\DRIVERS\mfencbdc.sys [529080 2015-06-28] (McAfee, Inc.) S3 mfencrk; C:\Windows\system32\DRIVERS\mfencrk.sys [109728 2015-06-28] (McAfee, Inc.) R3 mfesapsn; C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [37960 2015-08-04] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [344704 2015-07-02] (McAfee, Inc.) R3 NETwNe64; C:\Windows\system32\DRIVERS\NETwew00.sys [3344352 2013-07-08] (Intel Corporation) ==================== NetSvcs (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) ==================== Ein Monat: Erstellte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2015-08-15 10:49 - 2015-08-15 10:50 - 00000000 ____D C:\FRST 2015-08-15 10:45 - 2015-08-15 10:45 - 00000000 _____ C:\Users\Eik\defogger_reenable 2015-08-15 10:42 - 2015-08-15 10:45 - 00000468 _____ C:\Users\Eik\Desktop\defogger_disable.log 2015-08-15 10:19 - 2015-08-15 10:19 - 00113880 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2015-08-15 10:19 - 2015-08-15 10:19 - 00001125 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\Malwarebytes 2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 2015-08-15 10:19 - 2015-06-18 08:42 - 00064216 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mwac.sys 2015-08-15 10:19 - 2015-06-18 08:41 - 00109272 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2015-08-15 10:19 - 2015-06-18 08:41 - 00025816 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2015-08-15 10:15 - 2015-08-15 10:15 - 00000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat 2015-08-14 23:41 - 2015-08-14 23:03 - 00000000 ___DC C:\WINDOWS\Panther 2015-08-14 23:40 - 2015-08-14 23:40 - 00000000 ____D C:\Windows.old 2015-08-14 23:34 - 2015-08-14 23:34 - 00262144 _____ C:\WINDOWS\system32\config\userdiff 2015-08-14 23:33 - 2015-08-14 23:33 - 00642560 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\apphelp.dll 2015-08-14 23:33 - 2015-08-14 23:33 - 00564224 _____ (Microsoft Corporation) C:\WINDOWS\system32\apphelp.dll 2015-08-14 23:33 - 2015-08-14 23:33 - 00024576 _____ (Microsoft Corporation) C:\WINDOWS\system32\sdbinst.exe 2015-08-14 23:33 - 2015-08-14 23:33 - 00021504 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\sdbinst.exe 2015-08-14 23:33 - 2015-08-14 23:33 - 00007168 _____ (Microsoft Corporation) C:\WINDOWS\system32\shimeng.dll 2015-08-14 23:33 - 2015-08-14 23:33 - 00005632 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\shimeng.dll 2015-08-14 23:28 - 2015-07-05 12:08 - 00300704 ____N (Microsoft Corporation) C:\WINDOWS\system32\MpSigStub.exe 2015-08-14 23:27 - 2015-08-14 23:27 - 00001943 _____ C:\Users\Public\Desktop\McAfee Total Protection.lnk 2015-08-14 23:27 - 2015-08-14 23:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee 2015-08-14 23:26 - 2015-08-14 23:26 - 00000000 ____D C:\WINDOWS\System32\Tasks\McAfee 2015-08-14 23:26 - 2015-05-19 13:59 - 00207208 _____ (McAfee, Inc.) C:\WINDOWS\system32\Drivers\HipShieldK.sys 2015-08-14 23:25 - 2015-08-14 23:25 - 00000000 ____D C:\Program Files (x86)\McAfee.com 2015-08-14 23:24 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files\McAfee 2015-08-14 23:24 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files (x86)\McAfee 2015-08-14 23:24 - 2015-08-14 23:24 - 00000000 ____D C:\Program Files\McAfee.com 2015-08-14 23:24 - 2015-08-14 23:24 - 00000000 ____D C:\Program Files\Common Files\AV 2015-08-14 23:13 - 2015-08-15 10:20 - 00003596 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-1442497613-3789252926-842570062-1001 2015-08-14 23:13 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\McAfee 2015-08-14 23:13 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files\Common Files\McAfee 2015-08-14 23:13 - 2015-06-29 10:03 - 00254792 _____ (McAfee, Inc.) C:\WINDOWS\system32\mfevtps.exe 2015-08-14 23:10 - 2015-08-15 10:17 - 00003914 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{DAC54D4A-C96A-4978-93D1-FCEFD2A698CF} 2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 __SHD C:\Users\Eik\AppData\Local\EmieUserList 2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 __SHD C:\Users\Eik\AppData\Local\EmieSiteList 2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Macromedia 2015-08-14 23:09 - 2015-08-14 23:09 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_User_LocationProvider_01_11_00.Wdf 2015-08-14 23:09 - 2015-08-14 23:09 - 00000000 ____D C:\Users\Eik\AppData\Local\GWX 2015-08-14 23:08 - 2015-08-15 10:15 - 00000000 ___RD C:\Users\Eik\OneDrive 2015-08-14 23:04 - 2015-08-14 23:04 - 00000000 ____D C:\WINDOWS\System32\Tasks\WPD 2015-08-14 23:03 - 2015-08-14 23:05 - 00000000 ____D C:\Users\Eik\AppData\Local\Packages 2015-08-14 23:03 - 2015-08-14 23:03 - 00001461 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk 2015-08-14 23:03 - 2015-08-14 23:03 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Adobe 2015-08-14 23:03 - 2015-08-14 23:03 - 00000000 ____D C:\Users\Eik\AppData\Local\VirtualStore 2015-08-14 23:02 - 2015-08-14 23:02 - 00000451 _____ C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat 2015-08-14 23:01 - 2015-08-14 23:01 - 00000000 ___SD C:\WINDOWS\SysWOW64\GWX 2015-08-14 23:00 - 2015-08-15 10:45 - 00000000 ____D C:\Users\Eik 2015-08-14 23:00 - 2015-08-14 23:06 - 00000000 ___SD C:\WINDOWS\system32\GWX 2015-08-14 23:00 - 2015-08-14 23:00 - 00000020 ___SH C:\Users\Eik\ntuser.ini 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Vorlagen 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Startmenü 