Windows Rechner befallen - Swisscom sperrt Internet - Sophos hat Mal/Wonton-BI erkannt

Helveticus · 30.09.2015, 13:07

2. PC - Windows 7 64 bit: Sophos hat Mal/Wonton-BI erkannt (C:\Users\NetAgent\AppData\Roaming\avrtCore.dll)

FRST.txt

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:27-09-2015 01
durchgeführt von WinUser04 (Administrator) auf WW620003104 (30-09-2015 12:38:49)
Gestartet von C:\Users\WinUser04\Desktop
Geladene Profile: NetAgent & WinUser04 (Verfügbare Profile: Admin & NetAgent & Admin & WinUser04)
Platform: Windows 7 Ultimate Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(ActivIdentity) C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
(DameWare Development LLC) C:\Windows\SysWOW64\DWRCS.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPurasLog.exe
() C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(DameWare Development) C:\Windows\SysWOW64\DWRCST.EXE
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPuras.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acsagent.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe
(Brother Industries Ltd.) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [acevents] => C:\Program Files\ActivIdentity\ActivClient\acevents.exe [196648 2009-06-03] (ActivIdentity)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [accrdsub] => C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe [483880 2009-06-03] (ActivIdentity)
HKLM\...\Run: [Seagull Drivers] => ssdal_nc.exe startup
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [ControlCenter4] => C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe [139264 2010-10-22] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2621440 2010-06-10] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [Sophos AutoUpdate Monitor] => C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe [1592104 2015-08-28] (Sophos Limited)
HKLM-x32\...\Run: [DameWare MRC Agent] => C:\Windows\SysWOW64\DWRCST.exe [78848 2009-02-04] (DameWare Development)
HKLM\...\Winlogon: [Userinit] C:\Program Files\Pharmatic\ErgoStart\ErgoStart.exe
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Run: [cmcfusic] => rundll32 "C:\Users\NetAgent\AppData\Roaming\avrtCore.dll",DllRegisterServer
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Run: [adprXP32] => rundll32 "C:\Users\NetAgent\AppData\Roaming\capi9_32\DHCPdMgr.dll",DllRegisterServer
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {0d0d1f3f-c2ef-11e2-bde6-806e6f6e6963} - E:\start.exe
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {9bb6793f-c947-11e2-bc40-c8600085c111} - "D:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [OfficeSyncProcess] => C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [719672 2012-01-20] (Microsoft Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [adprXP32] => rundll32 "C:\Users\WinUser04\AppData\Roaming\capi9_32\DHCPdMgr.dll",DllRegisterServer
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\MountPoints2: {0d0d1f3f-c2ef-11e2-bde6-806e6f6e6963} - E:\heilog\HeilogCD.exe
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\MountPoints2: {9bb6793f-c947-11e2-bc40-c8600085c111} - "D:\WD SmartWare.exe" autoplay=true
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~2.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll [217672 2015-03-03] (Sophos Limited)
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured.dll [275352 2015-03-03] (Sophos Limited)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-23]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-23]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
Startup: C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FAXRX.lnk [2013-06-13]
ShortcutTarget: FAXRX.lnk -> C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe (Brother Industries Ltd.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 10.101.103.11 10.101.103.1
Tcpip\..\Interfaces\{9466D0A5-B83B-4E7C-BEE1-13E50F0D2C40}: [DhcpNameServer] 10.101.103.11 10.101.103.1

Internet Explorer:
==================
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
SearchScopes: HKU\S-1-5-21-749421615-2386836196-3283403883-1137 -> {45572F25-DA79-44B7-84EC-94D40B416F94} URL = hxxps://www.google.com/search?q={searchTerms}
BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2011-06-06] (Adobe Systems Incorporated)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2012-08-16] (Microsoft Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
DPF: HKLM-x32 {0F7A9297-7268-11D1-B81A-00A076C01B0A} hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
DPF: HKLM-x32 {BF4D1B76-AEB1-47E8-8ACA-13465515C531} hxxp://www.hpcsystem.ch/aims/CertifMgr-All.CAB

FireFox:
========
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2011-06-06] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
R2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 EpsonPuras; C:\Program Files\EPSON\EPuras\EPuras.exe [765952 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
R2 EpsonPurasLog; C:\Program Files\EPSON\EPuras\EPurasLog.exe [444928 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
R2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [288552 2015-01-28] (Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [208168 2015-03-03] (Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [340264 2015-08-28] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [341800 2015-03-03] (Sophos Limited)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3274536 2015-03-03] (Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2065704 2015-03-03] (Sophos Limited)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S2 EPSON TM Parallel Port Driver; C:\Windows\system32\drivers\tmlpt.sys [21640 2010-07-01] (SEIKO EPSON CORPORATION)
S3 IFCoEMP; C:\Windows\system32\drivers\ifM60x64.sys [388368 2011-11-30] (Intel(R) Corporation)
S3 IFCoEVB; C:\Windows\system32\drivers\ifP60X64.sys [78096 2011-11-30] (Intel(R) Corporation)
S3 ISCT; C:\Windows\system32\drivers\ISCTD64.sys [46016 2012-08-24] ()
S3 megasas2; C:\Windows\system32\drivers\megasas2.sys [52008 2012-05-30] (LSI Corporation)
R3 OxPCIeMf; C:\Windows\System32\DRIVERS\OxPCIeMf.sys [62000 2009-09-24] (OEM)
R3 OxPCIeSer; C:\Windows\System32\DRIVERS\OxPCIeSer.sys [102960 2009-09-24] (OEM)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [158976 2015-01-28] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [38144 2015-01-28] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [27904 2015-01-28] (Sophos Limited)
U5 TMUSB; C:\Windows\System32\DRIVERS\TMUSB64.SYS [61088 2009-11-25] (SEIKO EPSON CORPORATION)
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-30 12:38 - 2015-09-30 12:38 - 00015161 _____ C:\Users\WinUser04\Desktop\FRST.txt
2015-09-30 12:38 - 2015-09-30 12:38 - 00000000 ____D C:\FRST
2015-09-30 12:38 - 2015-09-30 12:11 - 02192384 _____ (Farbar) C:\Users\WinUser04\Desktop\FRST64.exe
2015-09-30 02:40 - 2015-09-30 02:40 - 00000000 ____D C:\Users\WinUser04\AppData\Local\F-Secure
2015-09-30 02:19 - 2015-09-30 02:19 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Sophos
2015-09-28 11:20 - 2015-09-28 11:20 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
2015-09-28 11:20 - 2015-09-28 11:20 - 00002019 _____ C:\Users\Public\Desktop\Adobe Reader X.lnk
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\CEF
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\Adobe
2015-09-28 09:14 - 2013-10-14 18:00 - 00028368 _____ (Microsoft Corporation) C:\Windows\system32\IEUDINIT.EXE
2015-09-28 09:09 - 2015-09-28 09:09 - 24917504 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 19607040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 14404096 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 12829696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 06026240 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 04305920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02885632 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02426880 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02278912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02125824 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 02052608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 01950720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01545728 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01309696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00942592 _____ (Microsoft Corporation) C:\Windows\system32\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00940032 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00801280 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00720384 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00689152 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00664064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00645120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00584192 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00503808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00389840 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00342728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00247808 _____ (Microsoft Corporation) C:\Windows\system32\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00243200 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235520 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235008 _____ (Microsoft Corporation) C:\Windows\system32\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00233472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00208384 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00194048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00182272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00167424 _____ (Microsoft Corporation) C:\Windows\system32\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00151552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00147968 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00143872 _____ (Microsoft Corporation) C:\Windows\system32\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00139264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00131072 _____ (Microsoft Corporation) C:\Windows\system32\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00127488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00116736 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00111616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00101376 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00090112 _____ (Microsoft Corporation) C:\Windows\system32\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00083456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00081408 _____ (Microsoft Corporation) C:\Windows\system32\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077312 _____ (Microsoft Corporation) C:\Windows\system32\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00074240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00069120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00056832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048128 _____ (Microsoft Corporation) C:\Windows\system32\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00024576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00012800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 05549504 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03969472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03914176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 01903552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 01887232 _____ (Microsoft Corporation) C:\Windows\system32\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01732032 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01505280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01292192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00878080 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00859648 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00640512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00619520 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00497152 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 00327168 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00231424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2015-09-28 09:07 - 2015-09-28 09:14 - 00016937 _____ C:\Windows\IE11_main.log
2015-09-25 20:36 - 2015-09-25 20:36 - 00001167 _____ C:\Users\WinUser04\Desktop\A6T1_50 auf Sw620003001 - Verknüpfung.lnk
2015-09-21 20:14 - 2015-09-21 20:14 - 00000698 _____ C:\Users\WinUser04\Desktop\Mercator auf S.lnk
2015-09-20 22:06 - 2014-05-14 18:23 - 02477536 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00058336 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-09-20 22:06 - 2014-05-14 18:23 - 00044512 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll
2015-09-20 22:06 - 2014-05-14 18:21 - 02620928 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-09-20 22:06 - 2014-05-14 18:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2015-09-20 22:06 - 2014-05-14 18:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-09-20 22:06 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe
2015-09-18 16:01 - 2015-09-18 16:01 - 00262144 _____ C:\Windows\Minidump\091815-10015-01.dmp
2015-09-17 14:47 - 2015-09-17 14:47 - 00000230 _____ C:\Users\WinUser04\Desktop\PharmaWiki.url
2015-09-17 01:01 - 2015-09-28 11:20 - 00000000 ____D C:\Program Files (x86)\Adobe
2015-09-09 13:24 - 2015-09-09 13:24 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\capi9_32
2015-09-09 13:24 - 2015-09-09 13:24 - 00000000 ____D C:\Users\NetAgent\AppData\Roaming\capi9_32

