| |
| |||||||
Log-Analyse und Auswertung: Windows 10: Trojaner Ransom:Win32/Critroni - Meldung Defender + entferntWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.11.2015, 17:51
| #11 |
 |  Windows 10: Trojaner Ransom:Win32/Critroni - Meldung Defender + entfernt Soll ich das gmer.txt nochmal posten? wie/ob ich den Zeilenumbruch ändern kann weiß grad nicht. hier first: Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:25-11-2015 02
durchgeführt von FreiesTier (Administrator) auf ACHT (26-11-2015 17:44:06)
Gestartet von C:\Users\Klaus\Desktop
Geladene Profile: FreiesTier & UpdatusUser (Verfügbare Profile: FreiesTier & UpdatusUser & coadmin & Administrator)
Platform: Microsoft Windows 10 Pro (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Opera)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(REINER SCT) C:\Windows\System32\cjpcsc.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
(MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
() C:\Prog-o-Inst\Syncthing\syncthing.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RagTime GmbH) C:\Program Files\RagTime Privat\Konni\KonniSymbol.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Microsoft Corporation) C:\Windows\System32\NetworkUXBroker.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MSASCui.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(Microsoft Corporation) C:\Windows\System32\Taskmgr.exe
() C:\Prog-o-Inst\Syncthing\syncthing.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [551408 2012-12-21] (Alps Electric Co., Ltd.)
HKLM\...\Run: [SO5 Integrator Pass Two] => C:\Windows\SOINTGR.EXE [20480 2000-05-08] ()
HKLM\...\Run: [TrueImageMonitor.exe] => C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe [5343272 2014-11-27] (Acronis)
HKLM\...\Run: [AcronisTibMounterMonitor] => C:\Program Files\Common Files\Acronis\TibMounter\TibMounterMonitor.exe [606096 2014-10-17] (Acronis International GmbH)
HKLM\...\Run: [Acronis Scheduler2 Service] => C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [409912 2014-08-14] (Acronis)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [597040 2015-10-06] (Oracle Corporation)
HKU\S-1-5-21-1398531561-3086020469-3389357374-1001\...\Run: [Konni Symbol Autostart] => C:\Program Files\RagTime Privat\Konni\KonniSymbol.exe [53248 2003-02-06] (RagTime GmbH)
HKU\S-1-5-21-1398531561-3086020469-3389357374-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Bubbles.scr [792064 2015-07-10] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [AcronisSyncError] -> {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [AcronisSyncInProgress] -> {00F848DC-B1D4-4892-9C25-CAADC86A215D} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [AcronisSyncOk] -> {71573297-552E-46fc-BE3D-3DFAF88D47B7} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [ShareOverlay] -> {594D4122-1F87-41E2-96C7-825FB4796516} => C:\Program Files\Classic Shell\ClassicExplorer32.dll [2014-04-05] (IvoSoft)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\t@x aktuell.lnk [2014-04-20]
ShortcutTarget: t@x aktuell.lnk -> C:\Program Files\Buhl finance\tax Steuersoftware 2014\taxaktuell.exe ()
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.9.1
Tcpip\..\Interfaces\{53f84742-aa15-4b8d-a1b6-32f1eeff5759}: [DhcpNameServer] 192.168.9.1
Tcpip\..\Interfaces\{9f8e403d-e04d-4969-bba6-dcf0457a8560}: [DhcpNameServer] 192.168.9.1
Internet Explorer:
==================
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_65\bin\ssv.dll [2015-10-22] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_65\bin\jp2ssv.dll [2015-10-22] (Oracle Corporation)
IE Session Restore: HKU\S-1-5-21-1398531561-3086020469-3389357374-1001 -> ist aktiviert.
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll [2014-05-02] (Skype Technologies)
FireFox:
========
FF ProfilePath: C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default
FF DefaultSearchEngine: DuckDuckGo
FF SelectedSearchEngine: DuckDuckGo
FF Session Restore: -> ist aktiviert.
FF Plugin: @java.com/DTPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\dtplugin\npDeployJava1.dll [2015-10-22] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\plugin2\npjp2.dll [2015-10-22] (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x86.dll [2015-02-09] (Tracker Software Products (Canada) Ltd.)
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-09-30] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-1398531561-3086020469-3389357374-1001: @protectdisc.com/NPPDLicenseHelper -> C:\Users\Klaus\AppData\Roaming\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll [2009-06-25] ( )
FF Plugin HKU\S-1-5-21-1398531561-3086020469-3389357374-1001: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x86.dll [2015-02-09] (Tracker Software Products (Canada) Ltd.)
