Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.
Habe mir schon wieder eine Schadsoftware eingefangen. Sophos zeigt eine Meldung an. Da ich leider erst am Abend wieder zu Hause bin, kann ich jetzt nicht direkt sagen, welche Meldung es ist.
Installiere oder Deinstalliere keine Software ohne Aufforderung
Bitte verwende nur die Tools welche hier im Thread erwähnt werden
Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
Sollte ich nicht innerhalb von 48h antworten, schreibe mir eine PM!
Wir benötigen für eine sinnvolle Analyse zuerst ein FRST-Log. Und dann bitte auch die Meldung von Sophos posten
Schritt # 1: FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit|FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Ich kann nun den PC gar nicht mehr starten. Es kommt immer das Startup Repair. Ich habe übrigens Windows 7 64 bit. Mir ist es nun aber gelungen die Eingabeaufforderung zu starten und dann auch frst64 zu starten (USB stick). Ich habe einen Scan gemacht. Das Log findest du im Anhang.
gar nicht schön. Am besten alle deine Passwörter ändern.
Zukünftig bitte so posten:
Lesestoff: Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
Schritt # 1: FRSTRE-Fix
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Ich habe den USB-Stick zuerst in einen sauberen PC gesteckt um die frst.exe auf den stick zu kopieren. Dann habe ich den Stick in den infizierten PC gesteckt um das log zu erstellen. Dann habe ich den Stick wieder in den sauberen PC gesteckt um das Log hier zu posten. Ist mein sauberer PC nun auch infiziert?
Hier sind die logs:
Fixlog.txt
Code:
ATTFilter
Fix result of Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Ran by SYSTEM (2016-01-11 23:16:09) Run:1
Running from f:\
Boot Mode: Recovery
==============================================
fixlist content:
*****************
S2 syshost32; C:\Windows\Installer\{C9C85C24-D19D-A68A-04C4-37AFE495B90B}\syshost.exe [219406 2015-12-08] ()
C:\Windows\Installer\{C9C85C24-D19D-A68A-04C4-37AFE495B90B}
S0 97e65d5cf24733a8; C:\Windows\System32\Drivers\97e65d5cf24733a8.sys [96704 2015-12-08]
C:\Windows\System32\Drivers\97e65d5cf24733a8.sys
C:\Users\WinUser04\uninstall.bat
C:\Users\WinUser04\uninstallFull.bat
SaveMbr: drive=0
*****************
syshost32 => service removed successfully
C:\Windows\Installer\{C9C85C24-D19D-A68A-04C4-37AFE495B90B} => moved successfully
97e65d5cf24733a8 => service removed successfully
C:\Windows\System32\Drivers\97e65d5cf24733a8.sys => moved successfully
C:\Users\WinUser04\uninstall.bat => moved successfully
C:\Users\WinUser04\uninstallFull.bat => moved successfully
MBRDUMP.txt is made successfully.
==== End of Fixlog 23:16:09 ====
sehr unwahrscheinlich, dass der andere PC auch infiziert ist, aber wir können ihn uns gerne anschauen, nachdem wir mit dem fertig sind
Bitte jetzt frische FRST-Logs vom Desktop aus erstellen wie in meinem ersten Post beschrieben. Und die MBRDUMP.txt bitte anhängen (in CODE-Tags funktioniert das nicht vernünftig).
Ich habe hier übrigens auch noch einen kleinen Server, keien Ahnung ob der auch betroffen ist.
Die MBRDUMP.txt ist im Anhang.
Hier sind nun die Logs des infizierten PCs.
FRST.txt
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:10-01-2015 01
durchgeführt von WinUser04 (Administrator) auf WW620003104 (12-01-2016 00:51:37)
Gestartet von C:\Users\WinUser04\Desktop
Geladene Profile: NetAgent & WinUser04 (Verfügbare Profile: Admin & NetAgent & Admin & WinUser04)
Platform: Windows 7 Ultimate Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(ActivIdentity) C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
(DameWare Development LLC) C:\Windows\SysWOW64\DWRCS.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPurasLog.exe
() C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\EPSON\EPuras\EPuras.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
(DameWare Development) C:\Windows\SysWOW64\DWRCST.EXE
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acsagent.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe
(Brother Industries Ltd.) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [acevents] => C:\Program Files\ActivIdentity\ActivClient\acevents.exe [196648 2009-06-03] (ActivIdentity)
HKLM\...\Run: [accrdsub] => C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe [483880 2009-06-03] (ActivIdentity)
HKLM\...\Run: [Seagull Drivers] => ssdal_nc.exe startup
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [ControlCenter4] => C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe [139264 2010-10-22] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2621440 2010-06-10] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [DameWare MRC Agent] => C:\Windows\SysWOW64\DWRCST.exe [78848 2009-02-04] (DameWare Development)
HKLM\...\Winlogon: [Userinit] C:\Program Files\Pharmatic\ErgoStart\ErgoStart.exe
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {0d0d1f3f-c2ef-11e2-bde6-806e6f6e6963} - E:\start.exe
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\MountPoints2: {9bb6793f-c947-11e2-bc40-c8600085c111} - "D:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Run: [OfficeSyncProcess] => C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [721504 2015-09-02] (Microsoft Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\Policies\Explorer: [QuickLaunchEnabled] 1
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured_x64.dll => Keine Datei
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\sophos_detoured.dll => Keine Datei
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-23]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-23]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
Startup: C:\Users\WinUser04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FAXRX.lnk [2013-06-12]
ShortcutTarget: FAXRX.lnk -> C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe (Brother Industries Ltd.)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 10.101.103.11 10.101.103.1
Tcpip\..\Interfaces\{9466D0A5-B83B-4E7C-BEE1-13E50F0D2C40}: [DhcpNameServer] 10.101.103.11 10.101.103.1
Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
SearchScopes: HKU\S-1-5-21-749421615-2386836196-3283403883-1137 -> {45572F25-DA79-44B7-84EC-94D40B416F94} URL = hxxps://www.google.com/search?q={searchTerms}
BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-18] (Microsoft Corporation)
BHO-x32: Microsoft-Konto-Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2012-07-17] (Microsoft Corp.)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
DPF: HKLM-x32 {0F7A9297-7268-11D1-B81A-00A076C01B0A} hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
DPF: HKLM-x32 {BF4D1B76-AEB1-47E8-8ACA-13465515C531} hxxp://www.hpcsystem.ch/aims/CertifMgr-All.CAB
FireFox:
========
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-09-30] (Adobe Systems Inc.)