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-30 12:37 - 2013-05-23 09:32 - 00000128 _____ C:\Windows\system32\config\netlogon.ftl
2015-09-30 12:37 - 2013-05-22 16:57 - 01182341 _____ C:\Windows\WindowsUpdate.log
2015-09-30 12:37 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-09-30 12:37 - 2009-07-14 06:51 - 00072441 _____ C:\Windows\setupact.log
2015-09-30 12:36 - 2013-06-07 21:06 - 00000155 _____ C:\Windows\Brfaxrx.ini
2015-09-30 12:27 - 2013-12-14 18:13 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-09-30 02:48 - 2013-06-07 21:07 - 00001330 _____ C:\Windows\BRCALIB.INI
2015-09-30 01:31 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-09-30 01:31 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-09-30 01:28 - 2013-05-06 13:55 - 00737988 _____ C:\Windows\system32\perfh00C.dat
2015-09-30 01:28 - 2013-05-06 13:55 - 00732524 _____ C:\Windows\system32\perfh010.dat
2015-09-30 01:28 - 2013-05-06 13:55 - 00700168 _____ C:\Windows\system32\perfh007.dat
2015-09-30 01:28 - 2013-05-06 13:55 - 00148964 _____ C:\Windows\system32\perfc007.dat
2015-09-30 01:28 - 2013-05-06 13:55 - 00148850 _____ C:\Windows\system32\perfc00C.dat
2015-09-30 01:28 - 2013-05-06 13:55 - 00146346 _____ C:\Windows\system32\perfc010.dat
2015-09-30 01:28 - 2009-07-14 07:13 - 03386828 _____ C:\Windows\system32\PerfStringBackup.INI
2015-09-29 19:44 - 2014-10-13 08:20 - 00000000 _____ C:\Windows\system32\vireng.log
2015-09-29 16:13 - 2013-05-30 13:23 - 00131954 _____ C:\Windows\SysWOW64\DesToolBarCfg.tb
2015-09-29 01:20 - 2013-05-30 22:59 - 00013030 _____ C:\PDOXUSRS.NET
2015-09-29 01:20 - 2013-05-30 22:59 - 00000032 _____ C:\Pdoxusrs.dat
2015-09-28 11:48 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache
2015-09-28 11:20 - 2013-05-23 09:39 - 00000000 ____D C:\ProgramData\Adobe
2015-09-28 11:14 - 2010-11-21 05:47 - 00205916 _____ C:\Windows\PFRO.log
2015-09-28 11:03 - 2013-05-23 11:32 - 00000000 ____D C:\Users\admin.DW620003\AppData\Roaming\Adobe
2015-09-28 11:02 - 2013-05-23 09:35 - 00001421 _____ C:\Users\admin.DW620003\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 11:02 - 2013-05-23 09:35 - 00001188 __RSH C:\Users\admin.DW620003\ntuser.pol
2015-09-28 11:02 - 2013-05-23 09:35 - 00000000 ____D C:\Users\admin.DW620003
2015-09-28 09:52 - 2013-05-30 15:09 - 00001596 _____ C:\Users\WinUser04\Desktop\hs_err_pid2824.log - Verknüpfung.lnk
2015-09-28 09:38 - 2015-05-09 00:05 - 00003886 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2015-09-28 09:38 - 2013-05-30 13:28 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Adobe
2015-09-28 09:34 - 2013-05-23 09:40 - 00000000 ____D C:\Users\NetAgent
2015-09-28 09:29 - 2013-05-30 15:09 - 00002422 _____ C:\Users\WinUser04\Desktop\layout.pdf - Verknüpfung.lnk
2015-09-28 09:15 - 2013-05-23 14:03 - 00001409 _____ C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 09:14 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\PolicyDefinitions
2015-09-25 20:37 - 2013-05-23 14:07 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\Adobe
2015-09-22 08:27 - 2013-12-14 18:13 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2015-09-22 08:27 - 2013-07-30 16:59 - 00780488 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-09-22 08:27 - 2013-05-23 09:40 - 00142536 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-09-21 17:43 - 2013-07-25 17:59 - 00024731 _____ C:\Windows\HeilogRecipe2006.bak
2015-09-21 17:43 - 2013-07-25 17:59 - 00024322 _____ C:\Windows\HeilogRecipe2006.ini
2015-09-21 17:40 - 2013-07-11 10:04 - 00000013 _____ C:\Windows\heilogCD.ini
2015-09-20 22:08 - 2013-05-30 16:40 - 00001682 _____ C:\Users\WinUser04\Desktop\daten auf dem server.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002517 _____ C:\Users\WinUser04\Desktop\Kontaktadressen_Industriepartner_2011_Jubiläumsbroschüren_Vorlage.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002468 _____ C:\Users\WinUser04\Desktop\KostenstellenrechnungMedikmente_Vorlage04_2004vom 10.05.05.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002405 _____ C:\Users\WinUser04\Desktop\Medikamenten.doc - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002398 _____ C:\Users\WinUser04\Desktop\Anmeldeformular.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002394 _____ C:\Users\WinUser04\Desktop\rz_tp.pdf - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002268 _____ C:\Users\WinUser04\Desktop\110919_schweizerillustrierte_beratung.pdf - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002247 _____ C:\Users\WinUser04\Desktop\PS@libertymail.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002198 _____ C:\Users\WinUser04\Desktop\Eignungstest_Schnupperlehre.pdf - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002176 _____ C:\Users\WinUser04\Desktop\Logo.jpg - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002167 _____ C:\Users\WinUser04\Desktop\Rezeptfälschung 130911.pdf - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002146 _____ C:\Users\WinUser04\Desktop\Preise07.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002083 _____ C:\Users\WinUser04\Desktop\ZH8015.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00002037 _____ C:\Users\WinUser04\Desktop\Logo.pdf - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00001581 _____ C:\Users\WinUser04\Desktop\Apoplus 3.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00001578 _____ C:\Users\WinUser04\Desktop\Apoplus8.xls - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:09 - 00001474 _____ C:\Users\WinUser04\Desktop\LV 2011 5.1.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00002111 _____ C:\Users\WinUser04\Desktop\Kontrolle im Alterszentrum Staffelhof - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001999 _____ C:\Users\WinUser04\Desktop\Defekt neu - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001996 _____ C:\Users\WinUser04\Desktop\Portraits - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001971 _____ C:\Users\WinUser04\Desktop\ab 01-10 - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001940 _____ C:\Users\WinUser04\Desktop\Installation - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001929 _____ C:\Users\WinUser04\Desktop\Allgemeines - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001926 _____ C:\Users\WinUser04\Desktop\Fotos 2011 - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001896 _____ C:\Users\WinUser04\Desktop\Merc03 - Verknüpfung.lnk
2015-09-20 22:08 - 2013-05-30 15:07 - 00001867 _____ C:\Users\WinUser04\Desktop\Apo - Verknüpfung.lnk
2015-09-20 06:15 - 2015-01-28 18:06 - 00000542 _____ C:\Windows\Tasks\sunday0615.job
2015-09-19 07:58 - 2015-01-28 18:06 - 00003826 _____ C:\Windows\System32\Tasks\sunday0615
2015-09-18 16:01 - 2013-08-25 14:36 - 522634136 _____ C:\Windows\MEMORY.DMP
2015-09-18 16:01 - 2013-08-25 14:36 - 00000000 ____D C:\Windows\Minidump
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2015-09-06 16:55 - 2013-05-06 13:15 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\WinUser04\uninstall.bat
C:\Users\WinUser04\uninstallFull.bat


Einige Dateien in TEMP:
====================
C:\Users\admin.DW620003\AppData\Local\Temp\xmlUpdater.exe
C:\Users\WinUser04\AppData\Local\Temp\InitBDE.exe
C:\Users\WinUser04\AppData\Local\Temp\_is1A34.exe
C:\Users\WinUser04\AppData\Local\Temp\_is1D44.exe


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-09-21 12:28

==================== Ende von FRST.txt ============================

Addition.txt

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:27-09-2015 01
durchgeführt von WinUser04 (2015-09-30 12:39:08)
Gestartet von C:\Users\WinUser04\Desktop
Windows 7 Ultimate Service Pack 1 (X64) (2013-05-22 14:55:23)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-2469412034-1373638886-3076483541-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-2469412034-1373638886-3076483541-500 - Administrator - Disabled)
Gast (S-1-5-21-2469412034-1373638886-3076483541-501 - Limited - Disabled)
NetAgent (S-1-5-21-2469412034-1373638886-3076483541-1002 - Administrator - Enabled) => C:\Users\NetAgent
offlineuser (S-1-5-21-2469412034-1373638886-3076483541-1001 - Administrator - Enabled)
SophosSAUWW620003100 (S-1-5-21-2469412034-1373638886-3076483541-1008 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Sophos Anti-Virus (Enabled - Up to date) {6BABF8F7-3EB6-BD1D-9167-8C5ECA060A29}
AS: Sophos Anti-Virus (Enabled - Up to date) {D0CA1913-188C-B293-ABD7-B72CB1814094}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Flash Player 19 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 19.0.0.185 - Adobe Systems Incorporated)
Adobe Reader X (10.1.0) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.0 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
Brother Driver Deployment Wizard (HKLM-x32\...\{0ED38503-B69A-44B4-98BE-21BFF284A9B6}) (Version: 1.09.000 - Brother)
Brother MFL-Pro Suite MFC-9465CDN (HKLM-x32\...\{979742CC-2CBB-49D8-9BEE-C2F7875F5393}) (Version: 1.0.21.0 - Brother Industries, Ltd.)
D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
EPSON Advanced Printer Driver 4 (HKLM-x32\...\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}) (Version: 4.12.0006 - EPSON)
EPSON APD4 Point and Print Support (x32 Version: 4.12.0005 - EPSON) Hidden
Fotogalerie (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Junk Mail filter update (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version:  - Microsoft)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.6029.1000 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40728.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation)
Movie Maker (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
MSXML 4.0 SP3 Parser (HKLM-x32\...\{196467F1-C11F-4F76-858B-5812ADC83B94}) (Version: 4.30.2100.0 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
SII 6.8  Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal) (HKLM-x32\...\SLABCOMM&10C4&EA60) (Version:  - )
Silicon Laboratories CP210x VCP Drivers for Windows 7 (HKLM-x32\...\{C3AB24D0-CC76-43BC-B1DC-A53D92BBC0EF}) (Version: 5.40.24 - Silicon Laboratories, Inc.)
Sophos Anti-Virus (HKLM-x32\...\{D929B3B5-56C6-46CC-B3A3-A1A784CBB8E4}) (Version: 10.3.15 - Sophos Limited)
Sophos AutoUpdate (HKLM-x32\...\{7CD26A0C-9B59-4E84-B5EE-B386B2F7AA16}) (Version: 4.3.10.27 - Sophos Limited)
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
TMFlogo Utility Ver.2.60E (HKLM-x32\...\{6A8CEE0F-3990-4B24-B69F-2EA67731A05F}) (Version: 1.01.0000 - SEIKO EPSON Corporation)
Tropimed (C:\Users\WinUser04) (HKLM-x32\...\Tropimed) (Version: 7.0.0.0 - Astral inc.)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 16.4.3528.0331 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

17-09-2015 00:29:49 Removed Adobe Acrobat Reader DC - Deutsch.
17-09-2015 00:52:26 Removed Adobe Acrobat Reader DC - Deutsch.
17-09-2015 01:00:03 Removed Adobe Reader XI (11.0.10) - Deutsch.
20-09-2015 22:06:17 Windows Update
25-09-2015 20:28:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:08:24 Windows Modules Installer
28-09-2015 09:20:39 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:33:35 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:11:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:19:57 Installed Adobe Reader X (10.1.0) - Deutsch.

==================== Hosts Inhalt: ==========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2013-05-06 13:05 - 00000945 ____A C:\Windows\system32\Drivers\etc\hosts
192.168.224.1	srvprep toolkit
192.168.224.5	wiki
192.168.224.41	susepxe
192.168.224.51  nasprep
192.168.220.200	wds


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {3898DBB5-1914-42F5-9C77-6EEAC03589CD} - System32\Tasks\{4B581A4B-1B2A-460F-9363-0A35B0C55C34} => pcalua.exe -a E:\setup-4.7.exe -d E:\
Task: {A4A13DE8-7075-4F2D-858C-4447A3E6A803} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {CD52159F-3E0A-4F59-B3AF-8AA74808F90C} - System32\Tasks\sunday0615 => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-01-28] (Sophos Limited)
Task: {F75EBF41-9566-476D-850B-81C0424795A4} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-09-22] (Adobe Systems Incorporated)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\sunday0615.job => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-05-23 09:40 - 2009-11-03 16:43 - 00072704 _____ () C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
2013-05-23 09:40 - 2009-11-03 16:43 - 00036864 _____ () C:\Program Files\Pharmatic\Scheduler\phOSSchedulerLib.dll
2013-06-07 21:06 - 2010-03-16 01:18 - 00143360 ____R () C:\Windows\system32\BrSNMP64.dll
2012-12-14 02:42 - 2012-12-14 02:42 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2013-06-07 21:06 - 2005-02-02 13:38 - 00024576 ____N () C:\Program Files (x86)\Brother\Brmfl10e\brrunpp.dll
2013-06-07 21:06 - 2009-02-27 16:38 - 00139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SAVService => ""="service"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ovan.ch -> hxxps://ovan.ch


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 10.101.103.11 - 10.101.103.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 0)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{6447756E-FDEE-4B7F-BF03-990A9293DD46}] => (Allow) LPort=6160
FirewallRules: [{4E146F4C-1203-4834-A66A-C906A25ADEBD}] => (Allow) LPort=6129
FirewallRules: [{7BD5021B-0FDF-404B-8F9B-B257DA457500}] => (Allow) LPort=6129
FirewallRules: [{BCD002F4-9032-411D-B6F3-CFD621370B76}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{329D07ED-0282-4E7E-A21B-923CFE90AB41}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{D9F49703-9CDB-457F-8D8C-D7D4A42A946D}] => (Allow) LPort=54925
FirewallRules: [{931358B0-7C13-4520-95B3-711A9FA2C076}] => (Allow) C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{3CA16C5C-A765-4DA3-847E-AD98E8EC50D8}] => (Allow) LPort=2869
FirewallRules: [{1E57CCFE-0C27-46DD-A060-AD4823593460}] => (Allow) LPort=1900

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (09/30/2015 01:26:10 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/29/2015 07:41:00 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/29/2015 08:00:46 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 11:49:39 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 11:15:56 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 09:36:26 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 09:28:56 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 09:16:56 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/28/2015 07:56:15 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/27/2015 05:42:46 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (09/30/2015 12:38:59 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (09/30/2015 12:37:58 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (09/30/2015 01:25:30 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (09/30/2015 01:24:28 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (09/29/2015 07:40:20 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (09/29/2015 07:39:18 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (09/29/2015 08:00:07 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (09/29/2015 07:59:05 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (09/28/2015 11:49:00 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (09/28/2015 11:47:58 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
Prozentuale Nutzung des RAM: 21%
Installierter physikalischer RAM: 7129.15 MB
Verfügbarer physikalischer RAM: 5572.81 MB
Summe virtueller Speicher: 14256.48 MB
Verfügbarer virtueller Speicher: 12585.48 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.69 GB) (Free:64.5 GB) NTFS
Drive e: (13 Jan 2010) (CDROM) (Total:0.07 GB) (Free:0 GB) CDFS
Drive m: (Data) (Network) (Total:180.81 GB) (Free:105.41 GB) NTFS
Drive n: (Data) (Network) (Total:180.81 GB) (Free:105.41 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 9DA35BCF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

M-K-D-B · 30.09.2015, 13:18

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Helveticus · 01.10.2015, 11:08

Hi Matthias

Vielen Dank für die Hilfe. Unten findest du die ComboFix.txt. Ich konnte Sophos nicht komplett beenden (aus Autostart nehmen ging auch nicht), daher habe ich einfach den Live-scan etc. ausgeschaltet, also so dass nichts mehr lief. Combofix hat auch nicht reklamiert. Combofix hat dann selber Sophos (und andere Prozesse) gekillt. Nach Neustart war aber alles wieder gut.