FF SearchPlugin: C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\searchplugins\duckduckgo.xml [2014-05-24]
FF Extension: Ghostery - C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\Extensions\firefox@ghostery.com.xpi [2015-09-26]
FF Extension: Adblock Plus - C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-09-26]
Opera:
=======
OPR Extension: (Ghostery) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2015-09-21]
OPR Extension: (Ghostery) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfbekbndggmbdkfhjandenfihkdkndil [2015-01-06]
OPR Extension: (Adblock Plus) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2015-11-24]
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S4 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [860504 2014-08-14] (Acronis)
S4 afcdpsrv; C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe [4029432 2015-07-16] (Acronis)
R2 cjpcsc; C:\WINDOWS\system32\cjpcsc.exe [569344 2015-07-31] (REINER SCT)
S4 DBService; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [189776 2010-10-28] (DATA BECKER GmbH & Co KG)
S4 DirMngr; C:\Program Files\GNU\GnuPG\dirmngr.exe [216576 2014-09-03] () [Datei ist nicht signiert]
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1858048 2012-01-23] (MAGIX AG) [Datei ist nicht signiert]
S4 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®) [Datei ist nicht signiert]
S4 FMUService; C:\Program Files\Kyocera\File Management Utility\FMU\bin\Monitoring.exe [29184 2013-11-06] (KYOCERA) [Datei ist nicht signiert]
S4 KDService; C:\Program Files\KDService\bin\KDService.exe [441856 2013-10-24] (KYOCERA Document Solutions Inc.) [Datei ist nicht signiert]
R2 MSSQL$IKONMATRIX2; c:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\sqlservr.exe [163008 2015-05-05] (Microsoft Corporation)
R2 MSSQL$IKONMATRIX2NEU; c:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe [29263712 2008-11-24] (Microsoft Corporation)
S4 MSSQLServerADHelper; c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [45408 2008-11-24] (Microsoft Corporation)
S4 SQLAgent$IKONMATRIX2; c:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\SQLAGENT.EXE [448704 2015-05-05] (Microsoft Corporation)
S4 StarMoney 9.0 OnlineUpdate; C:\Program Files\StarMoney 9.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [663184 2014-01-27] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
S4 syncagentsrv; C:\Program Files\Common Files\Acronis\SyncAgent\syncagentsrv.exe [6857752 2014-09-13] (Acronis)
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 acedrv11; C:\Windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
R1 bizVSerial; C:\WINDOWS\System32\drivers\bizVSerialNT.sys [14949 2007-05-31] (franson.biz) [Datei ist nicht signiert]
S3 cjusb; C:\WINDOWS\system32\DRIVERS\cjusb.sys [29584 2015-03-23] (REINER SCT)
R0 file_tracker; C:\WINDOWS\System32\DRIVERS\file_tracker.sys [214304 2015-07-16] (Acronis International GmbH)
R3 i8042HDR; C:\WINDOWS\system32\DRIVERS\i8042HDR.sys [13224 2006-10-20] (Chicony)
R3 netwlv32; C:\WINDOWS\System32\drivers\netwlv32.sys [6637056 2015-07-10] (Intel Corporation)
S4 RsFx0201; C:\WINDOWS\System32\DRIVERS\RsFx0201.sys [271040 2014-05-15] (Microsoft Corporation)
R0 tib; C:\WINDOWS\System32\DRIVERS\tib.sys [867968 2015-07-16] (Acronis International GmbH)
S0 tib_mounter; C:\WINDOWS\System32\DRIVERS\tib_mounter.sys [169248 2015-07-16] (Acronis International GmbH)
S3 UdeCx; C:\WINDOWS\System32\drivers\udecx.sys [31744 2015-07-10] ()
S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation)
R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation)
U3 ugldrpob; C:\Users\Klaus\AppData\Local\Temp\ugldrpob.sys [104960 2015-11-24] (GMER) [Datei ist nicht signiert]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-11-26 17:43 - 2015-11-26 17:43 - 00000000 ____D C:\Users\Klaus\Desktop\FRST-OlderVersion
2015-11-26 17:34 - 2015-11-26 17:34 - 00016148 _____ C:\WINDOWS\system32\ACHT_FreiesTier_HistoryPrediction.bin
2015-11-26 00:30 - 2015-11-26 00:35 - 00249440 _____ C:\TDSSKiller.3.1.0.6_26.11.2015_00.30.21_log.txt
2015-11-26 00:27 - 2015-11-26 00:30 - 04397752 _____ (Kaspersky Lab ZAO) C:\Users\Klaus\Desktop\tdsskiller.exe
2015-11-25 00:04 - 2015-11-25 00:04 - 00552697 _____ C:\Users\Klaus\Desktop\Neues Textdokument.txt
2015-11-24 23:02 - 2015-11-24 23:02 - 00491070 _____ C:\Users\Klaus\Desktop\gmer.txt
2015-11-24 22:10 - 2015-11-24 22:30 - 00380416 _____ C:\Users\Klaus\Desktop\z8i4i4oq.exe
2015-11-24 22:06 - 2015-11-24 22:09 - 00034487 _____ C:\Users\Klaus\Desktop\Addition.txt
2015-11-24 22:05 - 2015-11-26 17:44 - 00013040 _____ C:\Users\Klaus\Desktop\FRST.txt
2015-11-24 22:02 - 2015-11-26 17:43 - 01719296 _____ (Farbar) C:\Users\Klaus\Desktop\FRST.exe