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Netzwerkumgebung 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Lokale Einstellungen 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Eigene Dateien 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Druckumgebung 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Documents\Eigene Musik 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Documents\Eigene Bilder 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Local\Verlauf 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Local\Anwendungsdaten 2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Anwendungsdaten 2015-08-14 23:00 - 2014-09-24 09:41 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools 2015-08-14 23:00 - 2014-09-24 09:41 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility 2015-08-14 23:00 - 2014-09-24 08:17 - 00000369 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pictures.lnk 2015-08-14 23:00 - 2014-09-24 08:17 - 00000369 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Documents.lnk 2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories 2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance 2015-08-14 22:59 - 2015-07-09 21:51 - 00136904 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe 2015-08-14 22:59 - 2015-07-09 20:48 - 02758128 _____ (Microsoft Corporation) C:\WINDOWS\explorer.exe 2015-08-14 22:59 - 2015-07-09 20:48 - 00131712 _____ (Microsoft Corporation) C:\WINDOWS\system32\RestoreOptIn.exe 2015-08-14 22:59 - 2015-07-09 20:40 - 00359936 _____ (Microsoft Corporation) C:\WINDOWS\system32\WinSetupUI.dll 2015-08-14 22:59 - 2015-07-09 19:59 - 02412576 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\explorer.exe 2015-08-14 22:59 - 2015-07-09 19:59 - 00112624 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\RestoreOptIn.exe 2015-08-14 22:59 - 2015-07-09 18:03 - 03701760 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaueng.dll 2015-08-14 22:59 - 2015-07-09 17:54 - 00035840 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuapp.exe 2015-08-14 22:59 - 2015-07-09 17:53 - 00140288 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuwebv.dll 2015-08-14 22:59 - 2015-07-09 17:50 - 00409088 _____ (Microsoft Corporation) C:\WINDOWS\system32\WUSettingsProvider.dll 2015-08-14 22:59 - 2015-07-09 17:50 - 00095744 _____ (Microsoft Corporation) C:\WINDOWS\system32\wudriver.dll 2015-08-14 22:59 - 2015-07-09 17:48 - 00891904 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuapi.dll 2015-08-14 22:59 - 2015-07-09 17:46 - 02229248 _____ (Microsoft Corporation) C:\WINDOWS\system32\wucltux.dll 2015-08-14 22:59 - 2015-07-09 17:38 - 00029696 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuapp.exe 2015-08-14 22:59 - 2015-07-09 17:37 - 00124928 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuwebv.dll 2015-08-14 22:59 - 2015-07-09 17:35 - 00081920 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wudriver.dll 2015-08-14 22:59 - 2015-07-09 17:34 - 00721920 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuapi.dll 2015-08-14 22:59 - 2015-06-27 05:08 - 00066048 _____ (Microsoft Corporation) C:\WINDOWS\system32\wups.dll 2015-08-14 22:59 - 2015-06-27 05:08 - 00052224 _____ (Microsoft Corporation) C:\WINDOWS\system32\wups2.dll 2015-08-14 22:59 - 2015-06-27 04:14 - 00027136 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wups.dll 2015-08-14 22:59 - 2015-03-14 03:51 - 00015360 _____ (Microsoft Corporation) C:\WINDOWS\system32\wu.upgrade.ps.dll 2015-08-14 22:59 - 2014-10-18 08:50 - 00017408 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaext.dll 2015-08-14 22:58 - 2015-08-14 22:58 - 00000000 ____D C:\WINDOWS\CSC 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Vorlagen 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Startmenü 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Lokale Einstellungen 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Eigene Dateien 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Druckumgebung 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Anwendungsdaten 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Vorlagen 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Startmenü 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Dokumente 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Anwendungsdaten 2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Program Files\Gemeinsame Dateien 2015-08-14 22:45 - 2015-08-14 23:02 - 00000000 ____D C:\ProgramData\Validity 2015-08-14 22:45 - 2015-08-14 22:45 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_User_wbf_vfs_lvcmn_01_09_00.Wdf 2015-08-14 22:45 - 2015-08-14 22:45 - 00000000 ____D C:\Program Files\Synaptics 2015-08-14 22:44 - 2015-08-14 22:56 - 00000000 ____D C:\WINDOWS\SysWOW64\NV 2015-08-14 22:44 - 2015-08-14 22:56 - 00000000 ____D C:\WINDOWS\system32\NV 2015-08-14 22:44 - 2015-08-14 22:44 - 00000000 ____D C:\ProgramData\NVIDIA 2015-08-14 22:44 - 2015-08-14 22:44 - 00000000 ____D C:\Program Files\Intel 2015-08-14 22:44 - 2014-10-01 19:54 - 00064000 _____ (Khronos Group) C:\WINDOWS\system32\OpenCL.DLL 2015-08-14 22:44 - 2014-10-01 19:54 - 00060416 _____ (Khronos Group) C:\WINDOWS\SysWOW64\OpenCL.DLL 2015-08-14 22:43 - 2015-08-14 23:29 - 02022794 _____ C:\WINDOWS\WindowsUpdate.log 2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\ProgramData\NVIDIA Corporation 2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\Program Files\NVIDIA Corporation 2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\Program Files (x86)\NVIDIA Corporation 2015-08-14 22:43 - 2013-10-29 01:39 - 06610720 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcpl.dll 2015-08-14 22:43 - 2013-10-29 01:39 - 03477280 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvc64.