Code:

ATTFilter

ComboFix 15-09-25.01 - WinUser04 01.10.2015   0:05.1.8 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.41.1031.18.7129.5526 [GMT 2:00]
ausgeführt von:: c:\users\WinUser04\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Disabled/Updated* {6BABF8F7-3EB6-BD1D-9167-8C5ECA060A29}
SP: Sophos Anti-Virus *Disabled/Updated* {D0CA1913-188C-B293-ABD7-B72CB1814094}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.pol
.
.
(((((((((((((((((((((((   Dateien erstellt von 2015-08-28 bis 2015-09-30  ))))))))))))))))))))))))))))))
.
.
2015-09-30 22:08 . 2015-09-30 22:08	--------	d-----w-	c:\users\Default_ori_cust\AppData\Local\temp
2015-09-30 10:38 . 2015-09-30 10:39	--------	d-----w-	C:\FRST
2015-09-30 00:40 . 2015-09-30 00:40	--------	d-----w-	c:\users\WinUser04\AppData\Local\F-Secure
2015-09-30 00:19 . 2015-09-30 00:19	--------	d-----w-	c:\users\WinUser04\AppData\Local\Sophos
2015-09-28 09:03 . 2015-09-28 09:03	--------	d-----w-	c:\users\admin.DW620003\AppData\Local\CEF
2015-09-28 09:03 . 2015-09-28 09:03	--------	d-----w-	c:\users\admin.DW620003\AppData\Local\Adobe
2015-09-28 07:14 . 2013-10-14 16:00	28368	----a-w-	c:\windows\system32\IEUDINIT.EXE
2015-09-28 07:08 . 2015-09-28 07:08	878080	----a-w-	c:\windows\system32\advapi32.dll
2015-09-20 20:29 . 2015-09-20 20:29	--------	d-----w-	c:\users\WinUser04\AppData\Local\Programs
2015-09-09 11:24 . 2015-09-30 21:50	--------	d-----w-	c:\users\WinUser04\AppData\Roaming\capi9_32
2015-09-09 11:24 . 2015-09-09 11:24	--------	d-----w-	c:\users\NetAgent\AppData\Roaming\capi9_32
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-09-28 07:08 . 2015-09-28 07:08	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2015-09-22 06:27 . 2013-07-30 14:59	780488	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2015-09-22 06:27 . 2013-05-23 07:40	142536	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OfficeSyncProcess"="c:\program files (x86)\Microsoft Office\Office14\MSOSYNC.EXE" [2012-01-20 719672]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"ControlCenter4"="c:\program files (x86)\ControlCenter4\BrCcBoot.exe" [2010-10-22 139264]
"BrStsMon00"="c:\program files (x86)\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"Sophos AutoUpdate Monitor"="c:\program files (x86)\Sophos\AutoUpdate\almon.exe" [2015-08-28 1592104]
"DameWare MRC Agent"="c:\windows\SysWOW64\DWRCST.exe" [2009-02-04 78848]
.
c:\users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
FAXRX.lnk - c:\program files (x86)\Brother\Brmfl10e\FAXRX.exe -Net "MFC-9465CDN LAN" [2013-6-7 544768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
ActivClient Agent.lnk - c:\program files\ActivIdentity\ActivClient\acsagent.exe [2009-6-3 164904]
AlarmMonitor Agent.lnk - c:\program files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe [2013-5-23 297472]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"EnableInstallerDetection"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableVirtualization"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"disablecad"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)
"QuickLaunchEnabled"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
"AppInit_DLLs"=c:\progra~2\Sophos\SOPHOS~1\sophos_detoured.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 EPSON TM Parallel Port Driver;EPSON TM Parallel Port Driver;c:\windows\system32\drivers\tmlpt.sys;c:\windows\SYSNATIVE\drivers\tmlpt.sys [x]
R2 swi_update_64;Sophos Web Intelligence Update;c:\programdata\Sophos\Web Intelligence\swi_update_64.exe;c:\programdata\Sophos\Web Intelligence\swi_update_64.exe [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 IFCoEMP;IFCoEMP;c:\windows\system32\drivers\ifM60x64.sys;c:\windows\SYSNATIVE\drivers\ifM60x64.sys [x]
R3 IFCoEVB;IFCoEVB;c:\windows\system32\drivers\ifP60X64.sys;c:\windows\SYSNATIVE\drivers\ifP60X64.sys [x]
R3 ISCT;Intel(R) Smart Connect Technology Device Driver;c:\windows\system32\drivers\ISCTD64.sys;c:\windows\SYSNATIVE\drivers\ISCTD64.sys [x]
R3 iusb3hub;Intel(R) USB 3.0 Hub Driver;c:\windows\system32\drivers\iusb3hub.sys;c:\windows\SYSNATIVE\drivers\iusb3hub.sys [x]
R3 iusb3xhc;Intel(R) USB 3.0 eXtensible Host Controller Driver;c:\windows\system32\drivers\iusb3xhc.sys;c:\windows\SYSNATIVE\drivers\iusb3xhc.sys [x]
R3 megasas2;megasas2;c:\windows\system32\drivers\megasas2.sys;c:\windows\SYSNATIVE\drivers\megasas2.sys [x]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys;c:\windows\SYSNATIVE\drivers\nusb3hub.sys [x]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys;c:\windows\SYSNATIVE\drivers\nusb3xhc.sys [x]
R3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\system32\drivers\nvstusb.sys;c:\windows\SYSNATIVE\drivers\nvstusb.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 risdxc;risdxc;c:\windows\system32\drivers\risdxc64.sys;c:\windows\SYSNATIVE\drivers\risdxc64.sys [x]
R3 sdcfilter;sdcfilter;c:\windows\system32\DRIVERS\sdcfilter.sys;c:\windows\SYSNATIVE\DRIVERS\sdcfilter.sys [x]
R3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\DRIVERS\silabenm.sys;c:\windows\SYSNATIVE\DRIVERS\silabenm.sys [x]
R3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\system32\DRIVERS\silabser.sys;c:\windows\SYSNATIVE\DRIVERS\silabser.sys [x]
R3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;c:\windows\system32\drivers\Synth3dVsc.sys;c:\windows\SYSNATIVE\drivers\Synth3dVsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys;c:\windows\SYSNATIVE\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 tsusbhub;Remote Deskotop USB Hub;c:\windows\system32\drivers\tsusbhub.sys;c:\windows\SYSNATIVE\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys;c:\windows\SYSNATIVE\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R4 SophosBootDriver;SophosBootDriver;c:\windows\system32\DRIVERS\SophosBootDriver.sys;c:\windows\SYSNATIVE\DRIVERS\SophosBootDriver.sys [x]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\drivers\iusb3hcs.sys;c:\windows\SYSNATIVE\drivers\iusb3hcs.sys [x]
S1 dwvkbd;DameWare Virtual Keyboard 64 bit Driver;c:\windows\system32\DRIVERS\dwvkbd64.sys;c:\windows\SYSNATIVE\DRIVERS\dwvkbd64.sys [x]
S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys;c:\windows\SYSNATIVE\DRIVERS\savonaccess.sys [x]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [x]
S2 AlarmMonitorService;AlarmMonitorService;c:\program files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe;c:\program files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [x]
S2 EpsonPuras;Epson Puras Service;c:\program files\EPSON\EPuras\EPuras.exe;c:\program files\EPSON\EPuras\EPuras.exe [x]
S2 EpsonPurasLog;Epson Puras Log Service;c:\program files\EPSON\EPuras\EPurasLog.exe;c:\program files\EPSON\EPuras\EPurasLog.exe [x]
S2 PhOsScheduler;Pharmatic OS Scheduler;c:\program files\Pharmatic\Scheduler\phOSScheduler.exe;c:\program files\Pharmatic\Scheduler\phOSScheduler.exe [x]
S2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe;c:\program files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [x]
S2 SAVService;Sophos Anti-Virus;c:\program files (x86)\Sophos\Sophos Anti-Virus\SavService.exe;c:\program files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [x]
S2 Sophos Web Control Service;Sophos Web Control Service;c:\program files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe;c:\program files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [x]
S2 swi_service;Sophos Web Intelligence Service;c:\program files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe;c:\program files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [x]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys;c:\windows\SYSNATIVE\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys;c:\windows\SYSNATIVE\DRIVERS\asmtxhci.sys [x]
S3 BrYNSvc;BrYNSvc;c:\program files (x86)\Browny02\BrYNSvc.exe;c:\program files (x86)\Browny02\BrYNSvc.exe [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 OxPCIeMf;OxPCIeMf;c:\windows\system32\DRIVERS\OxPCIeMf.sys;c:\windows\SYSNATIVE\DRIVERS\OxPCIeMf.sys [x]
S3 OxPCIeSer;OxPCIeSer;c:\windows\system32\DRIVERS\OxPCIeSer.sys;c:\windows\SYSNATIVE\DRIVERS\OxPCIeSer.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2015-09-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-30 06:27]
.
2015-09-20 c:\windows\Tasks\sunday0615.job
- c:\program files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-01-28 16:02]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Seagull Drivers"="ssdal_nc.exe startup" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-12-14 172144]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-12-14 399984]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-12-14 441968]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 196648]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 483880]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\progra~2\Sophos\SOPHOS~1\sophos_detoured_x64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.ch/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~3\Office14\EXCEL.EXE/3000
Trusted Zone: ofac.ch
Trusted Zone: ovan.ch
TCP: DhcpNameServer = 10.101.103.11 10.101.103.1
DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} - hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: {BF4D1B76-AEB1-47E8-8ACA-13465515C531} - hxxp://www.hpcsystem.ch/aims/CertifMgr-All.CAB
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-ISUSPM - c:\programdata\FLEXnet\Connect\11\ISUSPM.exe
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
AddRemove-Tropimed - c:\users\WinUser04\_Tropimed_installation\Change Tropimed Installation.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_19_0_0_185_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_19_0_0_185_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_19_0_0_185_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_19_0_0_185_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_19_0_0_185.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.19"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_19_0_0_185.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_19_0_0_185.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_19_0_0_185.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2015-10-01  00:09:28
ComboFix-quarantined-files.txt  2015-09-30 22:09
.
Vor Suchlauf: 17 Verzeichnis(se), 69'942'063'104 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 72'534'544'384 Bytes frei
.
- - End Of File - - BA194FD8F2D3172C47F48AA37F18480C
A36C5E4F47E84449FF07ED3517B43A31

M-K-D-B · 01.10.2015, 12:27

Servus,

Schritt 1
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei von AdwCleaner,
die Logdatei von MBAM,
die Logdatei von JRT,
die beiden neuen Logdateien von FRST.