2015-11-24 22:00 - 2015-11-24 22:00 - 00000000 _____ C:\Users\Klaus\defogger_reenable
2015-11-24 21:58 - 2015-11-24 21:59 - 00050477 _____ C:\Users\Klaus\Desktop\Defogger.exe
2015-11-23 12:11 - 2015-11-23 12:11 - 00000000 ____D C:\Users\Klaus\AppData\Local\CEF
2015-11-23 02:09 - 2015-11-26 12:34 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2015-11-23 02:08 - 2015-11-23 02:08 - 00000000 ____D C:\Program Files\Adobe
2015-11-12 02:42 - 2015-11-12 02:42 - 00016148 _____ C:\WINDOWS\system32\ACHT_coadmin_HistoryPrediction.bin
2015-11-12 02:38 - 2015-11-12 02:38 - 237304008 _____ C:\Users\coadmin\Desktop\Backup12.11.2015 238.reg
2015-11-12 02:35 - 2015-11-12 02:35 - 00002406 _____ C:\Users\coadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
2015-11-12 02:35 - 2015-11-12 02:35 - 00000000 ___RD C:\Users\coadmin\OneDrive
2015-11-12 02:35 - 2015-11-12 02:35 - 00000000 ____D C:\Users\coadmin\AppData\Local\PeerDistRepub
2015-11-12 02:33 - 2015-11-12 02:33 - 00000000 ____D C:\Users\coadmin\AppData\Local\Publishers
2015-11-12 02:32 - 2015-11-12 02:39 - 00000000 ____D C:\Users\coadmin\AppData\Local\VirtualStore
2015-11-12 02:32 - 2015-11-12 02:35 - 00000000 ____D C:\Users\coadmin
2015-11-12 02:32 - 2015-11-12 02:33 - 00000000 ____D C:\Users\coadmin\AppData\Local\Packages
2015-11-12 02:32 - 2015-11-12 02:32 - 00000020 ___SH C:\Users\coadmin\ntuser.ini
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Vorlagen
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Startmenü
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Netzwerkumgebung
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Lokale Einstellungen
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Eigene Dateien
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Druckumgebung
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Videos
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Musik
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Bilder
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Local\Verlauf
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Local\Anwendungsdaten
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Anwendungsdaten
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 ____D C:\Users\coadmin\AppData\Roaming\Adobe
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 ____D C:\Users\coadmin\AppData\Local\TileDataLayer
2015-11-12 02:32 - 2015-08-16 23:47 - 00000000 ____D C:\Users\coadmin\Documents\Visual Studio 2010
2015-11-12 02:32 - 2015-08-16 23:47 - 00000000 ____D C:\Users\coadmin\AppData\Local\Microsoft Help
2015-11-12 02:31 - 2015-11-12 02:31 - 00000000 ____D C:\WINDOWS\Panther
2015-11-12 01:56 - 2015-11-12 01:56 - 329854492 _____ C:\Users\Klaus\Documents\Backup12.11.2015 156.reg
2015-11-12 01:27 - 2015-11-12 01:28 - 00027431 _____ C:\Users\coadmin\Desktop\ResetWUEng.cmd
2015-11-11 21:06 - 2013-06-20 06:25 - 06046204 _____ C:\Users\Klaus\Downloads\GW2760HS-de.pdf
2015-11-08 20:56 - 2015-11-08 21:14 - 00000180 _____ C:\Users\Klaus\Documents\xnview-B1680-50P-copyr-umb.xbs
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-11-26 17:44 - 2015-02-19 00:03 - 00000000 ____D C:\FRST
2015-11-26 12:03 - 2015-07-10 09:28 - 00000000 ___HD C:\Program Files\WindowsApps
2015-11-26 12:03 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\AppReadiness
2015-11-26 12:01 - 2015-08-16 23:59 - 02451698 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2015-11-26 12:01 - 2015-07-10 14:12 - 01030854 _____ C:\WINDOWS\system32\perfh007.dat
2015-11-26 12:01 - 2015-07-10 14:12 - 00240548 _____ C:\WINDOWS\system32\perfc007.dat
2015-11-26 12:01 - 2015-07-10 09:27 - 00000000 ____D C:\WINDOWS\INF
2015-11-26 00:35 - 2015-05-19 20:15 - 00000000 ____D C:\Users\Klaus\AppData\Local\Syncthing
2015-11-26 00:29 - 2014-04-08 21:21 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\Skype
2015-11-24 22:00 - 2015-08-16 23:08 - 00000000 ____D C:\Users\Klaus
2015-11-24 21:12 - 2014-12-24 22:04 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\XnView
2015-11-24 20:30 - 2015-01-05 22:36 - 00000000 ____D C:\Users\Klaus\Downloads\temp
2015-11-24 14:07 - 2014-10-05 21:55 - 00000000 ____D C:\Users\Klaus\jameica_boe
2015-11-24 14:07 - 2014-04-08 19:36 - 00000000 ____D C:\Users\Klaus\.jameica
2015-11-23 14:43 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\rescache
2015-11-23 12:11 - 2014-04-10 22:01 - 00000000 ____D C:\Users\Klaus\AppData\Local\Adobe
2015-11-23 05:16 - 2015-07-10 09:20 - 00000000 ____D C:\WINDOWS\CbsTemp
2015-11-23 02:38 - 2015-07-10 10:55 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2015-11-23 02:35 - 2015-07-10 10:53 - 00537552 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2015-11-23 02:32 - 2015-07-10 14:16 - 00000000 ____D C:\Program Files\Windows Journal