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
R2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 EpsonPuras; C:\Program Files\EPSON\EPuras\EPuras.exe [765952 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
R2 EpsonPurasLog; C:\Program Files\EPSON\EPuras\EPurasLog.exe [444928 2010-07-01] (SEIKO EPSON CORPORATION) [Datei ist nicht signiert]
S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
R2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S2 EPSON TM Parallel Port Driver; C:\Windows\system32\drivers\tmlpt.sys [21640 2010-07-01] (SEIKO EPSON CORPORATION)
S3 IFCoEMP; C:\Windows\system32\drivers\ifM60x64.sys [388368 2011-11-30] (Intel(R) Corporation)
S3 IFCoEVB; C:\Windows\system32\drivers\ifP60X64.sys [78096 2011-11-30] (Intel(R) Corporation)
S3 ISCT; C:\Windows\system32\drivers\ISCTD64.sys [46016 2012-08-24] ()
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-06-18] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [63704 2015-06-18] (Malwarebytes Corporation)
S3 megasas2; C:\Windows\system32\drivers\megasas2.sys [52008 2012-05-30] (LSI Corporation)
R3 OxPCIeMf; C:\Windows\System32\DRIVERS\OxPCIeMf.sys [62000 2009-09-24] (OEM)
R3 OxPCIeSer; C:\Windows\System32\DRIVERS\OxPCIeSer.sys [102960 2009-09-24] (OEM)
U5 TMUSB; C:\Windows\System32\DRIVERS\TMUSB64.SYS [61088 2009-11-25] (SEIKO EPSON CORPORATION)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 07:17 - 2016-01-12 00:51 - 00000000 ____D C:\FRST
2016-01-12 00:51 - 2016-01-12 00:51 - 00012912 _____ C:\Users\WinUser04\Desktop\FRST.txt
2016-01-12 00:51 - 2016-01-12 00:48 - 02370560 _____ (Farbar) C:\Users\WinUser04\Desktop\FRST64.exe
2016-01-11 23:17 - 2016-01-11 23:17 - 00008148 __RSH C:\ProgramData\ntuser.pol
2016-01-11 23:17 - 2016-01-11 23:17 - 00001188 __RSH C:\Users\WinUser04\ntuser.pol
2016-01-10 15:15 - 2016-01-10 15:15 - 00000000 ____D C:\Users\WinUser04\AppData\Roaming\TeamViewer
2016-01-07 10:20 - 2016-01-12 07:28 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BHTtransfer
2016-01-07 10:20 - 2016-01-12 07:28 - 00000000 ____D C:\BHTtransfer
2016-01-07 10:20 - 2016-01-07 10:20 - 00000644 _____ C:\Users\Public\Desktop\BHTtransfer.lnk
2016-01-07 10:20 - 2006-05-30 08:58 - 00001893 _____ C:\BHTtransferInstall.vbs
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 07:28 - 2015-10-08 20:46 - 00000000 ___SD C:\Windows\system32\GWX
2016-01-12 07:28 - 2013-05-30 16:08 - 00000000 ___HD C:\Windows\system32\dwrcssft
2016-01-12 07:28 - 2013-05-23 08:35 - 00000000 ____D C:\Users\admin.DW620003
2016-01-12 07:28 - 2013-05-22 15:55 - 00000000 ____D C:\Users\Admin
2016-01-12 07:28 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\security
2016-01-12 07:28 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\registration
2016-01-12 07:28 - 2009-07-14 04:20 - 00000000 ____D C:\Windows
2016-01-12 00:51 - 2013-05-23 08:32 - 00000128 _____ C:\Windows\system32\config\netlogon.ftl
2016-01-12 00:44 - 2009-07-14 05:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-01-12 00:44 - 2009-07-14 05:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-01-12 00:40 - 2013-05-06 12:55 - 00740576 _____ C:\Windows\system32\perfh00C.dat
2016-01-12 00:40 - 2013-05-06 12:55 - 00734906 _____ C:\Windows\system32\perfh010.dat
2016-01-12 00:40 - 2013-05-06 12:55 - 00702964 _____ C:\Windows\system32\perfh007.dat
2016-01-12 00:40 - 2013-05-06 12:55 - 00150604 _____ C:\Windows\system32\perfc007.dat
2016-01-12 00:40 - 2013-05-06 12:55 - 00150444 _____ C:\Windows\system32\perfc00C.dat
2016-01-12 00:40 - 2013-05-06 12:55 - 00147710 _____ C:\Windows\system32\perfc010.dat
2016-01-12 00:40 - 2009-07-14 06:13 - 03403060 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-12 00:40 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-01-12 00:36 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-11 23:24 - 2013-06-07 20:06 - 00000160 _____ C:\Windows\Brfaxrx.ini
2016-01-11 23:17 - 2013-05-23 13:03 - 00000000 ____D C:\Users\WinUser04
2016-01-11 23:17 - 2013-05-23 08:40 - 00000000 ____D C:\Users\NetAgent
2016-01-07 11:07 - 2013-05-23 08:44 - 00000000 ____D C:\Program Files (x86)\Sophos
2016-01-07 11:06 - 2013-05-23 08:44 - 00000000 ____D C:\ProgramData\Sophos
2016-01-07 11:01 - 2013-07-30 23:37 - 00000000 ____D C:\Windows\system32\appmgmt
2016-01-07 10:08 - 2015-12-09 00:20 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-01-07 08:19 - 2013-06-07 20:07 - 00001330 _____ C:\Windows\BRCALIB.INI
2016-01-06 14:20 - 2013-05-30 12:23 - 00131954 _____ C:\Windows\SysWOW64\DesToolBarCfg.tb
2016-01-06 11:50 - 2013-07-25 16:59 - 00033925 _____ C:\Windows\HeilogRecipe2006.ini
2016-01-06 11:49 - 2013-07-11 09:04 - 00000013 _____ C:\Windows\heilogCD.ini
2016-01-04 18:15 - 2014-05-20 13:21 - 00015688 _____ C:\Users\WinUser04\Desktop\Auskunftsdienst_VeKa_2014-04-24.xlsx
2016-01-02 08:08 - 2015-12-09 00:20 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-01-02 08:08 - 2013-07-30 15:59 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-01-02 08:08 - 2013-05-23 08:40 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-12-29 19:49 - 2013-05-30 21:59 - 00013030 _____ C:\PDOXUSRS.NET
2015-12-29 19:49 - 2013-05-30 21:59 - 00000032 _____ C:\Pdoxusrs.dat
2015-12-28 12:37 - 2013-08-19 08:08 - 00000000 ____D C:\Users\WinUser04\AppData\Local\ElevatedDiagnostics
2015-12-23 23:59 - 2013-05-30 15:40 - 00001682 _____ C:\Users\WinUser04\Desktop\daten auf dem server.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002517 _____ C:\Users\WinUser04\Desktop\Kontaktadressen_Industriepartner_2011_Jubiläumsbroschüren_Vorlage.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002468 _____ C:\Users\WinUser04\Desktop\KostenstellenrechnungMedikmente_Vorlage04_2004vom 10.05.05.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002422 _____ C:\Users\WinUser04\Desktop\layout_tp_790x590_Dienstleistungen_110912.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002405 _____ C:\Users\WinUser04\Desktop\Med.doc - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002398 _____ C:\Users\WinUser04\Desktop\Anmeldeformular (1).xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002394 _____ C:\Users\WinUser04\Desktop\rz_tp_790x590_Dienstleistungen_250912.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002268 _____ C:\Users\WinUser04\Desktop\110919_schweizerillustrierte_beratung.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002247 _____ C:\Users\WinUser04\Desktop\PS_wampfler@libertymail.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002198 _____ C:\Users\WinUser04\Desktop\Eignungstest_Schnupperlehre.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002176 _____ C:\Users\WinUser04\Desktop\Logo.jpg - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002167 _____ C:\Users\WinUser04\Desktop\Rezeptfälschung 130911.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002146 _____ C:\Users\WinUser04\Desktop\Preise07.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002083 _____ C:\Users\WinUser04\Desktop\LU6015Ruopigen.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00002037 _____ C:\Users\WinUser04\Desktop\Logo.pdf - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00001596 _____ C:\Users\WinUser04\Desktop\hs_err_pid2824.log - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00001581 _____ C:\Users\WinUser04\Desktop\Apoplus 3.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00001578 _____ C:\Users\WinUser04\Desktop\Apoplus8.xls - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:09 - 00001474 _____ C:\Users\WinUser04\Desktop\LV 2011 5.1.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00002111 _____ C:\Users\WinUser04\Desktop\Kontrolle im Alterszentrum Staffelhof - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001999 _____ C:\Users\WinUser04\Desktop\Defekt neu - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001996 _____ C:\Users\WinUser04\Desktop\Portraits - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001971 _____ C:\Users\WinUser04\Desktop\ab 01-10 - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001940 _____ C:\Users\WinUser04\Desktop\Installation - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001929 _____ C:\Users\WinUser04\Desktop\Allgemeines - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001926 _____ C:\Users\WinUser04\Desktop\Fotos 2011 - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001896 _____ C:\Users\WinUser04\Desktop\Merc03 - Verknüpfung.lnk
2015-12-23 23:59 - 2013-05-30 14:07 - 00001867 _____ C:\Users\WinUser04\Desktop\A - Verknüpfung.lnk
2015-12-16 10:18 - 2015-11-05 08:48 - 00002077 _____ C:\Users\Public\Desktop\FrontOffice.lnk
Einige Dateien in TEMP:
====================
C:\Users\WinUser04\AppData\Local\Temp\SetupDEU.dll
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-01-09 08:21
==================== Ende von FRST.txt ============================
Additions.txt
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
durchgeführt von WinUser04 (2016-01-12 00:51:52)
Gestartet von C:\Users\WinUser04\Desktop
Windows 7 Ultimate Service Pack 1 (X64) (2013-05-22 14:55:23)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Admin (S-1-5-21-2469412034-1373638886-3076483541-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-2469412034-1373638886-3076483541-500 - Administrator - Disabled)
Gast (S-1-5-21-2469412034-1373638886-3076483541-501 - Limited - Disabled)
NetAgent (S-1-5-21-2469412034-1373638886-3076483541-1002 - Administrator - Enabled) => C:\Users\NetAgent
offlineuser (S-1-5-21-2469412034-1373638886-3076483541-1001 - Administrator - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.009.20079 - Adobe Systems Incorporated)
Adobe Flash Player 20 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 20.0.0.270 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
Brother Driver Deployment Wizard (HKLM-x32\...\{0ED38503-B69A-44B4-98BE-21BFF284A9B6}) (Version: 1.09.000 - Brother)
Brother MFL-Pro Suite MFC-9465CDN (HKLM-x32\...\{979742CC-2CBB-49D8-9BEE-C2F7875F5393}) (Version: 1.0.21.0 - Brother Industries, Ltd.)