Helveticus · 02.10.2015, 20:59

Hi Matthias

Beim ersten Schritt mit dem AdwCleaner gab es ein Problem. Es wurden einige Sachen erkannt (siehe Log unten), als ich dann auf Löschen geklickt habe, ist es bei "Bereinige Internetbrowser..." nicht mehr weitergegangen (siehe Screenshot). Ich habe 15min gewartet und dann AdwCleaner gekillt und den PC neu gestartet. Dann habe ich AdwCleaner erneut ausgeführt und es kam die Meldung, dass nichts mehr gefunden wurde.

Ich habe alle Schritte wie von dir beschrieben ausgeführt. Die Logs befinden sich unten. Ich habe am Schluss dann noch einmal einen Scan mit Sophos gemacht und es wurde dann ein Adware/PUA mit Namen NirCmd gefunden. Siehe Screenshot im Anhang. Es handelt sich dabei um C:\Windows\NIRCMD.exe. Ich denke aber, dass es sich dabei um einen Fehlalarm handelt. Eine Google suche sagte, dass es von Combofix kommt.

Code:

ATTFilter

# AdwCleaner v5.009 - Bericht erstellt am 02/10/2015 um 20:44:24
# Aktualisiert am 27/09/2015 von Xplode
# Datenbank : 2015-09-30.1 [Server]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (x64)
# Benutzername : WinUser04 - WW620003104
# Gestartet von : C:\Users\WinUser04\Desktop\AdwCleaner_5.009.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****

[-] Ordner Gelöscht : \\SW620003001\Common\Users Documents\Babylon
[!] Ordner Nicht Gelöscht : \\SW620003001\Common\Users Documents\Babylon
[!] Ordner Nicht Gelöscht : \\SW620003001\Common\Users Documents\Babylon
[!] Ordner Nicht Gelöscht : \\SW620003001\Common\Users Documents\Babylon

***** [ Dateien ] *****


***** [ Verknüpfungen ] *****


***** [ Geplante Tasks ] *****

[-] Task Gelöscht : Adobe Flash Player Updater

***** [ Registrierungsdatenbank ] *****

[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}
[-] Schlüssel Gelöscht : HKLM64\SOFTWARE\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}

***** [ Internetbrowser ] *****


*************************

:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 02.10.2015
Suchlaufzeit: 21:08
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.1.8.1057
Malware-Datenbank: v2015.10.02.07
Rootkit-Datenbank: v2015.09.22.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: WinUser04

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 532004
Abgelaufene Zeit: 5 Min., 39 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.6.4 (09.28.2015:1)
OS: Windows 7 Ultimate x64
Ran by WinUser04 on 02.10.2015 at 21:23:43.10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer



~~~ Files



~~~ Folders





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 02.10.2015 at 21:24:54.24
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:30-09-2015
durchgeführt von WinUser04 (Administrator) auf WW620003104 (02-10-2015 21:33:59)
Gestartet von C:\Users\WinUser04\Desktop
Geladene Profile: WinUser04 (Verfügbare Profile: Admin & NetAgent & Admin & WinUser04)
Platform: Windows 7 Ultimate Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Intel Corporation) C:\Windows\System32\hkcmd.exe
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPurasLog.exe
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPuras.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [acevents] => C:\Program Files\ActivIdentity\ActivClient\acevents.exe [196648 2009-06-03] (ActivIdentity)
HKLM\...\Run: [accrdsub] => C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe [483880 2009-06-03] (ActivIdentity)
HKLM\...\Run: [Seagull Drivers] => ssdal_nc.exe startup
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [ControlCenter4] => C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe [139264 2010-10-22] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2621440 2010-06-10] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [Sophos AutoUpdate Monitor] => C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe [1592104 2015-08-28] (Sophos Limited)
HKLM-x32\...\Run: [DameWare MRC Agent] => C:\Windows\SysWOW64\DWRCST.exe [78848 2009-02-04] (DameWare Development)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [OfficeSyncProcess] => C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [719672 2012-01-20] (Microsoft Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [QuickLaunchEnabled] 1
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured_x64.dll => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll [217672 2015-03-03] (Sophos Limited)
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured.dll => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured.dll [275352 2015-03-03] (Sophos Limited)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-23]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-23]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
Startup: C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FAXRX.lnk [2013-06-13]
ShortcutTarget: FAXRX.lnk -> C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe (Brother Industries Ltd.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Tcpip\Parameters: [DhcpNameServer] 10.101.103.11 10.101.103.1
Tcpip\..\Interfaces\{9466D0A5-B83B-4E7C-BEE1-13E50F0D2C40}: [DhcpNameServer] 10.101.103.11 10.101.103.1

Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
SearchScopes: HKU\S-1-5-21-749421615-2386836196-3283403883-1137 -> {45572F25-DA79-44B7-84EC-94D40B416F94} URL = hxxps://www.google.com/search?q={searchTerms}
BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2011-06-06] (Adobe Systems Incorporated)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2012-08-16] (Microsoft Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
DPF: HKLM-x32 {0F7A9297-7268-11D1-B81A-00A076C01B0A} hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
DPF: HKLM-x32 {BF4D1B76-AEB1-47E8-8ACA-13465515C531} hxxp://www.hpcsystem.ch/aims/CertifMgr-All.CAB

FireFox:
========
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2011-06-06] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
S2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
S3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
S2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 EpsonPuras; C:\Program Files\EPSON\EPuras\EPuras.exe [765952 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
R2 EpsonPurasLog; C:\Program Files\EPSON\EPuras\EPurasLog.exe [444928 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
S2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
S2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [288552 2015-01-28] (Sophos Limited)
S2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [208168 2015-03-03] (Sophos Limited)
S2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [340264 2015-08-28] (Sophos Limited)
S2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [341800 2015-03-03] (Sophos Limited)
S2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3274536 2015-03-03] (Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2065704 2015-03-03] (Sophos Limited)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S2 EPSON TM Parallel Port Driver; C:\Windows\system32\drivers\tmlpt.sys [21640 2010-07-01] (SEIKO EPSON CORPORATION)
S3 IFCoEMP; C:\Windows\system32\drivers\ifM60x64.sys [388368 2011-11-30] (Intel(R) Corporation)
S3 IFCoEVB; C:\Windows\system32\drivers\ifP60X64.sys [78096 2011-11-30] (Intel(R) Corporation)
S3 ISCT; C:\Windows\system32\drivers\ISCTD64.sys [46016 2012-08-24] ()
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-06-18] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [63704 2015-06-18] (Malwarebytes Corporation)
S3 megasas2; C:\Windows\system32\drivers\megasas2.sys [52008 2012-05-30] (LSI Corporation)
R3 OxPCIeMf; C:\Windows\System32\DRIVERS\OxPCIeMf.sys [62000 2009-09-24] (OEM)
R3 OxPCIeSer; C:\Windows\System32\DRIVERS\OxPCIeSer.sys [102960 2009-09-24] (OEM)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [158976 2015-01-28] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [38144 2015-01-28] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [27904 2015-01-28] (Sophos Limited)
U5 TMUSB; C:\Windows\System32\DRIVERS\TMUSB64.SYS [61088 2009-11-25] (SEIKO EPSON CORPORATION)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-02 21:33 - 2015-10-02 21:34 - 00014271 _____ C:\Users\WinUser04\Desktop\FRST.txt
2015-10-02 21:32 - 2015-10-02 21:32 - 02192384 _____ (Farbar) C:\Users\WinUser04\Desktop\FRST64.exe
2015-10-02 21:24 - 2015-10-02 21:24 - 00000709 _____ C:\Users\WinUser04\Desktop\JRT.txt
2015-10-02 21:17 - 2015-10-02 21:17 - 00001213 _____ C:\Users\WinUser04\Desktop\mbam.txt
2015-10-02 21:16 - 2015-10-02 20:44 - 00001303 _____ C:\Users\WinUser04\Desktop\AdwCleaner[C1].txt
2015-10-02 21:06 - 2015-10-02 21:25 - 00113880 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\ProgramData\Malwarebytes
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2015-10-02 21:05 - 2015-06-18 08:41 - 00109272 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-10-02 21:05 - 2015-06-18 08:41 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-10-02 21:05 - 2015-06-18 08:41 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-10-02 20:40 - 2015-10-02 21:00 - 00000000 ____D C:\AdwCleaner
2015-10-01 00:04 - 2015-10-01 00:09 - 00000000 ____D C:\Qoobox
2015-10-01 00:04 - 2015-10-01 00:08 - 00000000 ____D C:\Windows\erdnt
2015-10-01 00:04 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-10-01 00:04 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-10-01 00:04 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2015-09-30 12:38 - 2015-10-02 21:34 - 00000000 ____D C:\FRST
2015-09-30 02:40 - 2015-09-30 02:40 - 00000000 ____D C:\Users\WinUser04\AppData\Local\F-Secure
2015-09-30 02:19 - 2015-09-30 02:19 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Sophos
2015-09-28 11:20 - 2015-09-28 11:20 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
2015-09-28 11:20 - 2015-09-28 11:20 - 00002019 _____ C:\Users\Public\Desktop\Adobe Reader X.lnk
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\CEF
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\Adobe
2015-09-28 09:14 - 2013-10-14 18:00 - 00028368 _____ (Microsoft Corporation) C:\Windows\system32\IEUDINIT.EXE
2015-09-28 09:09 - 2015-09-28 09:09 - 24917504 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 19607040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 14404096 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 12829696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 06026240 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 04305920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02885632 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02426880 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02278912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02125824 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 02052608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 01950720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01545728 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01309696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00942592 _____ (Microsoft Corporation) C:\Windows\system32\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00940032 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00801280 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00720384 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00689152 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00664064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00645120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00584192 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00503808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00389840 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00342728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00247808 _____ (Microsoft Corporation) C:\Windows\system32\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00243200 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235520 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235008 _____ (Microsoft Corporation) C:\Windows\system32\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00233472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00208384 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00194048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00182272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00167424 _____ (Microsoft Corporation) C:\Windows\system32\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00151552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00147968 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00143872 _____ (Microsoft Corporation) C:\Windows\system32\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00139264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00131072 _____ (Microsoft Corporation) C:\Windows\system32\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00127488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00116736 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00111616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00101376 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00090112 _____ (Microsoft Corporation) C:\Windows\system32\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00083456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00081408 _____ (Microsoft Corporation) C:\Windows\system32\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077312 _____ (Microsoft Corporation) C:\Windows\system32\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00074240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00069120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00056832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048128 _____ (Microsoft Corporation) C:\Windows\system32\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00024576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00012800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 05549504 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03969472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03914176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 01903552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 01887232 _____ (Microsoft Corporation) C:\Windows\system32\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01732032 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01505280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01292192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00878080 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00859648 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00640512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00619520 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00497152 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 00327168 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00231424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2015-09-28 09:07 - 2015-09-28 09:14 - 00016937 _____ C:\Windows\IE11_main.log
2015-09-25 20:36 - 2015-09-25 20:36 - 00001167 _____ C:\Users\WinUser04\Desktop\A6T1_50 auf Sw620003001 - Verknüpfung.lnk
2015-09-21 20:14 - 2015-09-21 20:14 - 00000698 _____ C:\Users\WinUser04\Desktop\Mercator auf S.lnk
2015-09-20 22:06 - 2014-05-14 18:23 - 02477536 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00058336 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-09-20 22:06 - 2014-05-14 18:23 - 00044512 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll
2015-09-20 22:06 - 2014-05-14 18:21 - 02620928 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-09-20 22:06 - 2014-05-14 18:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2015-09-20 22:06 - 2014-05-14 18:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-09-20 22:06 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe
2015-09-18 16:01 - 2015-09-18 16:01 - 00262144 _____ C:\Windows\Minidump\091815-10015-01.dmp
2015-09-17 14:47 - 2015-09-17 14:47 - 00000230 _____ C:\Users\WinUser04\Desktop\PharmaWiki.url
2015-09-17 01:01 - 2015-09-28 11:20 - 00000000 ____D C:\Program Files (x86)\Adobe
2015-09-09 13:24 - 2015-10-02 21:08 - 00000000 ____D C:\Users\NetAgent\AppData\Roaming\capi9_32
2015-09-09 13:24 - 2015-09-30 23:50 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\capi9_32