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___SD C:\WINDOWS\system32\F12
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___RD C:\WINDOWS\PurchaseDialog
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___RD C:\WINDOWS\DevicesFlow
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\WinBioPlugIns
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\SystemResetPlatform
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\oobe
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\appraiser
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\Provisioning
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\L2Schemas
2015-11-23 02:32 - 2015-07-10 07:59 - 00000000 ____D C:\Windows
2015-11-23 02:26 - 2015-07-10 07:59 - 00262144 ___SH C:\WINDOWS\system32\config\BBI
2015-11-23 02:08 - 2014-04-10 22:04 - 00000000 ____D C:\Program Files\Common Files\Adobe
2015-11-23 02:07 - 2014-04-10 22:04 - 00000000 ____D C:\ProgramData\Adobe
2015-11-21 01:10 - 2015-01-30 00:21 - 00000892 _____ C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job
2015-11-21 00:14 - 2015-02-04 01:27 - 00000000 ____D C:\Users\Klaus\Documents\ge-15
2015-11-19 23:29 - 2014-06-26 19:09 - 00001084 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
2015-11-19 23:29 - 2014-06-26 19:09 - 00000000 ____D C:\Program Files\Opera
2015-11-13 17:34 - 2014-04-08 19:36 - 00000138 _____ C:\Users\Klaus\.jameica.properties
2015-11-12 02:38 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\AppLocker
2015-11-12 02:32 - 2015-08-17 00:21 - 00000000 __RHD C:\Users\Public\AccountPictures
2015-11-12 02:18 - 2015-01-07 00:06 - 00000275 _____ C:\WINDOWS\WindowsUpdate.log.bak
2015-11-12 02:16 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\Catroot2.bak
2015-11-12 01:46 - 2014-04-07 21:30 - 00000000 ____D C:\WINDOWS\system32\MRT
2015-11-12 01:42 - 2014-04-07 21:30 - 143250520 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2015-11-11 12:14 - 2014-04-08 21:21 - 00000000 ____D C:\ProgramData\Skype
2015-11-08 22:50 - 2014-04-10 18:03 - 00000000 ____D C:\Users\Klaus\Documents\Rest
2015-11-07 16:27 - 2014-04-08 00:39 - 00000000 ____D C:\Users\Klaus\AppData\Local\ElevatedDiagnostics
2015-11-06 02:56 - 2014-12-12 21:38 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\RagTime
2015-11-05 00:31 - 2014-04-10 17:52 - 00000000 ____D C:\Users\Klaus\Documents\ge
2015-11-03 22:24 - 2015-03-18 00:08 - 00000000 ____D C:\Users\Klaus\Downloads\Produkte
2015-11-03 19:20 - 2015-10-14 15:32 - 00810488 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2015-11-03 19:20 - 2015-10-14 15:32 - 00176632 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2015-11-03 06:50 - 2015-07-17 01:02 - 00000000 ____D C:\found.000
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2014-04-24 22:08 - 2014-04-24 22:10 - 0000084 _____ () C:\Users\Klaus\AppData\Roaming\sversion.ini
2014-04-24 22:12 - 2014-04-24 22:12 - 0008192 _____ () C:\Users\Klaus\AppData\Roaming\user52.rdb
2014-04-20 21:43 - 2015-10-18 19:43 - 0001188 _____ () C:\Users\Klaus\AppData\Local\crc32list11.txt
2014-04-23 16:38 - 2015-07-20 18:09 - 0007668 _____ () C:\Users\Klaus\AppData\Local\resmon.resmoncfg
Einige Dateien in TEMP:
====================
C:\Users\Klaus\AppData\Local\Temp\jre-8u60-windows-au.exe
C:\Users\Klaus\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\Klaus\AppData\Local\Temp\SkypeSetup.exe
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2015-11-19 13:03
==================== Ende vom FRST.txt ============================
Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:25-11-2015 02
durchgeführt von FreiesTier (Administrator) auf ACHT (26-11-2015 17:44:06)
Gestartet von C:\Users\Klaus\Desktop
Geladene Profile: FreiesTier & UpdatusUser (Verfügbare Profile: FreiesTier & UpdatusUser & coadmin & Administrator)
Platform: Microsoft Windows 10 Pro (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Opera)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(REINER SCT) C:\Windows\System32\cjpcsc.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
(MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
() C:\Prog-o-Inst\Syncthing\syncthing.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RagTime GmbH) C:\Program Files\RagTime Privat\Konni\KonniSymbol.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Microsoft Corporation) C:\Windows\System32\NetworkUXBroker.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MSASCui.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(Microsoft Corporation) C:\Windows\System32\Taskmgr.exe
() C:\Prog-o-Inst\Syncthing\syncthing.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [551408 2012-12-21] (Alps Electric Co., Ltd.)