D3DX10 (x32 Version: 15.4.2368.0902 - Microsoft) Hidden
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
EPSON Advanced Printer Driver 4 (HKLM-x32\...\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}) (Version: 4.12.0006 - EPSON)
EPSON APD4 Point and Print Support (x32 Version: 4.12.0005 - EPSON) Hidden
Fotogalerie (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Junk Mail filter update (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Malwarebytes Anti-Malware Version 2.1.8.1057 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.8.1057 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (Français) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1036) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (Italiano) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1040) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40728.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Movie Maker (x32 Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
MSXML 4.0 SP3 Parser (HKLM-x32\...\{196467F1-C11F-4F76-858B-5812ADC83B94}) (Version: 4.30.2100.0 - Microsoft Corporation)
MSXML 4.0 SP3 Parser (KB2758694) (HKLM-x32\...\{1D95BA90-F4F8-47EC-A882-441C99D30C1E}) (Version: 4.30.2117.0 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version: - Microsoft)
SII 6.8 Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal) (HKLM-x32\...\SLABCOMM&10C4&EA60) (Version: - )
Silicon Laboratories CP210x VCP Drivers for Windows 7 (HKLM-x32\...\{C3AB24D0-CC76-43BC-B1DC-A53D92BBC0EF}) (Version: 5.40.24 - Silicon Laboratories, Inc.)
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
TMFlogo Utility Ver.2.60E (HKLM-x32\...\{6A8CEE0F-3990-4B24-B69F-2EA67731A05F}) (Version: 1.01.0000 - SEIKO EPSON Corporation)
Tropimed (C:\Users\WinUser04) (HKLM-x32\...\Tropimed) (Version: 7.0.0.0 - Astral inc.)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 16.4.3528.0331 - Microsoft Corporation)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {25A66CE6-7A35-4F25-A289-6D19315F7971} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated)
Task: {3898DBB5-1914-42F5-9C77-6EEAC03589CD} - System32\Tasks\{4B581A4B-1B2A-460F-9363-0A35B0C55C34} => pcalua.exe -a E:\setup-4.7.exe -d E:\
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {BE18B4FE-A147-4014-9B13-54F2ADBA2EEA} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-01-02] (Adobe Systems Incorporated)
Task: {DD9F510C-95F4-499A-90C8-BAC5BC372FF4} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
Shortcut: C:\Users\WinUser04\Desktop\CipherLabInterface.bat - Verknüpfung.lnk -> C:\Temp\CipherLabInterface\CipherLabInterface.bat ()
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2013-05-23 08:40 - 2009-11-03 15:43 - 00072704 _____ () C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
2013-05-23 08:40 - 2009-11-03 15:43 - 00036864 _____ () C:\Program Files\Pharmatic\Scheduler\phOSSchedulerLib.dll
2013-06-07 20:06 - 2010-03-16 00:18 - 00143360 ____R () C:\Windows\system32\BrSNMP64.dll
2012-12-14 01:42 - 2012-12-14 01:42 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2013-06-07 20:06 - 2005-02-02 12:38 - 00024576 ____N () C:\Program Files (x86)\Brother\Brmfl10e\brrunpp.dll
2013-06-07 20:06 - 2009-02-27 15:38 - 00139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-2469412034-1373638886-3076483541-1002\...\ovan.ch -> hxxps://ovan.ch
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1137\...\ovan.ch -> hxxps://ovan.ch
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2015-09-30 23:08 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-749421615-2386836196-3283403883-1137\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 10.101.103.11 - 10.101.103.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 0)
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{6447756E-FDEE-4B7F-BF03-990A9293DD46}] => (Allow) LPort=6160
FirewallRules: [{4E146F4C-1203-4834-A66A-C906A25ADEBD}] => (Allow) LPort=6129
FirewallRules: [{7BD5021B-0FDF-404B-8F9B-B257DA457500}] => (Allow) LPort=6129
FirewallRules: [{BCD002F4-9032-411D-B6F3-CFD621370B76}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{329D07ED-0282-4E7E-A21B-923CFE90AB41}] => (Allow) C:\Program Files (x86)\Brother\Brmfl10e\FAXRX.exe
FirewallRules: [{D9F49703-9CDB-457F-8D8C-D7D4A42A946D}] => (Allow) LPort=54925
FirewallRules: [{931358B0-7C13-4520-95B3-711A9FA2C076}] => (Allow) C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{3CA16C5C-A765-4DA3-847E-AD98E8EC50D8}] => (Allow) LPort=2869
FirewallRules: [{1E57CCFE-0C27-46DD-A060-AD4823593460}] => (Allow) LPort=1900
==================== Wiederherstellungspunkte =========================
20-11-2015 12:17:52 Geplanter Prüfpunkt
27-11-2015 13:06:08 Geplanter Prüfpunkt
05-12-2015 10:43:37 Geplanter Prüfpunkt
12-12-2015 11:55:42 Geplanter Prüfpunkt
19-12-2015 12:58:24 Geplanter Prüfpunkt
28-12-2015 12:37:15 Geplanter Prüfpunkt
05-01-2016 09:32:58 Geplanter Prüfpunkt
07-01-2016 11:00:40 Removed Sophos AutoUpdate
07-01-2016 11:01:02 Removed Sophos Anti-Virus
07-01-2016 11:01:49 Removed Sophos Anti-Virus
07-01-2016 11:02:45 Installed Sophos AutoUpdate
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/12/2016 12:44:00 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: SocketException (code:10060) while UDP Client (discovery) looking for server IP Address :
Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat
Error: (01/12/2016 12:43:30 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: SocketException (code:10060) while UDP Client (message) looking for messages :
Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat
Error: (01/12/2016 12:38:09 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/11/2016 11:18:49 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/11/2016 09:28:08 AM) (Source: Pharmatic.PublishedException) (EventID: 0) (User: )
Description: General Information
*********************************************
Additional Info:
ExceptionManager.MachineName: WW620003104
ExceptionManager.TimeStamp: 11.01.2016 09:28:08
ExceptionManager.FullName: Pharmatic.ERGO.ExceptionManagement, Version=7.36.19.0, Culture=neutral, PublicKeyToken=null
ExceptionManager.AppDomainName: FrontStore.exe
ExceptionManager.AppBaseDirectory: C:\Program Files\Pharmatic\FrontStore\bin\
ExceptionManager.ThreadIdentity:
ExceptionManager.WindowsIdentity: DW620003\WinUser04
1) Exception Information
*********************************************
Exception Type: Pharmatic.ERGO.ExceptionManagement.clsErgoAppException
MachineName: WW620003104
CreatedDateTime: 11.01.2016 09:28:08
AppDomainName: FrontStore.exe
ThreadIdentityName:
WindowsIdentityName: DW620003\WinUser04
Message: \\WW620003104\DATA$ does not exist!!