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-02 21:24 - 2013-05-23 14:03 - 00000000 ____D C:\Users\WinUser04
2015-10-02 21:05 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-10-02 21:05 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-10-02 21:03 - 2013-05-30 16:40 - 00001682 _____ C:\Users\WinUser04\Desktop\daten auf dem server.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002517 _____ C:\Users\WinUser04\Desktop\Kontaktadressen_Industriepartner_2011_Jubiläumsbroschüren_Vorlage.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002468 _____ C:\Users\WinUser04\Desktop\KostenstellenrechnungMedikmente_Vorlage04_2004vom 10.05.05.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002422 _____ C:\Users\WinUser04\Desktop\layout.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002405 _____ C:\Users\WinUser04\Desktop\Bestellliste.doc - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002398 _____ C:\Users\WinUser04\Desktop\Anmeldeformular.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002394 _____ C:\Users\WinUser04\Desktop\rz_tp.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002268 _____ C:\Users\WinUser04\Desktop\110919_schweizerillustrierte_beratung.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002247 _____ C:\Users\WinUser04\Desktop\PS@libertymail.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002198 _____ C:\Users\WinUser04\Desktop\Eignungstest_Schnupperlehre.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002176 _____ C:\Users\WinUser04\Desktop\Logo.jpg - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002167 _____ C:\Users\WinUser04\Desktop\Rezeptfälschung 130911.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002146 _____ C:\Users\WinUser04\Desktop\Preise07.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002083 _____ C:\Users\WinUser04\Desktop\LU.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00002037 _____ C:\Users\WinUser04\Desktop\Logo.pdf - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00001596 _____ C:\Users\WinUser04\Desktop\hs_err_pid2824.log - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00001581 _____ C:\Users\WinUser04\Desktop\Apo.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00001578 _____ C:\Users\WinUser04\Desktop\Apo.xls - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:09 - 00001474 _____ C:\Users\WinUser04\Desktop\LV 2011 5.1.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00002111 _____ C:\Users\WinUser04\Desktop\Kontrolle im Alterszentrum Staffelhof - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001999 _____ C:\Users\WinUser04\Desktop\Defekt neu - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001996 _____ C:\Users\WinUser04\Desktop\Portraits - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001971 _____ C:\Users\WinUser04\Desktop\ab 01-10 - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001940 _____ C:\Users\WinUser04\Desktop\Installation - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001929 _____ C:\Users\WinUser04\Desktop\Allgemeines - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001926 _____ C:\Users\WinUser04\Desktop\Fotos 2011 - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001896 _____ C:\Users\WinUser04\Desktop\Merc03 - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-30 15:07 - 00001867 _____ C:\Users\WinUser04\Desktop\Apo - Verknüpfung.lnk
2015-10-02 21:03 - 2013-05-06 13:55 - 00737988 _____ C:\Windows\system32\perfh00C.dat
2015-10-02 21:03 - 2013-05-06 13:55 - 00732524 _____ C:\Windows\system32\perfh010.dat
2015-10-02 21:03 - 2013-05-06 13:55 - 00700168 _____ C:\Windows\system32\perfh007.dat
2015-10-02 21:03 - 2013-05-06 13:55 - 00148964 _____ C:\Windows\system32\perfc007.dat
2015-10-02 21:03 - 2013-05-06 13:55 - 00148850 _____ C:\Windows\system32\perfc00C.dat
2015-10-02 21:03 - 2013-05-06 13:55 - 00146346 _____ C:\Windows\system32\perfc010.dat
2015-10-02 21:03 - 2009-07-14 07:13 - 03386828 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-02 21:01 - 2013-05-22 16:57 - 01260297 _____ C:\Windows\WindowsUpdate.log
2015-10-02 20:58 - 2013-05-23 09:32 - 00000128 _____ C:\Windows\system32\config\netlogon.ftl
2015-10-02 20:58 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-10-02 20:58 - 2009-07-14 06:51 - 00072833 _____ C:\Windows\setupact.log
2015-10-02 20:27 - 2013-06-07 21:06 - 00000155 _____ C:\Windows\Brfaxrx.ini
2015-10-02 11:17 - 2013-06-07 21:07 - 00001330 _____ C:\Windows\BRCALIB.INI
2015-10-01 00:31 - 2010-11-21 05:47 - 00206462 _____ C:\Windows\PFRO.log
2015-10-01 00:08 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2015-09-30 23:51 - 2014-10-13 08:20 - 00000000 _____ C:\Windows\system32\vireng.log
2015-09-30 21:07 - 2014-02-22 11:00 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Windows Live
2015-09-30 18:20 - 2013-07-25 17:59 - 00024662 _____ C:\Windows\HeilogRecipe2006.ini
2015-09-30 18:20 - 2013-07-11 10:04 - 00000013 _____ C:\Windows\heilogCD.ini
2015-09-29 16:13 - 2013-05-30 13:23 - 00131954 _____ C:\Windows\SysWOW64\DesToolBarCfg.tb
2015-09-29 01:20 - 2013-05-30 22:59 - 00013030 _____ C:\PDOXUSRS.NET
2015-09-29 01:20 - 2013-05-30 22:59 - 00000032 _____ C:\Pdoxusrs.dat
2015-09-28 11:48 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache
2015-09-28 11:20 - 2013-05-23 09:39 - 00000000 ____D C:\ProgramData\Adobe
2015-09-28 11:03 - 2013-05-23 11:32 - 00000000 ____D C:\Users\admin.DW620003\AppData\Roaming\Adobe
2015-09-28 11:02 - 2013-05-23 09:35 - 00001421 _____ C:\Users\admin.DW620003\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 11:02 - 2013-05-23 09:35 - 00001188 __RSH C:\Users\admin.DW620003\ntuser.pol
2015-09-28 11:02 - 2013-05-23 09:35 - 00000000 ____D C:\Users\admin.DW620003
2015-09-28 09:38 - 2015-05-09 00:05 - 00003886 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2015-09-28 09:38 - 2013-05-30 13:28 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Adobe
2015-09-28 09:34 - 2013-05-23 09:40 - 00000000 ____D C:\Users\NetAgent
2015-09-28 09:15 - 2013-05-23 14:03 - 00001409 _____ C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 09:14 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\PolicyDefinitions
2015-09-25 20:37 - 2013-05-23 14:07 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\Adobe
2015-09-22 08:27 - 2013-07-30 16:59 - 00780488 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-09-22 08:27 - 2013-05-23 09:40 - 00142536 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-09-21 17:43 - 2013-07-25 17:59 - 00024731 _____ C:\Windows\HeilogRecipe2006.bak
2015-09-20 06:15 - 2015-01-28 18:06 - 00000542 _____ C:\Windows\Tasks\sunday0615.job
2015-09-19 07:58 - 2015-01-28 18:06 - 00003826 _____ C:\Windows\System32\Tasks\sunday0615
2015-09-18 16:01 - 2013-08-25 14:36 - 522634136 _____ C:\Windows\MEMORY.DMP
2015-09-18 16:01 - 2013-08-25 14:36 - 00000000 ____D C:\Windows\Minidump
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2015-09-06 16:55 - 2013-05-06 13:15 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\WinUser04\uninstall.bat
C:\Users\WinUser04\uninstallFull.bat


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-10-01 12:54

==================== Ende von FRST.txt ============================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:30-09-2015
durchgeführt von WinUser04 (2015-10-02 21:34:12)
Gestartet von C:\Users\WinUser04\Desktop
Windows 7 Ultimate Service Pack 1 (X64) (2013-05-22 14:55:23)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-2469412034-1373638886-3076483541-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-2469412034-1373638886-3076483541-500 - Administrator - Disabled)
Gast (S-1-5-21-2469412034-1373638886-3076483541-501 - Limited - Disabled)
NetAgent (S-1-5-21-2469412034-1373638886-3076483541-1002 - Administrator - Enabled) => C:\Users\NetAgent
offlineuser (S-1-5-21-2469412034-1373638886-3076483541-1001 - Administrator - Enabled)
SophosSAUWW620003100 (S-1-5-21-2469412034-1373638886-3076483541-1008 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Sophos Anti-Virus (Disabled - Up to date) {6BABF8F7-3EB6-BD1D-9167-8C5ECA060A29}
AS: Sophos Anti-Virus (Disabled - Up to date) {D0CA1913-188C-B293-ABD7-B72CB1814094}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Flash Player 19 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 19.0.0.185 - Adobe Systems Incorporated)
Adobe Reader X (10.1.0) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.0 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
Brother Driver Deployment Wizard (HKLM-x32\...\{0ED38503-B69A-44B4-98BE-21BFF284A9B6}) (Version: 1.09.000 - Brother)
Brother MFL-Pro Suite MFC-9465CDN (HKLM-x32\...\{979742CC-2CBB-49D8-9BEE-C2F7875F5393}) (Version: 1.0.21.0 - Brother Industries, Ltd.)
D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
EPSON Advanced Printer Driver 4 (HKLM-x32\...\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}) (Version: 4.12.0006 - EPSON)
EPSON APD4 Point and Print Support (x32 Version: 4.12.0005 - EPSON) Hidden
Fotogalerie (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Junk Mail filter update (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Malwarebytes Anti-Malware Version 2.1.8.1057 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.8.1057 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version:  - Microsoft)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.6029.1000 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40728.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation)
Movie Maker (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
MSXML 4.0 SP3 Parser (HKLM-x32\...\{196467F1-C11F-4F76-858B-5812ADC83B94}) (Version: 4.30.2100.0 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
SII 6.8  Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal) (HKLM-x32\...\SLABCOMM&10C4&EA60) (Version:  - )
Silicon Laboratories CP210x VCP Drivers for Windows 7 (HKLM-x32\...\{C3AB24D0-CC76-43BC-B1DC-A53D92BBC0EF}) (Version: 5.40.24 - Silicon Laboratories, Inc.)
Sophos Anti-Virus (HKLM-x32\...\{D929B3B5-56C6-46CC-B3A3-A1A784CBB8E4}) (Version: 10.3.15 - Sophos Limited)
Sophos AutoUpdate (HKLM-x32\...\{7CD26A0C-9B59-4E84-B5EE-B386B2F7AA16}) (Version: 4.3.10.27 - Sophos Limited)
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
TMFlogo Utility Ver.2.60E (HKLM-x32\...\{6A8CEE0F-3990-4B24-B69F-2EA67731A05F}) (Version: 1.01.0000 - SEIKO EPSON Corporation)
Tropimed (C:\Users\WinUser04) (HKLM-x32\...\Tropimed) (Version: 7.0.0.0 - Astral inc.)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 16.4.3528.0331 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

20-09-2015 22:06:17 Windows Update
25-09-2015 20:28:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:08:24 Windows Modules Installer
28-09-2015 09:20:39 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:33:35 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:11:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:19:57 Installed Adobe Reader X (10.1.0) - Deutsch.
01-10-2015 00:04:32 ComboFix created restore point
02-10-2015 21:23:43 JRT Pre-Junkware Removal

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2015-10-01 00:08 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {3898DBB5-1914-42F5-9C77-6EEAC03589CD} - System32\Tasks\{4B581A4B-1B2A-460F-9363-0A35B0C55C34} => pcalua.exe -a E:\setup-4.7.exe -d E:\
Task: {A4A13DE8-7075-4F2D-858C-4447A3E6A803} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {CD52159F-3E0A-4F59-B3AF-8AA74808F90C} - System32\Tasks\sunday0615 => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-01-28] (Sophos Limited)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\sunday0615.job => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-06-07 21:06 - 2010-03-16 01:18 - 00143360 ____R () C:\Windows\system32\BrSNMP64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SAVService => ""="service"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\ovan.ch -> hxxps://ovan.ch


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 10.101.103.11 - 10.101.103.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{6447756E-FDEE-4B7F-BF03-990A9293DD46}] => (Allow) LPort=6160
FirewallRules: [{4E146F4C-1203-4834-A66A-C906A25ADEBD}] => (Allow) LPort=6129
FirewallRules: [{7BD5021B-0FDF-404B-8F9B-B257DA457500}] => (Allow) LPort=6129
FirewallRules: [{BCD002F4-9032-411D-B6F3-CFD621370B76}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{329D07ED-0282-4E7E-A21B-923CFE90AB41}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{D9F49703-9CDB-457F-8D8C-D7D4A42A946D}] => (Allow) LPort=54925
FirewallRules: [{931358B0-7C13-4520-95B3-711A9FA2C076}] => (Allow) C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{3CA16C5C-A765-4DA3-847E-AD98E8EC50D8}] => (Allow) LPort=2869
FirewallRules: [{1E57CCFE-0C27-46DD-A060-AD4823593460}] => (Allow) LPort=1900