HKLM\...\Run: [SO5 Integrator Pass Two] => C:\Windows\SOINTGR.EXE [20480 2000-05-08] ()
HKLM\...\Run: [TrueImageMonitor.exe] => C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe [5343272 2014-11-27] (Acronis)
HKLM\...\Run: [AcronisTibMounterMonitor] => C:\Program Files\Common Files\Acronis\TibMounter\TibMounterMonitor.exe [606096 2014-10-17] (Acronis International GmbH)
HKLM\...\Run: [Acronis Scheduler2 Service] => C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [409912 2014-08-14] (Acronis)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [597040 2015-10-06] (Oracle Corporation)
HKU\S-1-5-21-1398531561-3086020469-3389357374-1001\...\Run: [Konni Symbol Autostart] => C:\Program Files\RagTime Privat\Konni\KonniSymbol.exe [53248 2003-02-06] (RagTime GmbH)
HKU\S-1-5-21-1398531561-3086020469-3389357374-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Bubbles.scr [792064 2015-07-10] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [AcronisSyncError] -> {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [AcronisSyncInProgress] -> {00F848DC-B1D4-4892-9C25-CAADC86A215D} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [AcronisSyncOk] -> {71573297-552E-46fc-BE3D-3DFAF88D47B7} => C:\Program Files\Acronis\TrueImageHome\tishell.dll [2014-09-09] (Acronis)
ShellIconOverlayIdentifiers: [ShareOverlay] -> {594D4122-1F87-41E2-96C7-825FB4796516} => C:\Program Files\Classic Shell\ClassicExplorer32.dll [2014-04-05] (IvoSoft)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\t@x aktuell.lnk [2014-04-20]
ShortcutTarget: t@x aktuell.lnk -> C:\Program Files\Buhl finance\tax Steuersoftware 2014\taxaktuell.exe ()
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.9.1
Tcpip\..\Interfaces\{53f84742-aa15-4b8d-a1b6-32f1eeff5759}: [DhcpNameServer] 192.168.9.1
Tcpip\..\Interfaces\{9f8e403d-e04d-4969-bba6-dcf0457a8560}: [DhcpNameServer] 192.168.9.1
Internet Explorer:
==================
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_65\bin\ssv.dll [2015-10-22] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_65\bin\jp2ssv.dll [2015-10-22] (Oracle Corporation)
IE Session Restore: HKU\S-1-5-21-1398531561-3086020469-3389357374-1001 -> ist aktiviert.
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll [2014-05-02] (Skype Technologies)
FireFox:
========
FF ProfilePath: C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default
FF DefaultSearchEngine: DuckDuckGo
FF SelectedSearchEngine: DuckDuckGo
FF Session Restore: -> ist aktiviert.
FF Plugin: @java.com/DTPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\dtplugin\npDeployJava1.dll [2015-10-22] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\plugin2\npjp2.dll [2015-10-22] (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x86.dll [2015-02-09] (Tracker Software Products (Canada) Ltd.)
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.1.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-09-30] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-1398531561-3086020469-3389357374-1001: @protectdisc.com/NPPDLicenseHelper -> C:\Users\Klaus\AppData\Roaming\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll [2009-06-25] ( )
FF Plugin HKU\S-1-5-21-1398531561-3086020469-3389357374-1001: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x86.dll [2015-02-09] (Tracker Software Products (Canada) Ltd.)