Data: System.Collections.ListDictionaryInternal
TargetSite: System.String GetImagePath(System.String)
HelpLink: NULL
Source: Pharmatic.ERGO.AppFact
HResult: -2146232832
StackTrace Information
*********************************************
bei Pharmatic.ERGO.AppFact.clsAppFact.GetImagePath(String pstrImage)
bei Pharmatic.ERGO.AppFactWin.clsAppFactWin.GetImageLogo(String pstrImagePath)
bei Pharmatic.ERGO.Win.Controls.ctrPOSAdvertising.InitializeCustomComponent()
Error: (01/11/2016 08:44:57 AM) (Source: Software Protection Platform Service) (EventID: 1001) (User: )
Description: Fehler beim Starten des Softwareschutzdiensts. 0xD0000022
6.1.7601.17514
Error: (01/11/2016 08:44:56 AM) (Source: Software Protection Platform Service) (EventID: 1001) (User: )
Description: Fehler beim Starten des Softwareschutzdiensts. 0xD0000022
6.1.7601.17514
Error: (01/11/2016 07:57:40 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/09/2016 09:28:13 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/09/2016 07:55:37 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Systemfehler:
=============
Error: (01/12/2016 12:37:21 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/12/2016 12:36:20 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet:
%%20
Error: (01/11/2016 11:24:35 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet:
%%20
Error: (01/11/2016 11:18:01 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/11/2016 11:17:00 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "EPSON TM Parallel Port Driver" wurde aufgrund folgenden Fehlers nicht gestartet:
%%20
Error: (01/11/2016 08:44:57 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Software Protection" wurde mit folgendem Fehler beendet:
%%5
Error: (01/11/2016 08:44:56 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Software Protection" wurde mit folgendem Fehler beendet:
%%5
Error: (01/11/2016 07:56:59 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/11/2016 07:55:59 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SAVOnAccess
Error: (01/11/2016 07:55:58 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "MBAMService" ist vom Dienst "MBAMProtector" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31
CodeIntegrity:
===================================
Date: 2015-12-09 00:19:18.543
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\drivers\c4aa6.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2015-12-09 00:19:18.506
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\drivers\c4aa6.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2015-10-01 00:07:57.922
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2015-10-01 00:07:57.891
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
Prozentuale Nutzung des RAM: 18%
Installierter physikalischer RAM: 7129.15 MB
Verfügbarer physikalischer RAM: 5825.25 MB
Summe virtueller Speicher: 14256.5 MB
Verfügbarer virtueller Speicher: 12824.61 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:111.69 GB) (Free:58.9 GB) NTFS
Drive m: (Data) (Network) (Total:180.81 GB) (Free:107.16 GB) NTFS
Drive n: (Data) (Network) (Total:180.81 GB) (Free:107.16 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 9DA35BCF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.7 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Vielen Dank für die super Hilfe. Werde Sophos wieder draufhauen.
Kann man eventuell auch nachschauen wie genau der Trojaner auf das System kam?
Hier sind die Logs.
PC (FRST):
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:10-01-2015 01
durchgeführt von WinUser03 (Administrator) auf WW620003103 (12-01-2016 00:48:51)
Gestartet von C:\Users\WinUser03\Desktop
Geladene Profile: NetAgent & WinUser03 (Verfügbare Profile: admin & NetAgent & WinUser03)
Platform: Windows 7 Ultimate Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(ActivIdentity) C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
(DameWare Development LLC) C:\Windows\SysWOW64\DWRCS.EXE
(Elo Touchsystems) C:\Windows\SysWOW64\EloSrvce.exe
(DameWare Development) C:\Windows\SysWOW64\DWRCST.EXE
() C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Elo Touchsystems) C:\Windows\SysWOW64\EloDkMon.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acsagent.exe
(Elo Touchsystems) C:\Windows\SysWOW64\EloTTray.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [acevents] => C:\Program Files\ActivIdentity\ActivClient\acevents.exe [196648 2009-06-03] (ActivIdentity)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [accrdsub] => C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe [483880 2009-06-03] (ActivIdentity)
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [Sophos AutoUpdate Monitor] => C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe [1592104 2015-08-28] (Sophos Limited)
HKLM-x32\...\Run: [DameWare MRC Agent] => C:\Windows\SysWOW64\DWRCST.exe [78848 2009-02-04] (DameWare Development)
HKLM\...\Winlogon: [Userinit] C:\Program Files\Pharmatic\ErgoStart\ErgoStart.exe
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\Policies\Explorer: [QuickLaunchEnabled] 1
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~2.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll [217672 2015-03-04] (Sophos Limited)
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured.dll [275352 2015-03-04] (Sophos Limited)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-30]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-30]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 10.101.103.11 10.101.103.1
Tcpip\..\Interfaces\{1BD547B5-8A44-48B6-9410-658F52277560}: [DhcpNameServer] 10.101.103.11 10.101.103.1
Internet Explorer:
==================
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL [2013-12-18] (Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
DPF: HKLM-x32 {0F7A9297-7268-11D1-B81A-00A076C01B0A} hxxps://www.ovan.ch/OFAC_EXCLUSIF/ALL/CpcViewAx/CpcViewAX.cab
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
FireFox:
========
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @Google.com/GoogleEarthPlugin -> C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll [2013-10-07] (Google)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [2015-12-05] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [2015-12-05] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-09-30] (Adobe Systems Inc.)