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/02/2015 09:30:25 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: IEXPLORE.EXE, Version: 11.0.9600.17840, Zeitstempel: 0x555fe1bb
Name des fehlerhaften Moduls: swi_ifslsp.dll, Version: 3.4.8.0, Zeitstempel: 0x54cb80ff
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00017930
ID des fehlerhaften Prozesses: 0xe34
Startzeit der fehlerhaften Anwendung: 0xIEXPLORE.EXE0
Pfad der fehlerhaften Anwendung: IEXPLORE.EXE1
Pfad des fehlerhaften Moduls: IEXPLORE.EXE2
Berichtskennung: IEXPLORE.EXE3

Error: (10/02/2015 09:30:11 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: iexplore.exe, Version: 11.0.9600.17840, Zeitstempel: 0x555f657e
Name des fehlerhaften Moduls: swi_ifslsp_64.dll, Version: 3.4.8.0, Zeitstempel: 0x54cb81ab
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000229d0
ID des fehlerhaften Prozesses: 0xf04
Startzeit der fehlerhaften Anwendung: 0xiexplore.exe0
Pfad der fehlerhaften Anwendung: iexplore.exe1
Pfad des fehlerhaften Moduls: iexplore.exe2
Berichtskennung: iexplore.exe3

Error: (10/02/2015 09:00:17 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/02/2015 08:57:58 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm AdwCleaner_5.009.exe, Version 5.0.0.9 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c54

Startzeit: 01d0fd41186bab81

Endzeit: 0

Anwendungspfad: C:\Users\WinUser04\Desktop\AdwCleaner_5.009.exe

Berichts-ID:

Error: (10/02/2015 08:28:17 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/02/2015 11:14:13 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/01/2015 07:57:38 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/01/2015 12:33:13 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/30/2015 11:53:19 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (09/30/2015 12:39:40 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (10/02/2015 09:24:05 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "BrYNSvc" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Epson Puras Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Live ID Sign-in Assistant" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Pharmatic OS Scheduler" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Epson Puras Log Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "DameWare Mini Remote Control" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "AlarmMonitorService" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 09:24:04 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "ActivIdentity Shared Store Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/02/2015 08:59:37 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)


CodeIntegrity:
===================================
  Date: 2015-10-01 00:07:57.922
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2015-10-01 00:07:57.891
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
Prozentuale Nutzung des RAM: 19%
Installierter physikalischer RAM: 7129.15 MB
Verfügbarer physikalischer RAM: 5741.54 MB
Summe virtueller Speicher: 14256.48 MB
Verfügbarer virtueller Speicher: 12879.63 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.69 GB) (Free:67.23 GB) NTFS
Drive e: (13 Jan 2010) (CDROM) (Total:0.07 GB) (Free:0 GB) CDFS
Drive m: (Data) (Network) (Total:180.81 GB) (Free:101.41 GB) NTFS
Drive n: (Data) (Network) (Total:180.81 GB) (Free:101.41 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 9DA35BCF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

M-K-D-B · 03.10.2015, 09:53

Servus,

ja, das ist ein Fehlalarm von Sophos.

Wir entfernen noch die letzten Reste und kontrollieren anschließend nochmal alles, damit dein Rechner auch sauber ist.
Hinweis: Die Suchläufe mit EEK und ESET können länger dauern.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
C:\Users\NetAgent\AppData\Roaming\capi9_32
C:\Users\NetAgent\AppData\Roaming\avrtCore.dll
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

Starte die HitmanPro.exe
Klicke auf
Entferne den Haken bei
Klicke auf
und
Akzeptiere die Lizenzbedingungen und klicke auf
Klicke auf

und auf
Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
und speichere die Logdatei auf Deinem Desktop.
Schließe HitmanPro und poste mir das Log.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von HitmanPro,
die Logdatei von ESET.

Helveticus · 03.10.2015, 17:18

Hallo Matthias

Vielen Dank für die Hilfe. Hitman und Eset haben noch etwas gefunden. Hier sind die logs:

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:03-10-2015
durchgeführt von WinUser04 (2015-10-03 17:43:44) Run:1
Gestartet von C:\Users\WinUser04\Desktop
Geladene Profile: NetAgent & WinUser04 (Verfügbare Profile: Admin & NetAgent & Admin & WinUser04)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
C:\Users\NetAgent\AppData\Roaming\capi9_32
C:\Users\NetAgent\AppData\Roaming\avrtCore.dll
EmptyTemp:
end
*****************

Prozess erfolgreich geschlossen.
C:\Users\NetAgent\AppData\Roaming\capi9_32 => erfolgreich verschoben
"C:\Users\NetAgent\AppData\Roaming\avrtCore.dll" => Datei/Ordner nicht gefunden.
EmptyTemp: => 302.1 MB temporäre Dateien entfernt.


Das System musste neu gestartet werden.. 

==== Ende von Fixlog 17:43:46 ====

Code:

ATTFilter


	Code: 

 ATTFilter

  
	HitmanPro 3.7.9.246
www.hitmanpro.com

   Computer name . . . . : WW620003104
   Windows . . . . . . . : 6.1.1.7601.X64/8
   User name . . . . . . : DW620003\WinUser04
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2015-10-03 17:48:01
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 38s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 1

   Objects scanned . . . : 1'819'620
   Files scanned . . . . : 35'749
   Remnants scanned  . . : 312'653 files / 1'471'218 keys

Suspicious files ____________________________________________________________

   C:\Windows\PEV.exe
      Size . . . . . . . : 256'000 bytes
      Age  . . . . . . . : 2.7 days (2015-10-01 00:04:31)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : AE0F5CC54E4B133DF66A54572A7CE52FAFF11F8FD0CAEAB088AAD3699D6EC924
      Fuzzy  . . . . . . : 22.0
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The .rsrc (resources) section in this program is set to executable. This is an indication of malware infection.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
         Program contains PE structure anomalies. This is not typical for most programs.
      Forensic Cluster
         -9.8s C:\Qoobox\Quarantine\Registry_backups\
         -9.8s C:\Qoobox\
         -9.8s C:\Qoobox\Quarantine\
         -1.2s C:\Qoobox\BackEnv\
         -1.2s C:\Qoobox\Quarantine\catchme.log
          0.0s C:\Windows\SWXCACLS.exe
          0.0s C:\Windows\SWSC.exe
          0.0s C:\Windows\sed.exe
          0.0s C:\Windows\grep.exe
          0.0s C:\Windows\zip.exe
          0.0s C:\Windows\SWREG.exe
          0.0s C:\Windows\PEV.exe
          0.0s C:\Windows\NIRCMD.exe
          0.0s C:\Windows\MBR.exe

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d862401bf8bb5642b92d2c9828bc9aa4
# end=init
# utc_time=2015-10-03 03:53:36
# local_time=2015-10-03 05:53:36 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 26063
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=d862401bf8bb5642b92d2c9828bc9aa4
# end=updated
# utc_time=2015-10-03 03:58:44
# local_time=2015-10-03 05:58:44 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=d862401bf8bb5642b92d2c9828bc9aa4
# engine=26063
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-10-03 04:11:23
# local_time=2015-10-03 06:11:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 309706 195518533 0 0
# compatibility_mode_1='Sophos Anti-Virus'
# compatibility_mode=8450 16777214 100 99 11671 21431359 0 0
# scanned=179770
# found=1
# cleaned=0
# scan_time=758
sh=15350E0DDCC2C352E9ED3705DCC7E6CEE041AF43 ft=1 fh=2af5be2020d33519 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\SW620003001\Common\Users Documents\Babylon\Babylon8_setup.exe.vir"

M-K-D-B · 03.10.2015, 21:30

Servus,

bei den Funden handelt es sich entweder um Fehlalarme oder Dateien, die bereits in der Quarantäne sind.

Schritt 1
Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Schritt 2

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei desSecurityCheck,
die beiden neuen Logdateien von FRST.

Helveticus · 04.10.2015, 23:30

Hi Matthias

Hier sind die Logdateien:

Code:

ATTFilter

 Results of screen317's Security Check version 1.008  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Sophos Anti-Virus   
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
````````Process Check: objlist.exe by Laurent````````  
 Sophos Sophos Anti-Virus SavService.exe  
 Sophos Sophos Anti-Virus SAVAdminService.exe  
 Sophos Sophos Anti-Virus Web Control swc_service.exe 
 Sophos Sophos Anti-Virus Web Intelligence swi_service.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:04-10-2015
durchgeführt von WinUser04 (Administrator) auf WW620003104 (05-10-2015 00:26:03)
Gestartet von C:\Users\WinUser04\Desktop
Geladene Profile: NetAgent & WinUser04 (Verfügbare Profile: Admin & NetAgent & Admin & WinUser04)
Platform: Windows 7 Ultimate Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(ActivIdentity) C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
(DameWare Development LLC) C:\Windows\SysWOW64\DWRCS.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPurasLog.exe
() C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPuras.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(DameWare Development) C:\Windows\SysWOW64\DWRCST.EXE
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acsagent.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe
(Brother Industries Ltd.) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [acevents] => C:\Program Files\ActivIdentity\ActivClient\acevents.exe [196648 2009-06-03] (ActivIdentity)
HKLM\...\Run: [accrdsub] => C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe [483880 2009-06-03] (ActivIdentity)
HKLM\...\Run: [Seagull Drivers] => ssdal_nc.exe startup
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [ControlCenter4] => C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe [139264 2010-10-22] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2621440 2010-06-10] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [Sophos AutoUpdate Monitor] => C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe [1592104 2015-08-28] (Sophos Limited)
HKLM-x32\...\Run: [DameWare MRC Agent] => C:\Windows\SysWOW64\DWRCST.exe [78848 2009-02-04] (DameWare Development)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {0d0d1f3f-c2ef-11e2-bde6-806e6f6e6963} - E:\start.exe
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {9bb6793f-c947-11e2-bc40-c8600085c111} - "D:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [OfficeSyncProcess] => C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [719672 2012-01-20] (Microsoft Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [QuickLaunchEnabled] 1
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured_x64.dll => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll [217672 2015-03-03] (Sophos Limited)
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured.dll => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured.dll [275352 2015-03-03] (Sophos Limited)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-23]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-23]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
Startup: C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FAXRX.lnk [2013-06-13]
ShortcutTarget: FAXRX.lnk -> C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe (Brother Industries Ltd.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [126760 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Winsock: Catalog9-x64 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [173864 2015-01-28] (Sophos Limited)
Tcpip\Parameters: [DhcpNameServer] 10.101.103.11 10.101.103.1
Tcpip\..\Interfaces\{9466D0A5-B83B-4E7C-BEE1-13E50F0D2C40}: [DhcpNameServer] 10.101.103.11 10.101.103.1

Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
SearchScopes: HKU\S-1-5-21-749421615-2386836196-3283403883-1137 -> {45572F25-DA79-44B7-84EC-94D40B416F94} URL = hxxps://www.google.com/search?q={searchTerms}
BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2012-08-16] (Microsoft Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
DPF: HKLM-x32 {0F7A9297-7268-11D1-B81A-00A076C01B0A} hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
DPF: HKLM-x32 {BF4D1B76-AEB1-47E8-8ACA-13465515C531} hxxp://www.hpcsystem.ch/aims/CertifMgr-All.CAB

FireFox:
========
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-07-03] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
R2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 EpsonPuras; C:\Program Files\EPSON\EPuras\EPuras.exe [765952 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
R2 EpsonPurasLog; C:\Program Files\EPSON\EPuras\EPurasLog.exe [444928 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
R2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [288552 2015-01-28] (Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [208168 2015-03-03] (Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [340264 2015-08-28] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [341800 2015-03-03] (Sophos Limited)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3274536 2015-03-03] (Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2065704 2015-03-03] (Sophos Limited)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S2 EPSON TM Parallel Port Driver; C:\Windows\system32\drivers\tmlpt.sys [21640 2010-07-01] (SEIKO EPSON CORPORATION)
S3 IFCoEMP; C:\Windows\system32\drivers\ifM60x64.sys [388368 2011-11-30] (Intel(R) Corporation)
S3 IFCoEVB; C:\Windows\system32\drivers\ifP60X64.sys [78096 2011-11-30] (Intel(R) Corporation)
S3 ISCT; C:\Windows\system32\drivers\ISCTD64.sys [46016 2012-08-24] ()
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-06-18] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [63704 2015-06-18] (Malwarebytes Corporation)
S3 megasas2; C:\Windows\system32\drivers\megasas2.sys [52008 2012-05-30] (LSI Corporation)
R3 OxPCIeMf; C:\Windows\System32\DRIVERS\OxPCIeMf.sys [62000 2009-09-24] (OEM)
R3 OxPCIeSer; C:\Windows\System32\DRIVERS\OxPCIeSer.sys [102960 2009-09-24] (OEM)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [158976 2015-01-28] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [38144 2015-01-28] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [27904 2015-01-28] (Sophos Limited)
U5 TMUSB; C:\Windows\System32\DRIVERS\TMUSB64.SYS [61088 2009-11-25] (SEIKO EPSON CORPORATION)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-05 00:26 - 2015-10-05 00:26 - 00016878 _____ C:\Users\WinUser04\Desktop\FRST.txt
2015-10-05 00:25 - 2015-10-05 00:25 - 02193920 _____ (Farbar) C:\Users\WinUser04\Desktop\FRST64.exe
2015-10-05 00:23 - 2015-10-05 00:23 - 00000863 _____ C:\Users\WinUser04\Desktop\checkup.txt
2015-10-05 00:20 - 2015-10-05 00:20 - 00852704 _____ C:\Users\WinUser04\Desktop\SecurityCheck.exe
2015-10-03 18:23 - 2015-10-03 18:23 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2015-10-03 18:23 - 2015-10-03 18:23 - 00002047 _____ C:\Users\Public\Desktop\Acrobat Reader DC.lnk
2015-10-03 18:23 - 2015-10-03 18:23 - 00000000 ____D C:\Program Files (x86)\Adobe
2015-10-03 17:46 - 2015-10-03 17:48 - 00000000 ____D C:\ProgramData\HitmanPro
2015-10-02 21:06 - 2015-10-02 21:25 - 00113880 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\ProgramData\Malwarebytes
2015-10-02 21:05 - 2015-10-02 21:05 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2015-10-02 21:05 - 2015-06-18 08:41 - 00109272 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-10-02 21:05 - 2015-06-18 08:41 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-10-02 21:05 - 2015-06-18 08:41 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-10-02 20:40 - 2015-10-02 21:00 - 00000000 ____D C:\AdwCleaner
2015-10-01 00:04 - 2015-10-01 00:09 - 00000000 ____D C:\Qoobox
2015-10-01 00:04 - 2015-10-01 00:08 - 00000000 ____D C:\Windows\erdnt
2015-10-01 00:04 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2015-10-01 00:04 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2015-10-01 00:04 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2015-10-01 00:04 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2015-09-30 12:38 - 2015-10-05 00:26 - 00000000 ____D C:\FRST
2015-09-30 02:40 - 2015-09-30 02:40 - 00000000 ____D C:\Users\WinUser04\AppData\Local\F-Secure
2015-09-30 02:19 - 2015-09-30 02:19 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Sophos
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\LocalLow\Adobe
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\CEF
2015-09-28 11:03 - 2015-09-28 11:03 - 00000000 ____D C:\Users\admin.DW620003\AppData\Local\Adobe
2015-09-28 09:14 - 2013-10-14 18:00 - 00028368 _____ (Microsoft Corporation) C:\Windows\system32\IEUDINIT.EXE
2015-09-28 09:09 - 2015-09-28 09:09 - 24917504 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 19607040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 14404096 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 12829696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 06026240 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 04305920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02885632 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2015-09-28 09:09 - 2015-09-28 09:09 - 02426880 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02278912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 02125824 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 02052608 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2015-09-28 09:09 - 2015-09-28 09:09 - 01950720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01545728 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01309696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00942592 _____ (Microsoft Corporation) C:\Windows\system32\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00940032 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00816640 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00801280 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00720384 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00689152 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00664064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00645120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsIntl.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00616104 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dat
2015-09-28 09:09 - 2015-09-28 09:09 - 00584192 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00503808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00417792 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00389840 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00342728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00341504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\html.iec
2015-09-28 09:09 - 2015-09-28 09:09 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00247808 _____ (Microsoft Corporation) C:\Windows\system32\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00243200 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235520 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00235008 _____ (Microsoft Corporation) C:\Windows\system32\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00233472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00208384 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00194048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\elshyph.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00182272 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msls31.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00167424 _____ (Microsoft Corporation) C:\Windows\system32\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00151552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iexpress.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00147968 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00143872 _____ (Microsoft Corporation) C:\Windows\system32\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00139264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wextract.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00131072 _____ (Microsoft Corporation) C:\Windows\system32\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00127488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\occache.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00116736 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iepeers.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00111616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\IEAdvpack.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00101376 _____ (Microsoft Corporation) C:\Windows\system32\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00090112 _____ (Microsoft Corporation) C:\Windows\system32\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00083456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inseng.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00081408 _____ (Microsoft Corporation) C:\Windows\system32\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00077312 _____ (Microsoft Corporation) C:\Windows\system32\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00074240 _____ (Microsoft Corporation) C:\Windows\SysWOW64\SetIEInstalledDate.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00069120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\icardie.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdc.ocx
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00056832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\pngfilt.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\mshtmler.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00048128 _____ (Microsoft Corporation) C:\Windows\system32\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedsbs.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00036352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\imgutil.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00024576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\licmgr10.dll
2015-09-28 09:09 - 2015-09-28 09:09 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00012800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeedssync.exe
2015-09-28 09:09 - 2015-09-28 09:09 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 05549504 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03969472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 03914176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 01903552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 01887232 _____ (Microsoft Corporation) C:\Windows\system32\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01732032 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01505280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 01292192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00878080 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00859648 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00640512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\advapi32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00619520 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tdh.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00497152 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2015-09-28 09:08 - 2015-09-28 09:08 - 00327168 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\wow64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00231424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mswsock.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00025600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00014336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00007680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2015-09-28 09:08 - 2015-09-28 09:08 - 00005120 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2015-09-28 09:08 - 2015-09-28 09:08 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2015-09-28 09:07 - 2015-09-28 09:14 - 00016937 _____ C:\Windows\IE11_main.log
2015-09-25 20:36 - 2015-09-25 20:36 - 00001167 _____ C:\Users\WinUser04\Desktop\A6T1_50 auf Sw620003001 - Verknüpfung.lnk
2015-09-21 20:14 - 2015-09-21 20:14 - 00000698 _____ C:\Users\WinUser04\Desktop\Mercator auf S.lnk
2015-09-20 22:06 - 2014-05-14 18:23 - 02477536 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00058336 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-09-20 22:06 - 2014-05-14 18:23 - 00044512 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2015-09-20 22:06 - 2014-05-14 18:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll
2015-09-20 22:06 - 2014-05-14 18:21 - 02620928 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-09-20 22:06 - 2014-05-14 18:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2015-09-20 22:06 - 2014-05-14 18:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll
2015-09-20 22:06 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-09-20 22:06 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe
2015-09-18 16:01 - 2015-09-18 16:01 - 00262144 _____ C:\Windows\Minidump\091815-10015-01.dmp
2015-09-17 14:47 - 2015-09-17 14:47 - 00000230 _____ C:\Users\WinUser04\Desktop\PharmaWiki.url
2015-09-09 13:24 - 2015-09-30 23:50 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\capi9_32

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-05 00:25 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-10-05 00:25 - 2009-07-14 06:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-10-05 00:24 - 2013-05-06 13:55 - 00737988 _____ C:\Windows\system32\perfh00C.dat