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 02559776 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvcr.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 01042720 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshext.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 00920864 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvvsvc.exe 2015-08-14 22:43 - 2013-10-29 01:38 - 00580384 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\oemdspif.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 00219424 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvmctray.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 00067072 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshextr.dll 2015-08-14 22:43 - 2013-10-29 01:38 - 00063776 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvshext.dll 2015-08-14 22:43 - 2013-10-25 13:44 - 03435888 _____ C:\WINDOWS\system32\nvcoproc.bin 2015-08-14 22:11 - 2015-08-14 22:26 - 00000000 ___HD C:\$WINDOWS.~BT 2015-08-14 20:17 - 2015-08-14 22:47 - 00000000 __SHD C:\Recovery 2015-08-14 17:58 - 2015-08-14 17:58 - 00000000 __RHD C:\ESD 2015-08-12 16:50 - 2015-08-13 10:51 - 00001519 _____ C:\task.vbs 2015-08-12 16:49 - 2015-08-12 16:49 - 00000000 _____ C:\dummy.htm 2015-07-17 12:27 - 2015-07-17 12:27 - 00156920 _____ (Lenovo.) C:\WINDOWS\system32\ibmpmsvc.exe 2015-07-17 12:27 - 2015-07-17 12:27 - 00081144 _____ (Lenovo.) C:\WINDOWS\system32\ibmpmctl.exe 2015-07-17 12:27 - 2015-07-17 12:27 - 00072400 _____ (Lenovo.) C:\WINDOWS\system32\Drivers\ibmpmdrv.sys 2015-07-17 12:27 - 2015-07-17 12:27 - 00050936 _____ (Lenovo.) C:\WINDOWS\system32\tpinspm.dll 2015-07-16 17:26 - 2015-07-16 17:26 - 00000000 ____D C:\682892ca55ebb7cd73 ==================== Ein Monat: Geänderte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2015-08-15 10:39 - 2013-08-22 17:20 - 00000000 ____D C:\WINDOWS\CbsTemp 2015-08-15 10:16 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\sru 2015-08-14 23:41 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\Recovery 2015-08-14 23:40 - 2013-08-22 17:36 - 00262144 _____ C:\WINDOWS\system32\config\BCD-Template 2015-08-14 23:33 - 2013-08-22 15:25 - 00262144 ___SH C:\WINDOWS\system32\config\ELAM 2015-08-14 23:25 - 2013-08-22 17:36 - 00000000 ___HD C:\WINDOWS\ELAMBKUP 2015-08-14 23:13 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\AppReadiness 2015-08-14 23:09 - 2013-08-22 16:46 - 00016691 _____ C:\WINDOWS\setupact.log 2015-08-14 23:07 - 2014-09-24 08:16 - 01686150 _____ C:\WINDOWS\system32\PerfStringBackup.INI 2015-08-14 23:07 - 2014-09-24 07:43 - 00727930 _____ C:\WINDOWS\system32\perfh007.dat 2015-08-14 23:07 - 2014-09-24 07:43 - 00151586 _____ C:\WINDOWS\system32\perfc007.dat 2015-08-14 23:05 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\WinBioDatabase 2015-08-14 23:02 - 2013-08-22 16:45 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT 2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\PolicyDefinitions 2015-08-14 22:59 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\restore 2015-08-14 22:59 - 2013-08-22 15:36 - 00000000 ____D C:\WINDOWS\system32\AdvancedInstallers 2015-08-14 22:51 - 2013-08-22 17:36 - 00000000 ____D C:\Program Files\Windows NT 2015-08-14 22:51 - 2013-08-22 15:36 - 00000000 __RHD C:\Users\Default 2015-08-14 22:50 - 2013-08-22 16:44 - 00338016 _____ C:\WINDOWS\system32\FNTCACHE.DAT 2015-08-14 22:49 - 2013-08-22 15:25 - 00262144 ___SH C:\WINDOWS\system32\config\BBI 2015-08-14 22:47 - 2013-08-22 17:37 - 00002664 _____ C:\WINDOWS\DtcInstall.log 2015-08-14 22:45 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\WinBioPlugIns 2015-08-14 22:42 - 2014-09-23 23:06 - 00002482 _____ C:\WINDOWS\PFRO.log 2015-08-14 15:06 - 2013-12-14 22:31 - 00000000 ____D C:\swshare 2015-08-13 15:10 - 2015-01-24 16:15 - 00000000 ____D C:\AdwCleaner Einige Dateien in TEMP: ==================== C:\Users\Eik\AppData\Local\Temp\0258571439587472mcinst.exe C:\Users\Eik\AppData\Local\Temp\McCSPInstall.dll ==================== Bamital & volsnap ================= (Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.) C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert C:\WINDOWS\explorer.exe => Datei ist digital signiert C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert C:\WINDOWS\system32\services.exe => Datei ist digital signiert C:\WINDOWS\system32\User32.dll => Datei ist digital signiert C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert LastRegBack: 2015-08-14 22:42 ==================== Ende von Ergebnis ============================ Additional-Logfiles von FRST: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:14-08-2015 01 durchgeführt von Eik (2015-08-15 10:50:43) Gestartet von C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1 Start-Modus: Normal ========================================================== ==================== Konten: ============================= Administrator (S-1-5-21-1442497613-3789252926-842570062-500 - Administrator - Disabled) Eik (S-1-5-21-1442497613-3789252926-842570062-1001 - Administrator - Enabled) => C:\Users\Eik Gast (S-1-5-21-1442497613-3789252926-842570062-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-1442497613-3789252926-842570062-1003 - Limited - Enabled) ==================== Sicherheits-Center ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.) AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AV: McAfee Anti-Virus und Anti-Spyware (Enabled - Up to date) {DA9F8ED0-D0DE-39CC-F55A-51AB4CC1B556} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} AS: McAfee Anti-Virus und Anti-Spyware (Enabled - Up to date) {61FE6F34-F6E4-3642-CFEA-6AD93746FFEB} FW: McAfee Firewall (Enabled) {E2A40FF5-9AB1-3894-DE05-F89EB212F22D} ==================== Installierte Programme ====================== (Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.) Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.10.17 - Lenovo) Malwarebytes Anti-Malware Version 2.1.8.1057 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.8.1057 - Malwarebytes Corporation) McAfee Total Protection (HKLM-x32\...\MSC) (Version: 14.0.4113 - McAfee, Inc.) McAfee WebAdvisor (HKLM-x32\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.0.124 - McAfee, Inc.) ==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) CustomCLSID: HKU\S-1-5-21-1442497613-3789252926-842570062-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\WINDOWS\system32\igfxEM.exe (Intel Corporation) ==================== Wiederherstellungspunkte ========================= ==================== Hosts Inhalt: =============================== (Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.) 2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\WINDOWS\system32\Drivers\etc\hosts ==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) Task: {854D7562-5D05-431C-AFCF-06247131C87E} - System32\Tasks\Microsoft\Windows\SetupSQMTask => C:\WINDOWS\SYSTEM32\OOBE\SETUPSQM.EXE [2013-08-22] (Microsoft Corporation) Task: {9E4FBDDD-EA47-4E91-BF89-CD6FDA8366B9} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.) ==================== Geladene Module (Nicht auf der Ausnahmeliste) ============== 2013-12-26 19:42 - 2013-12-26 19:42 - 00013088 _____ () C:\Program Files\NVIDIA Corporation\CoProcManager\detoured.dll ==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.) AlternateDataStreams: C:\Users\Eik\OneDrive:ms-properties ==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service" ==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.) ==================== Internet Explorer Vertrauenswürdig/Eingeschränkt =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.) ==================== Andere Bereiche ============================ (Aktuell gibt es keinen automatisierten Fix für diesen Bereich.) HKU\S-1-5-21-1442497613-3789252926-842570062-1001\Control Panel\Desktop\\Wallpaper -> C:\WINDOWS\web\wallpaper\Windows\img0.jpg DNS Servers: 192.168.178.1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Windows Firewall ist aktiviert. ==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge == (Aktuell gibt es keinen automatisierten Fix für diesen Bereich.) ==================== Firewall Regeln (Nicht auf der Ausnahmeliste) =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139 FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppextcomobj.exe FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppextcomobj.exe FirewallRules: [{492A9EE6-9E9D-42BE-9961-3A1C7B2BE812}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe ==================== Fehlerhafte Geräte im Gerätemanager ============= Name: PCI-Gerät Description: PCI-Gerät Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Fehlereinträge in der Ereignisanzeige: ========================= Applikationsfehler: ================== Error: (08/14/2015 11:04:30 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode: hr=0xC004E028 Befehlszeilenargumente: RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=0cdc4d08-6df6-4eb4-b5b4-a373c3e351e7;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 Systemfehler: ============= Error: (08/14/2015 11:46:49 PM) (Source: DCOM) (EventID: 10010) (User: EIK-PC) Description: {4AA0A5C4-1B9B-4F2E-99D7-99C6AEC83474} Error: (08/14/2015 11:33:51 PM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: NT-AUTORITÄT) Description: Fehler beim Lesen der Datei für lokale Hosts. Error: (08/14/2015 11:01:58 PM) (Source: BTHUSB) (EventID: 30) (User: ) Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert. Error: (08/14/2015 10:51:46 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Der Dienst "BranchCache" wurde mit dem folgenden dienstspezifischen Fehler beendet: %%1260 Error: (08/14/2015 10:51:40 PM) (Source: NETLOGON) (EventID: 3095) (User: ) Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser Konfiguration nicht gestartet zu sein. Error: (08/14/2015 10:49:58 PM) (Source: BTHUSB) (EventID: 30) (User: ) Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert. Error: (08/14/2015 10:47:14 PM) (Source: DCOM) (EventID: 10010) (User: NT-AUTORITÄT) Description: {A47979D2-C419-11D9-A5B4-001185AD2B89} Error: (08/14/2015 10:45:27 PM) (Source: BTHUSB) (EventID: 30) (User: ) Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert. Error: (08/14/2015 10:45:14 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Der Dienst "Netzwerklistendienst" wurde mit folgendem Fehler beendet: %%21 Error: (08/14/2015 10:43:16 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Der Dienst "IP-Hilfsdienst" wurde mit folgendem Fehler beendet: %%1058 Microsoft Office: ========================= Error: (08/14/2015 11:04:30 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: hr=0xC004E028RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=0cdc4d08-6df6-4eb4-b5b4-a373c3e351e7;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 ==================== Speicherinformationen =========================== Processor: Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz Prozentuale Nutzung des RAM: 30% Installierter physikalischer RAM: 7757.65 MB Verfügbarer physikalischer RAM: 5403.06 MB Summe virtueller Speicher: 9677.65 MB Verfügbarer virtueller Speicher: 7265.66 MB ==================== Laufwerke ================================ Drive c: (Windows7_OS) (Fixed) (Total:450.84 GB) (Free:416.23 GB) NTFS ==>[System mit Startkomponenten (eingeholt von lesen Laufwerk)] Drive d: (ESD-ISO) (CDROM) (Total:3.23 GB) (Free:0 GB) UDF Drive q: () (Fixed) (Total:14.72 GB) (Free:14.67 GB) NTFS ==================== MBR & Partitionstabelle ================== ======================================================== Disk: 0 (Size: 465.8 GB) (Disk ID: A5A2C9A7) Partition 1: (Active) - (Size=200 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=450.8 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=14.7 GB) - (Type=07 NTFS) ==================== Ende von Ergebnis ============================ Gmer-Logfiles: GMER 2.1.19357 - hxxp://www.gmer.net Rootkit scan 2015-08-15 11:03:09 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002d HGST_HTS725050A7E630 rev.GH2ZB550 465,76GB Running: Gmer-19357.exe; Driver: C:\Users\Eik\AppData\Local\Temp\kwtdapob.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffab7a728c0 7 bytes JMP 00007ffbb54c02d0 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffab7a743d8 7 bytes JMP 00007ffbb54c0308 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffab7b21f20 7 bytes JMP 00007ffbb54c0378 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffab7b240b4 7 bytes JMP 00007ffbb54c03b0 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffab7b24510 7 bytes JMP 00007ffbb54c0340 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleFileNameExW 00007ffab7b24af0 7 bytes JMP 00007ffbb54c0260 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffab7b4cea0 7 bytes JMP 00007ffbb54c0228 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffab7b4cf10 7 bytes JMP 00007ffbb54c0298 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffab5522300 7 bytes JMP 00007ffbb54c00d8 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffab5525770 5 bytes JMP 00007ffbb54c0180 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffab5525860 5 bytes JMP 00007ffbb54c0148 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffab5525a30 5 bytes JMP 00007ffbb54c0110 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffab58cb6f4 10 bytes JMP 00007ffbb54c0490 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffab58d45e8 5 bytes JMP 00007ffbb54c0458 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffab58d4760 1 byte JMP 00007ffbb54c03e8 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2 00007ffab58d4762 7 bytes {JMP 0xffffffffffbebc88} .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffab58e4fc0 5 bytes JMP 00007ffbb54c0420 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffab6051500 8 bytes JMP 00007ffbb54c01b8 .text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffab6051750 8 bytes JMP 00007ffbb54c01f0 .text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F] .text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [1404:6072] fffff96000988b90 ---- Processes - GMER 2.1 ---- Process C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\ZU65WWR4\Gmer-19357.exe (*** suspicious ***) @ C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\ZU65WWR4\Gmer-19357.exe [2632](2015-08-15 08:56:00) 0000000000400000 ---- Services - GMER 2.1 ---- Service C:\Program Files (x86)\Windows Defender\MsMpEng.exe (*** hidden *** ) [AUTO] WinDefend <-- ROOTKIT !!! Service C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (*** hidden *** ) [MANUAL] WMPNetworkSvc <-- ROOTKIT !!! ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\LEN40B40_00_07DC_35^B00020D99E608D4829EAFDD4CDB1C9B4@Timestamp 0xBA 0x7B 0x59 0x77 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\381b4222-f694-41f0-9685-ff5bb260df2e\7516b95f-f776-4464-8c53-06167f40cc99\aded5e82-b909-4619-9949-f5d71dac0bcb@DCSettingIndex 0 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations \??\C:\PROGRA~1\McAfee\MSC\McBootSvcSet.exe??\??\C:\Users\Eik\AppData\Local\Temp\SiteAdvisor{E4D01897-AAE4-4D55-9902-0BBDBB468AFE}\mcinst.exe??\??\C:\Program Files (x86)\McAfee\SiteAdvisor\Download\s27g??\??\C:\Program Files (x86)\McAfee\SiteAdvisor\Download\s27g.1?? Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed 888748793 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime 21480 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime 16466 Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@GlassSessionId 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00c2c6261a05 Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@LocalJoiningUser Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@AutoCreate 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@AutoCreateUserName eikhaase@outlook.de Reg HKLM\SYSTEM\CurrentControlSet\Services\IBMPMSVC\Parameters\Notification@ -67010448 Reg HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT@Start 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT Reg HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{CE0FF5D9-799E-4B62-9BAF-9B1082399CE7}@DefunctTimestamp 0x57 0x5A 0xCE 0x55 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters@EnableAuthenticateUserSharing 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@VTPOptions.MSTRINTSLL_AAC 1048576 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@start.MSTRINTSLL_AAC 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@BootLoadContent.MSTRINTSLL_AAC 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@VTPOptions.MSTRINTSLL_AAC 1310720 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@start.MSTRINTSLL_AAC 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@BootLoadContent.MSTRINTSLL_AAC 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@SUPPORTEDFEATURES.MSTRINTSLL_AAC 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@SUPPORTEDFEATURES.MSTRINTSLL_MMS 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@ProductId.MSTRINTSLL {308C1AD7-765B-4A17-B25B-D415F07357F3} Reg HKLM\SYSTEM\CurrentControlSet\Services\mfemms@ServiceDelayNormal 60 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfemms@ServiceDelayLate 120 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfencbdc@SmoothWritesDefaultTimeout 2000 Reg HKLM\SYSTEM\CurrentControlSet\Services\mfencbdc@DefaultTTL 10 Reg HKLM\SYSTEM\CurrentControlSet\Services\NcbService\NCB\KapiNlmCache\2@Timestamp 0xAA 0x5C 0x86 0xBF ... Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 536 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 12 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-In-UDP-x86 v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31023|Desc=@FirewallAPI.dll,-31006|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-UDP-x86 v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31024|Desc=@FirewallAPI.dll,-31010|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-TCP-x86 v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31025|Desc=@FirewallAPI.dll,-31014|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31003|Desc=@FirewallAPI.dll,-31006|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31007|Desc=@FirewallAPI.dll,-31010|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31011|Desc=@FirewallAPI.dll,-31014|EmbedCtxt=@FirewallAPI.dll,-31002| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Session-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=139|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAP I.dll,-28503|Desc=@FirewallAPI.dll,-28506|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Session-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=139|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28507|Desc=@FirewallAPI.dll,-28510|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SMB-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=445|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAP I.dll,-28511|Desc=@FirewallAPI.dll,-28514|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SMB-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=445|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28515|Desc=@FirewallAPI.dll,-28518|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Name-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=137|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28519|Desc=@FirewallAPI.dll,-28522|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Name-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=137|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-28523|Desc=@FirewallAPI.dll,-28526|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Datagram-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=138|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28527|Desc=@FirewallAPI.dll,-28530|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Datagram-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=138|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-28531|Desc=@FirewallAPI.dll,-28534|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SpoolSvc-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=RPC|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\s poolsv.exe|Svc=Spooler|Name=@FirewallAPI.dll,-28535|Desc=@FirewallAPI.dll,-28538|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-RPCSS-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=RPC-EPMap|RA4=LocalSubnet|RA6=LocalSubnet|Svc=Rpcss|Name=@FirewallAPI.dll,-28539|Desc=@FirewallAPI.dll,-28542|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP4-ERQ-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=1|Profile=Private|Profile=Public|ICMP4=8:*|RA4=LocalSubnet|Name=@FirewallAPI.dll,-28543|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP4-ERQ-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=1|Profile=Private|Profile=Public|ICMP4=8:*|RA4=LocalSubnet|Name=@FirewallAPI.dll,-28544|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP6-ERQ-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=58|Profile=Private|Profile=Public|ICMP6=128:*|RA6=LocalSubnet|Name=@FirewallAPI.dll,-28545|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP6-ERQ-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=58|Profile=Private|Profile=Public|ICMP6=128:*|RA6=LocalSubnet|Name=@FirewallAPI.dll,-28546|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-LLMNR-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|LPort=5355|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=dnscache|Name= @FirewallAPI.dll,-28548|Desc=@FirewallAPI.dll,-28549|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-LLMNR-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|RPort=5355|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=dnscache|Name =@FirewallAPI.dll,-28550|Desc=@FirewallAPI.dll,-28551|EmbedCtxt=@FirewallAPI.dll,-28502| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32 \svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31253|Desc=@FirewallAPI.dll,-31256|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system3 2\svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31257|Desc=@FirewallAPI.dll,-31260|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\ svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31261|Desc=@FirewallAPI.dll,-31264|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32 \svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31265|Desc=@FirewallAPI.dll,-31268|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-SSDPSrv-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|LPort=1900|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=ssdpsrv|Name=@ FirewallAPI.dll,-31269|Desc=@FirewallAPI.dll,-31272|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-SSDPSrv-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|RPort=1900|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=ssdpsrv|Name= @FirewallAPI.dll,-31273|Desc=@FirewallAPI.dll,-31276|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnPHost-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|LPort=2869|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAPI.dll,-31277|Desc=@FirewallAPI.dll,-31280|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnPHost-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAPI.dll,-31281|Desc=@FirewallAPI.dll,-31284|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-HTTPSTR-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=10243|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-31285|Desc=@FirewallAPI.dll,-31288|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-HTTPSTR-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=10243|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewal lAPI.dll,-31289|Desc=@FirewallAPI.dll,-31292|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31293|Desc=@FirewallAPI.dll,-31296|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31297|Desc=@FirewallAPI.dll,-31300|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31301|Desc=@FirewallAPI.dll,-31304|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31305|Desc=@FirewallAPI.dll,-31308|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31309|Desc=@FirewallAPI.dll,-31312|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31313|Desc=@FirewallAPI.dll,-31316|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31317|Desc=@FirewallAPI.dll,-31320|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=upnphost|Name=@FirewallAP I.dll,-31321|Desc=@FirewallAPI.dll,-31322|EmbedCtxt=@FirewallAPI.dll,-31252| Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@LeaseObtainedTime 1439587290 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@T1 1440019290 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@T2 1440343290 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@LeaseTerminatesTime 1440451290 Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@Group Early-Launch Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@ImagePath system32\drivers\WdBoot.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot Reg HKLM\SYSTEM\CurrentControlSet\Services\WinDefend@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\WinDefend Reg HKLM\SYSTEM\CurrentControlSet\Services\WMPNetworkSvc@Start 3 Reg HKLM\SYSTEM\CurrentControlSet\Services\WMPNetworkSvc Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore@Count 16 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore@Count 38 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@WindowsRequestBucketCounter 39 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsLargeRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@OtherBandwidthBucketCounter 46492 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@OtherRequestBucketCounter 397 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastOtherRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@GlobalBandwidthBucketCounter 62162 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@GlobalRequestBucketCounter 597 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastGlobalRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@RoamingSyncToken LM%3d63575225450170%3bID%3d3AE63DE13AE45A1F!102%3bLR%3d63575184717437%3bEP%3d4%3bTD%3dTrue%3bSO%3d0 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastUploadTime 0xE4 0x95 0xDA 0x7B ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\RegistrarData@LastRenewCollectionsInterest 0x4B 0xFA 0x95 0x98 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\SettingSync\SyncData@PendingOperations 26 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ---- |
15.08.2015, 10:30 | #2 |
/// the machine /// TB-Ausbilder | Windows8: Virus trotz Neuinstallation des OS noch immer aktiv hi,
__________________So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Downloade Dir bitte Malwarebytes Anti-Malware
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte.