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
R2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
R2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 EloSystemService; C:\Windows\SysWOW64\EloSrvce.exe [73728 2009-07-09] (Elo Touchsystems) [Datei ist nicht signiert]
R2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [288552 2015-01-29] (Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [208168 2015-03-04] (Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [340264 2015-08-28] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [341800 2015-03-04] (Sophos Limited)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3274536 2015-03-04] (Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2065704 2015-03-04] (Sophos Limited)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R3 elomoufiltr; C:\Windows\System32\DRIVERS\elofiltr.sys [35376 2009-06-22] (Elo Touchsystems )
R3 EloUsb; C:\Windows\System32\DRIVERS\EloUsb.sys [71472 2009-06-22] (Elo Touchsystems )
R3 OxPCIeMf; C:\Windows\System32\DRIVERS\OxPCIeMf.sys [62000 2009-09-24] (OEM)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [158976 2015-01-29] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [38144 2015-01-29] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [27904 2015-01-29] (Sophos Limited)
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 00:48 - 2016-01-12 00:49 - 00010688 _____ C:\Users\WinUser03\Desktop\FRST.txt
2016-01-12 00:48 - 2016-01-12 00:48 - 02370560 _____ (Farbar) C:\Users\WinUser03\Desktop\FRST64.exe
2016-01-11 22:50 - 2016-01-11 22:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
2016-01-11 22:50 - 2016-01-11 22:50 - 00000000 ____D C:\Program Files\7-Zip
2016-01-11 21:57 - 2016-01-11 21:57 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 00:48 - 2015-09-30 23:08 - 00000000 ____D C:\FRST
2016-01-12 00:46 - 2009-07-14 05:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-01-12 00:46 - 2009-07-14 05:45 - 00021872 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-01-12 00:43 - 2015-09-20 21:43 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-01-12 00:42 - 2013-02-26 15:58 - 00731964 _____ C:\Windows\system32\perfh010.dat
2016-01-12 00:42 - 2013-02-26 15:58 - 00146828 _____ C:\Windows\system32\perfc010.dat
2016-01-12 00:42 - 2013-02-26 15:55 - 00699416 _____ C:\Windows\system32\perfh007.dat
2016-01-12 00:42 - 2013-02-26 15:55 - 00149556 _____ C:\Windows\system32\perfc007.dat
2016-01-12 00:42 - 2013-02-26 15:54 - 00737634 _____ C:\Windows\system32\perfh00C.dat
2016-01-12 00:42 - 2013-02-26 15:54 - 00149562 _____ C:\Windows\system32\perfc00C.dat
2016-01-12 00:42 - 2009-07-14 06:13 - 03386436 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-12 00:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-01-12 00:38 - 2014-04-02 16:13 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-01-12 00:38 - 2013-05-30 16:25 - 00000128 _____ C:\Windows\system32\config\netlogon.ftl
2016-01-12 00:38 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-11 23:18 - 2014-04-02 16:13 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-01-07 17:36 - 2013-05-30 17:00 - 00131894 _____ C:\Windows\SysWOW64\DesToolBarCfg.tb
2016-01-02 08:43 - 2015-09-20 21:43 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-01-02 08:43 - 2015-09-20 21:43 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-01-02 08:43 - 2013-05-30 16:49 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-12-29 11:25 - 2013-07-05 14:13 - 00000477 _____ C:\Users\WinUser03\Desktop\Pharmavista, where healthcare professionals find better information.website
2015-12-14 14:23 - 2013-07-05 14:13 - 00000707 _____ C:\Users\WinUser03\Desktop\Großhandel Pharmavertrieb Heinze.website
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-01-09 16:27
==================== Ende von FRST.txt ============================
PC (Addition):
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
durchgeführt von WinUser03 (2016-01-12 00:49:30)
Gestartet von C:\Users\WinUser03\Desktop
Windows 7 Ultimate Service Pack 1 (X64) (2013-05-30 15:29:42)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
admin (S-1-5-21-3438071219-627891678-3997129449-1000 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-3438071219-627891678-3997129449-500 - Administrator - Disabled)
Gast (S-1-5-21-3438071219-627891678-3997129449-501 - Limited - Disabled)
NetAgent (S-1-5-21-3438071219-627891678-3997129449-1002 - Administrator - Enabled) => C:\Users\NetAgent
offlineuser (S-1-5-21-3438071219-627891678-3997129449-1001 - Limited - Enabled)
SophosSAUWW620003100 (S-1-5-21-3438071219-627891678-3997129449-1008 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Sophos Anti-Virus (Enabled - Out of date) {6BABF8F7-3EB6-BD1D-9167-8C5ECA060A29}
AS: Sophos Anti-Virus (Enabled - Out of date) {D0CA1913-188C-B293-ABD7-B72CB1814094}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
7-Zip 15.14 (x64) (HKLM\...\7-Zip) (Version: 15.14 - Igor Pavlov)
ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.009.20079 - Adobe Systems Incorporated)
Adobe Flash Player 20 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 20.0.0.270 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
Elo Universal Driver 4.8.7 Beta 2 (HKLM\...\EloTouchscreen) (Version: 4.8.7 Beta 2 - Elo TouchSystems)
Google Earth Plug-in (HKLM-x32\...\{4AB54F11-2F8C-11E3-B09F-B8AC6F97B88E}) (Version: 7.1.2.2041 - Google)
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.29.1 - Google Inc.) Hidden
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.2932 - Intel Corporation)
Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (Français) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1036) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (Italiano) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1040) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (HKLM-x32\...\Office14.PROPLUSR) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40728.0 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version: - Microsoft)
SII 6.8 Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Sophos Anti-Virus (HKLM-x32\...\{D929B3B5-56C6-46CC-B3A3-A1A784CBB8E4}) (Version: 10.3.15 - Sophos Limited)
Sophos AutoUpdate (HKLM-x32\...\{7CD26A0C-9B59-4E84-B5EE-B386B2F7AA16}) (Version: 4.3.10.27 - Sophos Limited)
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {01AD804F-F94D-49BA-979E-FC15766828AE} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-01-02] (Adobe Systems Incorporated)
Task: {0527CCFB-93FF-47CD-B7EB-3314CB8E3712} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated)
Task: {4AF4C800-A6F2-4120-91C3-5256B1F09358} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {8B629DE1-C77A-4578-840C-1049C1269D3C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {C1FBB1B4-7531-47E7-849B-8D3A9AA0FE9A} - System32\Tasks\sunday0615 => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-01-29] (Sophos Limited)
Task: {D49A9E37-5704-43A3-8156-F49E04B52434} - System32\Tasks\{32A259EC-AE54-46C8-B6FD-B3991A5440CE} => pcalua.exe -a E:\Admin\PrepTool\Setup_PrepTool.exe -d E:\Admin\PrepTool
Task: {DD9F510C-95F4-499A-90C8-BAC5BC372FF4} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\sunday0615.job => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2013-05-30 16:49 - 2009-11-03 15:43 - 00072704 _____ () C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
2013-05-30 16:49 - 2009-11-03 15:43 - 00036864 _____ () C:\Program Files\Pharmatic\Scheduler\phOSSchedulerLib.dll
2013-05-30 15:58 - 2011-03-25 23:28 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SAVService => ""="service"
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\ofac.ch -> ofac.ch
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1147\...\ovan.ch -> ovan.ch
==================== Hosts Inhalt: ==========================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2013-02-26 15:53 - 00000945 ____A C:\Windows\system32\Drivers\etc\hosts
192.168.224.1 srvprep toolkit
192.168.224.5 wiki
192.168.224.41 susepxe
192.168.224.51 nasprep
192.168.220.200 wds
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-749421615-2386836196-3283403883-1147\Control Panel\Desktop\\Wallpaper -> C:\Users\WinUser03\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 10.101.103.11 - 10.101.103.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 0)
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{74A7DBBB-81AD-48AE-A3C8-C748F8828B6D}] => (Allow) LPort=6129
FirewallRules: [{1E34FBB3-D029-4D9A-BC82-B7DAFFC99C4D}] => (Allow) LPort=6129
==================== Wiederherstellungspunkte =========================
16-10-2015 09:13:16 Windows Update
16-10-2015 09:13:55 Windows Update
16-10-2015 09:15:25 Windows Update
16-10-2015 09:17:02 Windows Update
16-10-2015 09:20:42 Windows Update
16-10-2015 09:22:41 Windows Update
16-10-2015 09:23:19 Windows Update
16-10-2015 09:24:50 Windows Update
16-10-2015 09:26:47 Windows Update
16-10-2015 09:28:22 Windows Update
16-10-2015 09:29:39 Windows Update
16-10-2015 09:31:14 Windows Update
16-10-2015 09:32:51 Windows Update
16-10-2015 09:34:36 Windows Update
16-10-2015 09:36:13 Windows Update
16-10-2015 09:37:49 Windows Update
16-10-2015 09:39:24 Windows Update
16-10-2015 09:40:59 Windows Update
16-10-2015 09:44:37 Windows Update
16-10-2015 09:45:39 Windows Update
16-10-2015 09:47:31 Windows Update
16-10-2015 09:48:20 Windows Update
16-10-2015 09:50:09 Windows Update
16-10-2015 09:51:48 Windows Update
16-10-2015 09:53:30 Windows Update
16-10-2015 09:55:18 Windows Update
16-10-2015 09:58:20 Windows Update
16-10-2015 09:59:17 Windows Update
16-10-2015 10:00:52 Windows Update
16-10-2015 10:02:20 Windows Update
16-10-2015 10:04:22 Windows Update
16-10-2015 10:05:33 Windows Update
16-10-2015 10:08:20 Windows Update
16-10-2015 10:09:29 Windows Update
16-10-2015 10:11:42 Windows Update
16-10-2015 10:12:29 Windows Update
16-10-2015 10:14:14 Windows Update
16-10-2015 10:15:52 Windows Update
16-10-2015 10:17:29 Windows Update
16-10-2015 10:19:00 Windows Update
16-10-2015 10:20:27 Windows Update
16-10-2015 10:22:04 Windows Update
16-10-2015 10:23:35 Windows Update
16-10-2015 10:26:03 Windows Update
16-10-2015 10:27:07 Windows Update
16-10-2015 10:29:37 Windows Update
16-10-2015 10:31:30 Windows Update
16-10-2015 10:33:02 Windows Update
16-10-2015 10:34:46 Windows Update
16-10-2015 10:39:00 Windows Update
16-10-2015 10:42:01 Windows Update
16-10-2015 10:43:55 Windows Update
19-10-2015 12:48:58 Windows Update
27-10-2015 08:49:04 Geplanter Prüfpunkt
04-11-2015 12:41:44 Geplanter Prüfpunkt
12-11-2015 12:27:38 Geplanter Prüfpunkt
20-11-2015 12:29:21 Geplanter Prüfpunkt
22-11-2015 02:50:41 Windows Update
30-11-2015 09:26:50 Geplanter Prüfpunkt
08-12-2015 10:25:24 Geplanter Prüfpunkt
15-12-2015 12:31:11 Geplanter Prüfpunkt
23-12-2015 12:31:44 Geplanter Prüfpunkt
30-12-2015 12:35:31 Geplanter Prüfpunkt
06-01-2016 12:39:23 Geplanter Prüfpunkt
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: 16C95x Serial Port
Description: 16C95x Serial Port
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: 16C95x Serial Port
Description: 16C95x Serial Port
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: 16C95x Serial Port
Description: 16C95x Serial Port
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: 16C95x Serial Port
Description: 16C95x Serial Port
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/12/2016 12:43:50 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: SocketException (code:10060) while UDP Client (discovery) looking for server IP Address :
Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat
Error: (01/12/2016 12:43:20 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: SocketException (code:10060) while UDP Client (message) looking for messages :
Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat
Error: (01/12/2016 12:39:09 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/11/2016 09:11:39 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/11/2016 07:28:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/11/2016 08:33:41 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/10/2016 05:38:30 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/09/2016 07:55:38 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/08/2016 08:01:05 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/07/2016 07:57:51 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Systemfehler:
=============
Error: (01/12/2016 12:39:51 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/11/2016 09:20:06 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus lautet: 10.