FF SearchPlugin: C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\searchplugins\duckduckgo.xml [2014-05-24]
FF Extension: Ghostery - C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\Extensions\firefox@ghostery.com.xpi [2015-09-26]
FF Extension: Adblock Plus - C:\Users\Klaus\AppData\Roaming\Mozilla\Firefox\Profiles\8ny2iwk0.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-09-26]
Opera:
=======
OPR Extension: (Ghostery) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2015-09-21]
OPR Extension: (Ghostery) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfbekbndggmbdkfhjandenfihkdkndil [2015-01-06]
OPR Extension: (Adblock Plus) - C:\Users\Klaus\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2015-11-24]
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S4 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [860504 2014-08-14] (Acronis)
S4 afcdpsrv; C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe [4029432 2015-07-16] (Acronis)
R2 cjpcsc; C:\WINDOWS\system32\cjpcsc.exe [569344 2015-07-31] (REINER SCT)
S4 DBService; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [189776 2010-10-28] (DATA BECKER GmbH & Co KG)
S4 DirMngr; C:\Program Files\GNU\GnuPG\dirmngr.exe [216576 2014-09-03] () [Datei ist nicht signiert]
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1858048 2012-01-23] (MAGIX AG) [Datei ist nicht signiert]
S4 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®) [Datei ist nicht signiert]
S4 FMUService; C:\Program Files\Kyocera\File Management Utility\FMU\bin\Monitoring.exe [29184 2013-11-06] (KYOCERA) [Datei ist nicht signiert]
S4 KDService; C:\Program Files\KDService\bin\KDService.exe [441856 2013-10-24] (KYOCERA Document Solutions Inc.) [Datei ist nicht signiert]
R2 MSSQL$IKONMATRIX2; c:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\sqlservr.exe [163008 2015-05-05] (Microsoft Corporation)
R2 MSSQL$IKONMATRIX2NEU; c:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe [29263712 2008-11-24] (Microsoft Corporation)
S4 MSSQLServerADHelper; c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [45408 2008-11-24] (Microsoft Corporation)
S4 SQLAgent$IKONMATRIX2; c:\Program Files\Microsoft SQL Server\MSSQL11.IKONMATRIX2\MSSQL\Binn\SQLAGENT.EXE [448704 2015-05-05] (Microsoft Corporation)
S4 StarMoney 9.0 OnlineUpdate; C:\Program Files\StarMoney 9.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [663184 2014-01-27] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
S4 syncagentsrv; C:\Program Files\Common Files\Acronis\SyncAgent\syncagentsrv.exe [6857752 2014-09-13] (Acronis)
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 acedrv11; C:\Windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
R1 bizVSerial; C:\WINDOWS\System32\drivers\bizVSerialNT.sys [14949 2007-05-31] (franson.biz) [Datei ist nicht signiert]
S3 cjusb; C:\WINDOWS\system32\DRIVERS\cjusb.sys [29584 2015-03-23] (REINER SCT)
R0 file_tracker; C:\WINDOWS\System32\DRIVERS\file_tracker.sys [214304 2015-07-16] (Acronis International GmbH)
R3 i8042HDR; C:\WINDOWS\system32\DRIVERS\i8042HDR.sys [13224 2006-10-20] (Chicony)
R3 netwlv32; C:\WINDOWS\System32\drivers\netwlv32.sys [6637056 2015-07-10] (Intel Corporation)
S4 RsFx0201; C:\WINDOWS\System32\DRIVERS\RsFx0201.sys [271040 2014-05-15] (Microsoft Corporation)
R0 tib; C:\WINDOWS\System32\DRIVERS\tib.sys [867968 2015-07-16] (Acronis International GmbH)
S0 tib_mounter; C:\WINDOWS\System32\DRIVERS\tib_mounter.sys [169248 2015-07-16] (Acronis International GmbH)
S3 UdeCx; C:\WINDOWS\System32\drivers\udecx.sys [31744 2015-07-10] ()
S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation)
R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation)
U3 ugldrpob; C:\Users\Klaus\AppData\Local\Temp\ugldrpob.sys [104960 2015-11-24] (GMER) [Datei ist nicht signiert]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-11-26 17:43 - 2015-11-26 17:43 - 00000000 ____D C:\Users\Klaus\Desktop\FRST-OlderVersion
2015-11-26 17:34 - 2015-11-26 17:34 - 00016148 _____ C:\WINDOWS\system32\ACHT_FreiesTier_HistoryPrediction.bin
2015-11-26 00:30 - 2015-11-26 00:35 - 00249440 _____ C:\TDSSKiller.3.1.0.6_26.11.2015_00.30.21_log.txt
2015-11-26 00:27 - 2015-11-26 00:30 - 04397752 _____ (Kaspersky Lab ZAO) C:\Users\Klaus\Desktop\tdsskiller.exe
2015-11-25 00:04 - 2015-11-25 00:04 - 00552697 _____ C:\Users\Klaus\Desktop\Neues Textdokument.txt
2015-11-24 23:02 - 2015-11-24 23:02 - 00491070 _____ C:\Users\Klaus\Desktop\gmer.txt
2015-11-24 22:10 - 2015-11-24 22:30 - 00380416 _____ C:\Users\Klaus\Desktop\z8i4i4oq.exe