__________________ |
15.08.2015, 14:56 | #3 |
| Windows8: Virus trotz Neuinstallation des OS noch immer aktiv Hey Schrauber,
__________________ich habe meine Festplatte nochmal formatiert und Windows anschließend erneut installiert. Nach den Updates habe ich McAfee wieder durchlaufen lassen und erneut wurde das Virus in dreifacher Ausführung gefunden. Dieses mal gelang es McAfee jedoch erstmalig die Viren erfolgreich zu isolieren. Ich habe trotzdem die Logfiles angefertigt wie erbeten! Sieht sauber aus oder? Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlaufdatum: 15.08.2015 Suchlaufzeit: 10:20 Protokolldatei: Logfiles_Malwarebytes.txt Administrator: Ja Version: 2.1.8.1057 Malware-Datenbank: v2015.08.15.02 Rootkit-Datenbank: v2015.08.06.01 Lizenz: Kostenlose Version Malware-Schutz: Deaktiviert Schutz vor bösartigen Websites: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 8.1 CPU: x64 Dateisystem: NTFS Benutzer: Eik Suchlauftyp: Bedrohungssuchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 327773 Abgelaufene Zeit: 13 Min., 45 Sek. Speicher: Aktiviert Start: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (keine bösartigen Elemente erkannt) Module: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 0 (keine bösartigen Elemente erkannt) Registrierungswerte: 0 (keine bösartigen Elemente erkannt) Registrierungsdaten: 0 (keine bösartigen Elemente erkannt) Ordner: 0 (keine bösartigen Elemente erkannt) Dateien: 0 (keine bösartigen Elemente erkannt) Physische Sektoren: 0 (keine bösartigen Elemente erkannt) (end) Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Malwarebytes Version: 7.5.6 (08.10.2015:1) OS: Windows 8.1 Pro x64 Ran by Eik on 15.08.2015 at 14:09:01,18 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Tasks ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 15.08.2015 at 14:11:29,15 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v5.000 - Logfile created 15/08/2015 at 14:15:01 # Updated 14/08/2015 by Xplode # Database : 2015-08-14.3 [Server] # Operating system : Windows 8.1 Pro (x64) # Username : Eik - EIK-PC # Running from : C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1\AdwCleaner_5.000.exe # Option : Cleaning ***** [ Services ] ***** ***** [ Folders ] ***** ***** [ Files ] ***** ***** [ Shortcuts ] ***** ***** [ Scheduled tasks ] ***** ***** [ Registry ] ***** ***** [ Web browsers ] ***** ************************* :: Proxy settings cleared :: Winsock settings cleared ************************* C:\AdwCleaner[C1].txt - [919 octets] - [15/08/2015 13:46:03] C:\AdwCleaner[C2].txt - [727 octets] - [15/08/2015 14:15:01] C:\AdwCleaner[S1].txt - [766 octets] - [15/08/2015 13:36:58] C:\AdwCleaner[S2].txt - [890 octets] - [15/08/2015 14:14:30] C:\AdwCleanerDebug.txt - [55 octets] - [06/12/2014 00:58:34] ########## EOF - C:\AdwCleaner[C2].txt - [975 octets] ########## Hallo, nachdem ich ja bereits dachte den Kampf gewonnen zu haben ist mein Trojaner wieder aufgetaucht. Wär kool wenn jemand einen Tip hätte, wie ich das Problem ganz beheben könnte. Aktuell stell ich die gefundenen Probleme immer unter Quarantäne und Lösche sie anschließend, aber kurze zeit später tauchen die selben Probleme wieder auf. Hier das passende Logfile vom McAfee-Scan: Code:
ATTFilter 8/14/2015 11:35:53 PM Scan Started: 08/14/2015 11:35:53 PM 8/14/2015 11:37:17 PM "C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-5.exe.vir" "Artemis!F03B8C536AD1" "2" 8/14/2015 11:37:17 PM "C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-1-7.exe.vir" "Artemis!B21F5C0B372A" "2" 8/14/2015 11:37:18 PM "C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\Uninstall.exe.vir" "Artemis!7F0A211EF848" "2" 8/14/2015 11:46:07 PM Total objects scanned: 40622 8/14/2015 11:46:07 PM Objects detected: 3 8/14/2015 11:46:07 PM Scan Done: 08/14/2015 11:46:07 PM 8/15/2015 11:27:17 AM Scan Started: 08/15/2015 11:27:17 AM 8/15/2015 12:33:16 PM Total objects scanned: 312107 8/15/2015 12:33:16 PM Objects detected: 0 8/15/2015 12:33:16 PM Scan Done: 08/15/2015 12:33:16 PM 8/15/2015 2:49:29 PM Scan Started: 08/15/2015 02:49:29 PM 8/15/2015 2:50:21 PM "C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-4.exe.vir" "Artemis!A985CB154175" "2" 8/15/2015 3:26:32 PM Total objects scanned: 304478 8/15/2015 3:26:32 PM Objects detected: 1 8/15/2015 3:26:32 PM Scan Done: 08/15/2015 03:26:32 PM Vielen Dank! |
16.08.2015, 06:35 | #4 | |
/// the machine /// TB-Ausbilder | Windows8: Virus trotz Neuinstallation des OS noch immer aktivZitat:
Die 3 Funde sind Funde in der Quarantäne von AdwCleaner. Also: 1) total harmlos 2) der Beweis dafür dass der Rechner nicht formatiert wurde, sonst wäre der Quarantäne Ordner weg
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Windows8: Virus trotz Neuinstallation des OS noch immer aktiv |
administrator, adobe, booten, computer, cpu, defender, desktop, dnsapi.dll, entfernen, explorer, firewall, home, ip-hilfsdienst, neuinstallation, nvidia, ordner, prozesse, registry, scan, services.exe, siteadvisor, software, svchost.exe, system, temp, trojaner, virus, webadvisor, windows, windows 8, winlogon.exe |