Error: (01/11/2016 09:20:06 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus lautet: 10.
Error: (01/11/2016 09:11:56 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/11/2016 09:10:55 PM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1030) (User: DW620003)
Description: Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Error: (01/11/2016 09:10:52 PM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1030) (User: NT-AUTORITÄT)
Description: Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Error: (01/11/2016 09:10:47 PM) (Source: NETLOGON) (EventID: 5719) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne DW620003 aufgrund der folgenden
Ursache nicht einrichten:
%%1311
Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.
ZUSÄTZLICHE INFORMATIONEN
Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.
Error: (01/11/2016 07:29:01 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/11/2016 08:36:22 AM) (Source: Schannel) (EventID: 4102) (User: NT-AUTORITÄT)
Description: Schwerwiegender Fehler beim Zugriff auf den privaten Schlüssel der Anmeldeinformationen Client für SSL. Der vom kryptografischen Modul zurückgegebene Fehlercode lautet 0x8009030d. Der interne Fehlerstatus ist 10003.
Error: (01/11/2016 08:36:15 AM) (Source: Schannel) (EventID: 4102) (User: NT-AUTORITÄT)
Description: Schwerwiegender Fehler beim Zugriff auf den privaten Schlüssel der Anmeldeinformationen Client für SSL. Der vom kryptografischen Modul zurückgegebene Fehlercode lautet 0x8009030d. Der interne Fehlerstatus ist 10003.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i5-2400 CPU @ 3.10GHz
Prozentuale Nutzung des RAM: 26%
Installierter physikalischer RAM: 5563.05 MB
Verfügbarer physikalischer RAM: 4080.02 MB
Summe virtueller Speicher: 11124.31 MB
Verfügbarer virtueller Speicher: 9570.49 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:465.66 GB) (Free:354.55 GB) NTFS
Drive m: (Data) (Network) (Total:180.81 GB) (Free:107.16 GB) NTFS
Drive n: (Data) (Network) (Total:180.81 GB) (Free:107.16 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 023F1DB1)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=465.7 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
Server (FRST):
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:10-01-2015 01
durchgeführt von console01 (Administrator) auf SW620003001 (12-01-2016 01:00:43)
Gestartet von C:\Users\Console01\Desktop
Geladene Profile: Admin & console01 & NetAgent (Verfügbare Profile: Admin & console01 & NetAgent & tec & SuperUser & Classic .NET AppPool)
Platform: Windows Server 2008 R2 Standard Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 9 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(ActivIdentity) C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(Microsoft Corporation) C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
(Microsoft Corporation) C:\Windows\System32\dfsrs.exe
(Microsoft Corporation) C:\Windows\System32\dns.exe
(DameWare Development LLC) C:\Windows\SysWOW64\DWRCS.EXE
() C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Microsoft Corporation) C:\Windows\System32\ismserv.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL10_50.ERGO\MSSQL\Binn\sqlservr.exe
() C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
(Pharmatic AG) C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Microsoft Corporation) C:\Windows\System32\dfssvc.exe
(PHARMATIC AG) C:\Program Files\Pharmatic\ErgoSvc\ERGOService.exe
() C:\Program Files (x86)\MegaRAID Storage Manager\Framework\VivaldiFramework.exe
(Microsoft Corporation) C:\Windows\SysWOW64\cmd.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\MegaRAID Storage Manager\JRE\bin\javaw.exe
() C:\Program Files (x86)\MegaRAID Storage Manager\MegaMonitor\mrmonitor.exe
(Microsoft Corporation) C:\Windows\System32\vds.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acevents.exe
(ActivIdentity) C:\Program Files\ActivIdentity\ActivClient\acsagent.exe
(OS) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe
() C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
(Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\MegaRAID Storage Manager\JRE\bin\java.exe
(Microsoft Corporation) C:\Windows\System32\iashost.exe
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Seagull Drivers] => ssdal_nc.exe startup
HKLM-x32\...\Run: [Popup] => C:\Program Files (x86)\MegaRAID Storage Manager\MegaPopup\Popup.exe [61440 2010-11-22] (LSI)
HKLM-x32\...\Run: [Eaton Systray Launcher] => C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe [4688368 2013-05-30] ()
HKLM-x32\...\Run: [Sophos AutoUpdate Monitor] => C:\Program Files (x86)\Sophos\AutoUpdate\almon.exe [1592104 2015-08-27] (Sophos Limited)
HKLM\...\Winlogon: [Userinit] "actsinit.exe",C:\Program Files\Pharmatic\ErgoStart\ErgoStart.exe
HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\Policies\Explorer: [NoAutoTrayNotify] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\Policies\Explorer: [ForceStartMenuLogOff] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\Policies\Explorer: [QuickLaunchEnabled] 1
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\Policies\Explorer: [NoSecurityTab] 1
AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~2.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll [217672 2015-03-03] (Sophos Limited)
AppInit_DLLs-x32: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sophos_detoured.dll [275352 2015-03-03] (Sophos Limited)
Lsa: [Notification Packages] scecli rassfm
SecurityProviders: credssp.dll, pwdssp.dll
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ActivClient Agent.lnk [2013-05-22]
ShortcutTarget: ActivClient Agent.lnk -> C:\Program Files\ActivIdentity\ActivClient\acsagent.exe (ActivIdentity)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AlarmMonitor Agent.lnk [2013-05-22]
ShortcutTarget: AlarmMonitor Agent.lnk -> C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorAgent.exe (OS)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\..\Interfaces\{265D7847-FF2A-47C0-B4FA-EAFFD5677F12}: [NameServer] 127.0.0.1
Tcpip\..\Interfaces\{9444409B-FBAB-4A06-9A01-A1F9E1502BDF}: [DhcpNameServer] 192.168.220.200 192.168.220.1
Internet Explorer:
==================
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://ofac.ovan.ch/extranet
HKU\S-1-5-21-749421615-2386836196-3283403883-1124\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
DPF: HKLM-x32 {1663ed61-23eb-11d2-b92f-008048fdd814} hxxp://pharinfo.pharmatic.ch/ActiveX/smsx.cab
FireFox:
========
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll [2013-01-24] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll [2013-01-24] ( Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-09-30] (Adobe Systems Inc.)