2015-10-05 00:24 - 2013-05-06 13:55 - 00732524 _____ C:\Windows\system32\perfh010.dat
2015-10-05 00:24 - 2013-05-06 13:55 - 00700168 _____ C:\Windows\system32\perfh007.dat
2015-10-05 00:24 - 2013-05-06 13:55 - 00148964 _____ C:\Windows\system32\perfc007.dat
2015-10-05 00:24 - 2013-05-06 13:55 - 00148850 _____ C:\Windows\system32\perfc00C.dat
2015-10-05 00:24 - 2013-05-06 13:55 - 00146346 _____ C:\Windows\system32\perfc010.dat
2015-10-05 00:24 - 2009-07-14 07:13 - 03386828 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-05 00:21 - 2013-05-22 16:57 - 01310922 _____ C:\Windows\WindowsUpdate.log
2015-10-05 00:18 - 2013-05-23 09:32 - 00000128 _____ C:\Windows\system32\config\netlogon.ftl
2015-10-05 00:18 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-10-05 00:18 - 2009-07-14 06:51 - 00073169 _____ C:\Windows\setupact.log
2015-10-04 19:55 - 2013-06-07 21:06 - 00000155 _____ C:\Windows\Brfaxrx.ini
2015-10-04 19:54 - 2010-11-21 05:47 - 00208442 _____ C:\Windows\PFRO.log
2015-10-03 18:23 - 2015-05-09 00:05 - 00003886 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2015-10-03 18:23 - 2013-05-30 13:28 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Adobe
2015-10-03 18:22 - 2013-05-30 15:09 - 00002422 _____ C:\Users\WinUser04\Desktop\layout.pdf - Verknüpfung.lnk
2015-10-03 17:43 - 2013-06-25 09:35 - 00000000 ____D C:\Users\WinUser04\AppData\LocalLow\Temp
2015-10-03 10:34 - 2013-06-07 21:07 - 00001330 _____ C:\Windows\BRCALIB.INI
2015-10-02 21:57 - 2013-05-30 16:40 - 00001682 _____ C:\Users\WinUser04\Desktop\daten auf dem server.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002517 _____ C:\Users\WinUser04\Desktop\Kontaktadressen_Industriepartner_2011_Jubiläumsbroschüren_Vorlage.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002468 _____ C:\Users\WinUser04\Desktop\KostenstellenrechnungMedikmente_Vorlage04_2004vom 10.05.05.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002405 _____ C:\Users\WinUser04\Desktop\Bestellliste.doc - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002398 _____ C:\Users\WinUser04\Desktop\Anmeldeformular.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002394 _____ C:\Users\WinUser04\Desktop\rz_tp.pdf - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002268 _____ C:\Users\WinUser04\Desktop\110919_schweizerillustrierte_beratung.pdf - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002247 _____ C:\Users\WinUser04\Desktop\PS@libertymail.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002198 _____ C:\Users\WinUser04\Desktop\Eignungstest_Schnupperlehre.pdf - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002176 _____ C:\Users\WinUser04\Desktop\Logo.jpg - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002167 _____ C:\Users\WinUser04\Desktop\Rezeptfälschung 130911.pdf - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002146 _____ C:\Users\WinUser04\Desktop\Preise07.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002083 _____ C:\Users\WinUser04\Desktop\LU.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00002037 _____ C:\Users\WinUser04\Desktop\Logo.pdf - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00001596 _____ C:\Users\WinUser04\Desktop\hs_err_pid2824.log - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00001581 _____ C:\Users\WinUser04\Desktop\Apo.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00001578 _____ C:\Users\WinUser04\Desktop\Apo.xls - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:09 - 00001474 _____ C:\Users\WinUser04\Desktop\LV 2011 5.1.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00002111 _____ C:\Users\WinUser04\Desktop\Kontrolle im Alterszentrum Staffelhof - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001999 _____ C:\Users\WinUser04\Desktop\Defekt neu - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001996 _____ C:\Users\WinUser04\Desktop\Portraits - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001971 _____ C:\Users\WinUser04\Desktop\ab 01-10 - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001940 _____ C:\Users\WinUser04\Desktop\Installation - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001929 _____ C:\Users\WinUser04\Desktop\Allgemeines - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001926 _____ C:\Users\WinUser04\Desktop\Fotos 2011 - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001896 _____ C:\Users\WinUser04\Desktop\Merc03 - Verknüpfung.lnk
2015-10-02 21:57 - 2013-05-30 15:07 - 00001867 _____ C:\Users\WinUser04\Desktop\Apo - Verknüpfung.lnk
2015-10-02 21:35 - 2013-05-23 09:40 - 00000000 ____D C:\Users\NetAgent
2015-10-02 21:24 - 2013-05-23 14:03 - 00000000 ____D C:\Users\WinUser04
2015-10-01 00:08 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2015-09-30 23:51 - 2014-10-13 08:20 - 00000000 _____ C:\Windows\system32\vireng.log
2015-09-30 21:07 - 2014-02-22 11:00 - 00000000 ____D C:\Users\WinUser04\AppData\Local\Windows Live
2015-09-30 18:20 - 2013-07-25 17:59 - 00024662 _____ C:\Windows\HeilogRecipe2006.ini
2015-09-30 18:20 - 2013-07-11 10:04 - 00000013 _____ C:\Windows\heilogCD.ini
2015-09-29 16:13 - 2013-05-30 13:23 - 00131954 _____ C:\Windows\SysWOW64\DesToolBarCfg.tb
2015-09-29 01:20 - 2013-05-30 22:59 - 00013030 _____ C:\PDOXUSRS.NET
2015-09-29 01:20 - 2013-05-30 22:59 - 00000032 _____ C:\Pdoxusrs.dat
2015-09-28 11:48 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache
2015-09-28 11:20 - 2013-05-23 09:39 - 00000000 ____D C:\ProgramData\Adobe
2015-09-28 11:03 - 2013-05-23 11:32 - 00000000 ____D C:\Users\admin.DW620003\AppData\Roaming\Adobe
2015-09-28 11:02 - 2013-05-23 09:35 - 00001421 _____ C:\Users\admin.DW620003\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 11:02 - 2013-05-23 09:35 - 00001188 __RSH C:\Users\admin.DW620003\ntuser.pol
2015-09-28 11:02 - 2013-05-23 09:35 - 00000000 ____D C:\Users\admin.DW620003
2015-09-28 09:15 - 2013-05-23 14:03 - 00001409 _____ C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-09-28 09:14 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\PolicyDefinitions
2015-09-25 20:37 - 2013-05-23 14:07 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\Adobe
2015-09-22 08:27 - 2013-07-30 16:59 - 00780488 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-09-22 08:27 - 2013-05-23 09:40 - 00142536 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-09-21 17:43 - 2013-07-25 17:59 - 00024731 _____ C:\Windows\HeilogRecipe2006.bak
2015-09-20 06:15 - 2015-01-28 18:06 - 00000542 _____ C:\Windows\Tasks\sunday0615.job
2015-09-19 07:58 - 2015-01-28 18:06 - 00003826 _____ C:\Windows\System32\Tasks\sunday0615
2015-09-18 16:01 - 2013-08-25 14:36 - 522634136 _____ C:\Windows\MEMORY.DMP
2015-09-18 16:01 - 2013-08-25 14:36 - 00000000 ____D C:\Windows\Minidump
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2015-09-07 07:56 - 2013-05-06 13:15 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2015-09-06 16:55 - 2013-05-06 13:15 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\WinUser04\uninstall.bat
C:\Users\WinUser04\uninstallFull.bat


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-10-01 12:54

==================== Ende von FRST.txt ============================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:04-10-2015
durchgeführt von WinUser04 (2015-10-05 00:26:29)
Gestartet von C:\Users\WinUser04\Desktop
Windows 7 Ultimate Service Pack 1 (X64) (2013-05-22 14:55:23)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-2469412034-1373638886-3076483541-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-2469412034-1373638886-3076483541-500 - Administrator - Disabled)
Gast (S-1-5-21-2469412034-1373638886-3076483541-501 - Limited - Disabled)
NetAgent (S-1-5-21-2469412034-1373638886-3076483541-1002 - Administrator - Enabled) => C:\Users\NetAgent
offlineuser (S-1-5-21-2469412034-1373638886-3076483541-1001 - Administrator - Enabled)
SophosSAUWW620003100 (S-1-5-21-2469412034-1373638886-3076483541-1008 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Sophos Anti-Virus (Enabled - Up to date) {6BABF8F7-3EB6-BD1D-9167-8C5ECA060A29}
AS: Sophos Anti-Virus (Enabled - Up to date) {D0CA1913-188C-B293-ABD7-B72CB1814094}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.008.20082 - Adobe Systems Incorporated)
Adobe Flash Player 19 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 19.0.0.185 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
Brother Driver Deployment Wizard (HKLM-x32\...\{0ED38503-B69A-44B4-98BE-21BFF284A9B6}) (Version: 1.09.000 - Brother)
Brother MFL-Pro Suite MFC-9465CDN (HKLM-x32\...\{979742CC-2CBB-49D8-9BEE-C2F7875F5393}) (Version: 1.0.21.0 - Brother Industries, Ltd.)
D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
EPSON Advanced Printer Driver 4 (HKLM-x32\...\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}) (Version: 4.12.0006 - EPSON)
EPSON APD4 Point and Print Support (x32 Version: 4.12.0005 - EPSON) Hidden
Fotogalerie (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Junk Mail filter update (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Malwarebytes Anti-Malware Version 2.1.8.1057 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.8.1057 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version:  - Microsoft)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.6029.1000 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40728.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation)
Movie Maker (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
MSXML 4.0 SP3 Parser (HKLM-x32\...\{196467F1-C11F-4F76-858B-5812ADC83B94}) (Version: 4.30.2100.0 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
SII 6.8  Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal) (HKLM-x32\...\SLABCOMM&10C4&EA60) (Version:  - )
Silicon Laboratories CP210x VCP Drivers for Windows 7 (HKLM-x32\...\{C3AB24D0-CC76-43BC-B1DC-A53D92BBC0EF}) (Version: 5.40.24 - Silicon Laboratories, Inc.)
Sophos Anti-Virus (HKLM-x32\...\{D929B3B5-56C6-46CC-B3A3-A1A784CBB8E4}) (Version: 10.3.15 - Sophos Limited)
Sophos AutoUpdate (HKLM-x32\...\{7CD26A0C-9B59-4E84-B5EE-B386B2F7AA16}) (Version: 4.3.10.27 - Sophos Limited)
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
TMFlogo Utility Ver.2.60E (HKLM-x32\...\{6A8CEE0F-3990-4B24-B69F-2EA67731A05F}) (Version: 1.01.0000 - SEIKO EPSON Corporation)
Tropimed (C:\Users\WinUser04) (HKLM-x32\...\Tropimed) (Version: 7.0.0.0 - Astral inc.)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 16.4.3528.0331 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

20-09-2015 22:06:17 Windows Update
25-09-2015 20:28:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:08:24 Windows Modules Installer
28-09-2015 09:20:39 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 09:33:35 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:11:47 Removed Adobe Acrobat Reader DC - Deutsch.
28-09-2015 11:19:57 Installed Adobe Reader X (10.1.0) - Deutsch.
01-10-2015 00:04:32 ComboFix created restore point
02-10-2015 21:23:43 JRT Pre-Junkware Removal

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2015-10-01 00:08 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {3898DBB5-1914-42F5-9C77-6EEAC03589CD} - System32\Tasks\{4B581A4B-1B2A-460F-9363-0A35B0C55C34} => pcalua.exe -a E:\setup-4.7.exe -d E:\
Task: {CD52159F-3E0A-4F59-B3AF-8AA74808F90C} - System32\Tasks\sunday0615 => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-01-28] (Sophos Limited)
Task: {E6F9EB45-CF02-4105-B8B2-CBD983DE79ED} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\sunday0615.job => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-05-23 09:40 - 2009-11-03 16:43 - 00072704 _____ () C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
2013-05-23 09:40 - 2009-11-03 16:43 - 00036864 _____ () C:\Program Files\Pharmatic\Scheduler\phOSSchedulerLib.dll
2013-06-07 21:06 - 2010-03-16 01:18 - 00143360 ____R () C:\Windows\system32\BrSNMP64.dll
2012-12-14 02:42 - 2012-12-14 02:42 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2013-06-07 21:06 - 2005-02-02 13:38 - 00024576 ____N () C:\Program Files (x86)\Brother\Brmfl10e\brrunpp.dll
2013-06-07 21:06 - 2009-02-27 16:38 - 00139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SAVService => ""="service"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ovan.ch -> hxxps://ovan.ch


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 10.101.103.11 - 10.101.103.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 0)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{6447756E-FDEE-4B7F-BF03-990A9293DD46}] => (Allow) LPort=6160
FirewallRules: [{4E146F4C-1203-4834-A66A-C906A25ADEBD}] => (Allow) LPort=6129
FirewallRules: [{7BD5021B-0FDF-404B-8F9B-B257DA457500}] => (Allow) LPort=6129
FirewallRules: [{BCD002F4-9032-411D-B6F3-CFD621370B76}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{329D07ED-0282-4E7E-A21B-923CFE90AB41}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{D9F49703-9CDB-457F-8D8C-D7D4A42A946D}] => (Allow) LPort=54925
FirewallRules: [{931358B0-7C13-4520-95B3-711A9FA2C076}] => (Allow) C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{3CA16C5C-A765-4DA3-847E-AD98E8EC50D8}] => (Allow) LPort=2869
FirewallRules: [{1E57CCFE-0C27-46DD-A060-AD4823593460}] => (Allow) LPort=1900

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/05/2015 12:20:02 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/04/2015 07:56:31 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/03/2015 06:21:48 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/03/2015 06:15:27 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (10/03/2015 06:14:03 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (10/03/2015 06:12:00 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: iexplore.exe, Version: 11.0.9600.17840, Zeitstempel: 0x555f657e
Name des fehlerhaften Moduls: swi_ifslsp_64.dll, Version: 3.4.8.0, Zeitstempel: 0x54cb81ab
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000229d0
ID des fehlerhaften Prozesses: 0x3a8
Startzeit der fehlerhaften Anwendung: 0xiexplore.exe0
Pfad der fehlerhaften Anwendung: iexplore.exe1
Pfad des fehlerhaften Moduls: iexplore.exe2
Berichtskennung: iexplore.exe3

Error: (10/03/2015 05:53:18 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (10/03/2015 05:53:18 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (10/03/2015 05:50:36 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (10/03/2015 05:46:36 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (10/05/2015 12:19:23 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/05/2015 12:18:20 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (10/04/2015 07:55:51 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/04/2015 07:54:49 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (10/04/2015 07:54:49 PM) (Source: NETLOGON) (EventID: 3224) (User: )
Description: Das Ändern des Kennworts für das Computerkonto WW620003104$ ist fehlgeschlagen.
Folgender Fehler ist aufgetreten: 
%%8206

Error: (10/03/2015 06:21:06 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/03/2015 06:20:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%20

Error: (10/03/2015 05:58:42 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1275

Error: (10/03/2015 05:58:42 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\WINUSE~1\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.

Error: (10/03/2015 05:58:42 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1275


CodeIntegrity:
===================================
  Date: 2015-10-01 00:07:57.922
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2015-10-01 00:07:57.891
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
Prozentuale Nutzung des RAM: 28%
Installierter physikalischer RAM: 7129.15 MB
Verfügbarer physikalischer RAM: 5112.57 MB
Summe virtueller Speicher: 14256.48 MB
Verfügbarer virtueller Speicher: 12229.4 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.69 GB) (Free:66.32 GB) NTFS
Drive e: (13 Jan 2010) (CDROM) (Total:0.07 GB) (Free:0 GB) CDFS
Drive m: (Data) (Network) (Total:180.81 GB) (Free:108.04 GB) NTFS
Drive n: (Data) (Network) (Total:180.81 GB) (Free:108.04 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 9DA35BCF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

M-K-D-B · 05.10.2015, 14:54

Sieht gut aus. Sophos sollte nun auch keine Meldung mehr bringen.

Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
Combofix deinstallieren

Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Drücke bitte die + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
Klicke auf OK.
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte

DelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...

und/oder das Forum mit einer kleinen Spende unterstützen.

Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	MSE

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:

Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.

NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie

.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:

Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Helveticus · 06.10.2015, 21:59

Hi Matthias

Vielen, vielen Dank für die Hilfe und die Tipps. Es hat alles geklappt und es sind keine Fragen mehr offen.

M-K-D-B · 07.10.2015, 15:51

Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Windows Rechner befallen - Swisscom sperrt Internet - Sophos hat Mal/Wonton-BI erkannt

Plagegeister aller Art und deren Bekämpfung: Windows Rechner befallen - Swisscom sperrt Internet - Sophos hat Mal/Wonton-BI erkannt