2015-11-24 22:06 - 2015-11-24 22:09 - 00034487 _____ C:\Users\Klaus\Desktop\Addition.txt
2015-11-24 22:05 - 2015-11-26 17:44 - 00013040 _____ C:\Users\Klaus\Desktop\FRST.txt
2015-11-24 22:02 - 2015-11-26 17:43 - 01719296 _____ (Farbar) C:\Users\Klaus\Desktop\FRST.exe
2015-11-24 22:00 - 2015-11-24 22:00 - 00000000 _____ C:\Users\Klaus\defogger_reenable
2015-11-24 21:58 - 2015-11-24 21:59 - 00050477 _____ C:\Users\Klaus\Desktop\Defogger.exe
2015-11-23 12:11 - 2015-11-23 12:11 - 00000000 ____D C:\Users\Klaus\AppData\Local\CEF
2015-11-23 02:09 - 2015-11-26 12:34 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2015-11-23 02:08 - 2015-11-23 02:08 - 00000000 ____D C:\Program Files\Adobe
2015-11-12 02:42 - 2015-11-12 02:42 - 00016148 _____ C:\WINDOWS\system32\ACHT_coadmin_HistoryPrediction.bin
2015-11-12 02:38 - 2015-11-12 02:38 - 237304008 _____ C:\Users\coadmin\Desktop\Backup12.11.2015 238.reg
2015-11-12 02:35 - 2015-11-12 02:35 - 00002406 _____ C:\Users\coadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
2015-11-12 02:35 - 2015-11-12 02:35 - 00000000 ___RD C:\Users\coadmin\OneDrive
2015-11-12 02:35 - 2015-11-12 02:35 - 00000000 ____D C:\Users\coadmin\AppData\Local\PeerDistRepub
2015-11-12 02:33 - 2015-11-12 02:33 - 00000000 ____D C:\Users\coadmin\AppData\Local\Publishers
2015-11-12 02:32 - 2015-11-12 02:39 - 00000000 ____D C:\Users\coadmin\AppData\Local\VirtualStore
2015-11-12 02:32 - 2015-11-12 02:35 - 00000000 ____D C:\Users\coadmin
2015-11-12 02:32 - 2015-11-12 02:33 - 00000000 ____D C:\Users\coadmin\AppData\Local\Packages
2015-11-12 02:32 - 2015-11-12 02:32 - 00000020 ___SH C:\Users\coadmin\ntuser.ini
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Vorlagen
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Startmenü
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Netzwerkumgebung
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Lokale Einstellungen
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Eigene Dateien
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Druckumgebung
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Videos
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Musik
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Documents\Eigene Bilder
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Local\Verlauf
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\AppData\Local\Anwendungsdaten
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 _SHDL C:\Users\coadmin\Anwendungsdaten
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 ____D C:\Users\coadmin\AppData\Roaming\Adobe
2015-11-12 02:32 - 2015-11-12 02:32 - 00000000 ____D C:\Users\coadmin\AppData\Local\TileDataLayer
2015-11-12 02:32 - 2015-08-16 23:47 - 00000000 ____D C:\Users\coadmin\Documents\Visual Studio 2010
2015-11-12 02:32 - 2015-08-16 23:47 - 00000000 ____D C:\Users\coadmin\AppData\Local\Microsoft Help
2015-11-12 02:31 - 2015-11-12 02:31 - 00000000 ____D C:\WINDOWS\Panther
2015-11-12 01:56 - 2015-11-12 01:56 - 329854492 _____ C:\Users\Klaus\Documents\Backup12.11.2015 156.reg
2015-11-12 01:27 - 2015-11-12 01:28 - 00027431 _____ C:\Users\coadmin\Desktop\ResetWUEng.cmd
2015-11-11 21:06 - 2013-06-20 06:25 - 06046204 _____ C:\Users\Klaus\Downloads\GW2760HS-de.pdf
2015-11-08 20:56 - 2015-11-08 21:14 - 00000180 _____ C:\Users\Klaus\Documents\xnview-B1680-50P-copyr-umb.xbs
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2015-11-26 17:44 - 2015-02-19 00:03 - 00000000 ____D C:\FRST
2015-11-26 12:03 - 2015-07-10 09:28 - 00000000 ___HD C:\Program Files\WindowsApps
2015-11-26 12:03 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\AppReadiness
2015-11-26 12:01 - 2015-08-16 23:59 - 02451698 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2015-11-26 12:01 - 2015-07-10 14:12 - 01030854 _____ C:\WINDOWS\system32\perfh007.dat
2015-11-26 12:01 - 2015-07-10 14:12 - 00240548 _____ C:\WINDOWS\system32\perfc007.dat
2015-11-26 12:01 - 2015-07-10 09:27 - 00000000 ____D C:\WINDOWS\INF
2015-11-26 00:35 - 2015-05-19 20:15 - 00000000 ____D C:\Users\Klaus\AppData\Local\Syncthing
2015-11-26 00:29 - 2014-04-08 21:21 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\Skype
2015-11-24 22:00 - 2015-08-16 23:08 - 00000000 ____D C:\Users\Klaus
2015-11-24 21:12 - 2014-12-24 22:04 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\XnView
2015-11-24 20:30 - 2015-01-05 22:36 - 00000000 ____D C:\Users\Klaus\Downloads\temp
2015-11-24 14:07 - 2014-10-05 21:55 - 00000000 ____D C:\Users\Klaus\jameica_boe