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 ac.sharedstore; C:\Program Files\Common Files\ActivIdentity\ac.sharedstore.exe [277032 2009-06-03] (ActivIdentity)
R2 ADWS; C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe [487424 2013-01-25] (Microsoft Corporation)
R2 AlarmMonitorService; C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe [122880 2012-02-02] (OS) [Datei ist nicht signiert]
R2 Dfs; C:\Windows\system32\dfssvc.exe [377344 2010-11-21] (Microsoft Corporation)
R2 DFSR; C:\Windows\system32\DFSRs.exe [4518400 2010-11-21] (Microsoft Corporation)
R2 DHCPServer; C:\Windows\System32\dhcpssvc.dll [729088 2010-11-21] (Microsoft Corporation)
R2 DNS; C:\Windows\system32\dns.exe [696832 2011-12-26] (Microsoft Corporation)
R2 DWMRCS; C:\Windows\SysWOW64\DWRCS.EXE [234496 2009-02-04] (DameWare Development LLC) [Datei ist nicht signiert]
R2 Eaton IntelligentPowerProtector; C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe [4688368 2013-05-30] ()
R2 ErgoSvc; C:\Program Files\Pharmatic\ErgoSvc\ergoservice.exe [41472 2015-12-07] (PHARMATIC AG) [Datei ist nicht signiert]
S3 FCRegSvc; C:\Windows\system32\FCRegSvc.dll [25600 2009-07-14] (Microsoft Corporation)
R2 ftpsvc; C:\Windows\system32\inetsrv\ftpsvc.dll [350720 2012-06-01] (Microsoft Corporation)
S3 IDriverT; C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [73728 2004-10-22] (Macrovision Corporation) [Datei ist nicht signiert]
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [15872 2010-11-21] (Microsoft Corporation)
R2 IsmServ; C:\Windows\System32\ismserv.exe [59392 2010-11-21] (Microsoft Corporation)
R2 kdc; C:\Windows\System32\lsass.exe [31232 2011-11-17] (Microsoft Corporation)
R2 MegaMonitorSrv; C:\Program Files (x86)\MegaRAID Storage Manager\MegaMonitor\mrmonitor.exe [507904 2011-04-05] () [Datei ist nicht signiert]
R2 MSMFramework; C:\Program Files (x86)\MegaRAID Storage Manager\Framework\VivaldiFramework.exe [72760 2010-11-22] () [Datei ist nicht signiert]
R2 MSSQL$ERGO; C:\Program Files\Microsoft SQL Server\MSSQL10_50.ERGO\MSSQL\Binn\sqlservr.exe [62277296 2014-08-23] (Microsoft Corporation)
R2 NTDS; C:\Windows\System32\lsass.exe [31232 2011-11-17] (Microsoft Corporation)
S4 NtFrs; C:\Windows\system32\ntfrs.exe [1020416 2010-11-21] (Microsoft Corporation)
R2 PhOsScheduler; C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe [72704 2009-11-03] () [Datei ist nicht signiert]
R2 PhticMailRelay; C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe [109056 2015-10-05] (Pharmatic AG) [Datei ist nicht signiert]
S3 rqs; C:\Windows\system32\rqs.exe [41472 2010-11-21] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [91648 2009-07-14] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [14848 2009-07-14] (Microsoft Corporation)
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [288552 2015-02-10] (Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [208168 2015-03-03] (Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [340264 2015-08-27] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [341800 2015-03-03] (Sophos Limited)
S3 SQLAgent$ERGO; C:\Program Files\Microsoft SQL Server\MSSQL10_50.ERGO\MSSQL\Binn\SQLAGENT.EXE [443576 2014-08-23] (Microsoft Corporation)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3274536 2015-03-03] (Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2065704 2015-03-03] (Sophos Limited)
R2 WDSServer; C:\Windows\system32\wdssrv.dll [142848 2009-07-14] (Microsoft Corporation)
S3 WMSVC; C:\Windows\system32\inetsrv\wmsvc.exe [10752 2009-07-14] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 DfsDriver; C:\Windows\System32\drivers\dfs.sys [51776 2009-07-14] (Microsoft Corporation)
R0 DfsrRo; C:\Windows\System32\drivers\dfsrro.sys [66944 2010-11-21] (Microsoft Corporation)
R1 dwvkbd; C:\Windows\System32\DRIVERS\dwvkbd64.sys [30720 2007-02-15] (DameWare)
S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S3 IFCoEMP; C:\Windows\system32\drivers\ifM60x64.sys [388368 2011-11-30] (Intel(R) Corporation)
S3 IFCoEVB; C:\Windows\system32\drivers\ifP60X64.sys [78096 2011-11-30] (Intel(R) Corporation)
S3 ioatdma; C:\Windows\System32\Drivers\qd260x64.sys [35328 2009-06-10] (Intel Corporation)
S3 ISCT; C:\Windows\system32\drivers\ISCTD64.sys [46016 2012-08-24] ()
S3 l2nd; C:\Windows\System32\DRIVERS\bxnd60a.sys [71680 2009-06-10] (Broadcom Corporation)
R0 megasas2; C:\Windows\System32\DRIVERS\megasas2.sys [52008 2012-05-30] (LSI Corporation)
S4 RsFx0153; C:\Windows\System32\DRIVERS\RsFx0153.sys [322736 2014-08-23] (Microsoft Corporation)
R3 rusb3hub; C:\Windows\System32\DRIVERS\rusb3hub.sys [102912 2012-03-15] (Renesas Electronics Corporation)
R3 rusb3xhc; C:\Windows\System32\DRIVERS\rusb3xhc.sys [220672 2012-03-15] (Renesas Electronics Corporation)
S0 sacdrv; C:\Windows\System32\DRIVERS\sacdrv.sys [96320 2009-07-14] (Microsoft Corporation)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [158976 2015-02-10] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [38144 2015-02-10] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [27904 2015-02-10] (Sophos Limited)
S3 usbrndis6; C:\Windows\System32\DRIVERS\usb80236.sys [19968 2013-02-12] (Microsoft Corporation)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
NETSVC: sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 01:00 - 2016-01-12 01:01 - 00014081 _____ C:\Users\Console01\Desktop\FRST.txt
2016-01-12 01:00 - 2016-01-12 00:48 - 02370560 _____ (Farbar) C:\Users\Console01\Desktop\FRST64.exe
2016-01-12 00:55 - 2016-01-12 00:57 - 00003886 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2016-01-12 00:54 - 2016-01-12 00:56 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-01-12 00:54 - 2016-01-12 00:54 - 00002053 _____ C:\Users\Public\Desktop\Acrobat Reader DC.lnk
2016-01-12 00:54 - 2016-01-12 00:54 - 00000000 ____D C:\Program Files (x86)\Adobe
2016-01-12 00:47 - 2016-01-12 01:01 - 00000000 ____D C:\Users\Console01\AppData\Local\Temp\1
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-12 01:00 - 2015-09-30 23:44 - 00000000 ____D C:\FRST
2016-01-12 01:00 - 2009-07-14 05:49 - 00021296 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-01-12 01:00 - 2009-07-14 05:49 - 00021296 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-01-12 00:54 - 2013-05-22 14:22 - 00000000 ____D C:\ProgramData\Adobe
2016-01-12 00:52 - 2012-07-18 10:26 - 00904174 _____ C:\Windows\system32\perfh010.dat
2016-01-12 00:52 - 2012-07-18 10:26 - 00214102 _____ C:\Windows\system32\perfc010.dat
2016-01-12 00:52 - 2012-07-18 10:18 - 00878852 _____ C:\Windows\system32\perfh007.dat
2016-01-12 00:52 - 2012-07-18 10:18 - 00216466 _____ C:\Windows\system32\perfc007.dat
2016-01-12 00:52 - 2012-07-18 10:11 - 00914158 _____ C:\Windows\system32\perfh00C.dat
2016-01-12 00:52 - 2012-07-18 10:11 - 00218300 _____ C:\Windows\system32\perfc00C.dat
2016-01-12 00:52 - 2009-07-14 06:10 - 04355632 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-12 00:52 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-01-12 00:51 - 2013-05-22 14:01 - 00006456 _____ C:\Windows\system32\config\netlogon.dnb
2016-01-12 00:51 - 2013-05-22 14:01 - 00002371 _____ C:\Windows\system32\config\netlogon.dns
2016-01-12 00:47 - 2013-05-22 14:09 - 00000000 ____D C:\Windows\system32\dhcp