2015-11-24 14:07 - 2014-04-08 19:36 - 00000000 ____D C:\Users\Klaus\.jameica
2015-11-23 14:43 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\rescache
2015-11-23 12:11 - 2014-04-10 22:01 - 00000000 ____D C:\Users\Klaus\AppData\Local\Adobe
2015-11-23 05:16 - 2015-07-10 09:20 - 00000000 ____D C:\WINDOWS\CbsTemp
2015-11-23 02:38 - 2015-07-10 10:55 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2015-11-23 02:35 - 2015-07-10 10:53 - 00537552 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2015-11-23 02:32 - 2015-07-10 14:16 - 00000000 ____D C:\Program Files\Windows Journal
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___SD C:\WINDOWS\system32\F12
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___RD C:\WINDOWS\PurchaseDialog
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ___RD C:\WINDOWS\DevicesFlow
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\WinBioPlugIns
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\SystemResetPlatform
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\oobe
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\appraiser
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\Provisioning
2015-11-23 02:32 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\L2Schemas
2015-11-23 02:32 - 2015-07-10 07:59 - 00000000 ____D C:\Windows
2015-11-23 02:26 - 2015-07-10 07:59 - 00262144 ___SH C:\WINDOWS\system32\config\BBI
2015-11-23 02:08 - 2014-04-10 22:04 - 00000000 ____D C:\Program Files\Common Files\Adobe
2015-11-23 02:07 - 2014-04-10 22:04 - 00000000 ____D C:\ProgramData\Adobe
2015-11-21 01:10 - 2015-01-30 00:21 - 00000892 _____ C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job
2015-11-21 00:14 - 2015-02-04 01:27 - 00000000 ____D C:\Users\Klaus\Documents\ge-15
2015-11-19 23:29 - 2014-06-26 19:09 - 00001084 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
2015-11-19 23:29 - 2014-06-26 19:09 - 00000000 ____D C:\Program Files\Opera
2015-11-13 17:34 - 2014-04-08 19:36 - 00000138 _____ C:\Users\Klaus\.jameica.properties
2015-11-12 02:38 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\AppLocker
2015-11-12 02:32 - 2015-08-17 00:21 - 00000000 __RHD C:\Users\Public\AccountPictures
2015-11-12 02:18 - 2015-01-07 00:06 - 00000275 _____ C:\WINDOWS\WindowsUpdate.log.bak
2015-11-12 02:16 - 2015-07-10 09:28 - 00000000 ____D C:\WINDOWS\system32\Catroot2.bak
2015-11-12 01:46 - 2014-04-07 21:30 - 00000000 ____D C:\WINDOWS\system32\MRT
2015-11-12 01:42 - 2014-04-07 21:30 - 143250520 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2015-11-11 12:14 - 2014-04-08 21:21 - 00000000 ____D C:\ProgramData\Skype
2015-11-08 22:50 - 2014-04-10 18:03 - 00000000 ____D C:\Users\Klaus\Documents\Rest
2015-11-07 16:27 - 2014-04-08 00:39 - 00000000 ____D C:\Users\Klaus\AppData\Local\ElevatedDiagnostics
2015-11-06 02:56 - 2014-12-12 21:38 - 00000000 ____D C:\Users\Klaus\AppData\Roaming\RagTime
2015-11-05 00:31 - 2014-04-10 17:52 - 00000000 ____D C:\Users\Klaus\Documents\ge
2015-11-03 22:24 - 2015-03-18 00:08 - 00000000 ____D C:\Users\Klaus\Downloads\Produkte
2015-11-03 19:20 - 2015-10-14 15:32 - 00810488 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2015-11-03 19:20 - 2015-10-14 15:32 - 00176632 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2015-11-03 06:50 - 2015-07-17 01:02 - 00000000 ____D C:\found.000
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2014-04-24 22:08 - 2014-04-24 22:10 - 0000084 _____ () C:\Users\Klaus\AppData\Roaming\sversion.ini
2014-04-24 22:12 - 2014-04-24 22:12 - 0008192 _____ () C:\Users\Klaus\AppData\Roaming\user52.rdb
2014-04-20 21:43 - 2015-10-18 19:43 - 0001188 _____ () C:\Users\Klaus\AppData\Local\crc32list11.txt
2014-04-23 16:38 - 2015-07-20 18:09 - 0007668 _____ () C:\Users\Klaus\AppData\Local\resmon.resmoncfg
Einige Dateien in TEMP:
====================
C:\Users\Klaus\AppData\Local\Temp\jre-8u60-windows-au.exe
C:\Users\Klaus\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\Klaus\AppData\Local\Temp\SkypeSetup.exe
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2015-11-19 13:03
==================== Ende vom FRST.txt ============================
|
| Themen zu Windows 10: Trojaner Ransom:Win32/Critroni - Meldung Defender + entfernt |
| administrator, adobe, cpu, ctb-locker, defender, dnsapi.dll, explorer, firewall, flash player, helper, meldung defender, mozilla, nvidia, opera, pdf, proxy, prozesse, registry, scan, server, services.exe, software, starmoney, svchost.exe, system, trojaner, trojaner win32/critroni, udp, windows, windows 10 pro, winlogon.exe |
Baum-Darstellung