2016-01-12 00:47 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\inetsrv
2016-01-12 00:46 - 2013-05-22 14:22 - 00000000 ____D C:\Users\NetAgent
2016-01-12 00:45 - 2013-05-22 13:56 - 00000000 ____D C:\Windows\system32\dns
2016-01-12 00:45 - 2013-05-22 13:56 - 00000000 ____D C:\Windows\NTDS
2016-01-12 00:45 - 2009-07-14 06:06 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-12 00:29 - 2014-04-08 23:55 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-01-11 20:37 - 2013-05-22 12:55 - 00000000 ____D C:\Repository
2016-01-11 12:00 - 2013-05-23 07:27 - 00000478 _____ C:\Windows\Tasks\ShadowCopyVolume{7beb56d3-c205-4f0a-9f5f-44b857021b8f}.job
2016-01-11 12:00 - 2013-05-23 07:27 - 00000478 _____ C:\Windows\Tasks\ShadowCopyVolume{77c59a60-9c79-498e-8871-df429a2206a0}.job
2016-01-10 06:15 - 2015-02-10 10:58 - 00000542 _____ C:\Windows\Tasks\sunday0615.job
2016-01-03 02:29 - 2014-04-08 23:55 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-01-03 02:29 - 2014-04-08 23:54 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-01-03 02:29 - 2013-05-22 14:22 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-12-20 10:26 - 2015-02-10 10:58 - 00003826 _____ C:\Windows\System32\Tasks\sunday0615
2015-12-14 04:52 - 2015-04-21 04:35 - 00000000 ____D C:\Users\NetAgent\AppData\Local\Temp\~robodel
2015-12-14 04:52 - 2013-05-22 14:08 - 00000000 ____D C:\Users\Admin
2015-12-14 04:52 - 2013-05-22 12:43 - 00000000 ____D C:\Program Files\Pharmatic
Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At10.job
C:\Windows\Tasks\At11.job
C:\Windows\Tasks\At12.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
C:\Windows\Tasks\At6.job
C:\Windows\Tasks\At7.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At9.job
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-01-09 00:48
==================== Ende von FRST.txt ============================
Server (Addition):
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
durchgeführt von console01 (2016-01-12 01:02:11)
Gestartet von C:\Users\Console01\Desktop
Windows Server 2008 R2 Standard Service Pack 1 (X64) (2013-05-22 07:41:22)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-1109236088-2500221716-3817076201-500 - Administrator - Disabled)
Gast (S-1-5-21-1109236088-2500221716-3817076201-501 - Limited - Disabled)
krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
Admin (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
WinUser01 (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
PosUser01 (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
Remote (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
SuperUser01 (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
Console01 (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
ManagementUser01 (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
NetAgent (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
WinUser04 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
PosUser02 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
tec (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
WinUser07 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WinUser03 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
BueroWilli (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
BueroAnita (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
BueroRafael (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
BueroRafael2 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
SuperUser (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
SophosSAUSW620003000 (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
Labor (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
SW620003001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003102$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003104$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003107$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003103$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003105$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003106$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
WW620003110$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
ActivClient x64 (HKLM\...\{86E45973-5352-439F-A115-2E8EE4D40140}) (Version: 6.2 - ActivIdentity)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.009.20069 - Adobe Systems Incorporated)
Adobe Flash Player 20 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 20.0.0.270 - Adobe Systems Incorporated)
Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.1.629 - Adobe Systems, Inc.)
AlarmMonitor 1.1 (HKLM\...\{FA301939-09EF-4300-9AD4-7FD4B3C51DC8}_is1) (Version: 1.1 - Ofac SA)
bde (HKLM-x32\...\{0D978686-5198-4778-B44B-40A114898EB3}) (Version: 1.0.0 - Microsoft)
Device Installer x64 (HKLM\...\{90FE5BFC-C6C5-45D3-A7E3-463D707E2D44}) (Version: 2.2 - ActivIdentity)
Eaton Intelligent Power Protector v1.30 (HKLM-x32\...\Eaton IntelligentPowerProtector) (Version: v1.30.096 build - Eaton)
e-Lohn V8 R3.0 (HKLM-x32\...\e-Lohn) (Version: V8 R3.0 - )
MegaRAID Storage Manager v8.17.2100 (HKLM-x32\...\InstallShield_{4F5AD9B9-2FC1-4F8A-8ED8-270F1B335123}) (Version: 8.17.2100 - LSICorp)
MegaRAID Storage Manager v8.17.2100 (x32 Version: 8.17.2100 - LSICorp) Hidden
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office Web Components (HKLM-x32\...\{002C9999-0000-0000-C000-000000000114}) (Version: 9.00.00.3323 - Microsoft Corporation)
Microsoft Report Viewer Redistributable 2008 SP1 (HKLM-x32\...\Microsoft Report Viewer Redistributable 2008 (KB971119)) (Version: - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 (64-bit) (HKLM\...\Microsoft SQL Server 2008 R2) (Version: - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Native Client (HKLM\...\{E534493E-80D2-4E37-8020-3ECAC55D9DB5}) (Version: 10.53.6000.34 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Policies (HKLM-x32\...\{D21BC5B2-CBAC-48FA-A701-B5A63C1CA7B8}) (Version: 10.50.1600.1 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Setup (English) (HKLM\...\{74964326-CB2C-413B-B574-C4A90B8033E3}) (Version: 10.53.6000.34 - Microsoft Corporation)
Microsoft SQL Server 2008 Setup Support Files (HKLM\...\{B40EE88B-400A-4266-A17B-E3DE64E94431}) (Version: 10.1.2731.0 - Microsoft Corporation)
Microsoft SQL Server Browser (HKLM-x32\...\{BF9BF038-FE03-429D-9B26-2FA0FD756052}) (Version: 10.53.6000.34 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{3A9FC03D-C685-4831-94CF-4EDFD3749497}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 Query Tools ENU (HKLM-x32\...\{DDFD8348-058C-4F4B-85E5-6D740D4AB3FE}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server VSS Writer (HKLM\...\{288D79EE-A2D1-42AF-9597-B0ADCC23A8ED}) (Version: 10.53.6000.34 - Microsoft Corporation)
Microsoft SQLXML 4.0 SP1 (HKLM\...\{70544B21-8A43-4A30-8F59-DC6F73A5EE9A}) (Version: 10.0.1600.60 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual J# 2.0 Redistributable Package - SE (x64) (HKLM\...\Microsoft Visual J# 2.0 Redistributable Package - SE (x64)) (Version: - Microsoft Corporation)
Microsoft Visual Studio Tools for Applications 2.0 - ENU (HKLM-x32\...\{4ECF4BDC-8387-329A-ABE9-CF5798F84BB2}) (Version: 9.0.35191 - Microsoft Corporation)
Microsoft WSE 3.0 (HKLM-x32\...\{EDEA8AB7-7683-4ED2-AA19-E6C078064C0D}) (Version: 3.0.5305.0 - Microsoft Corporation)
Notepad++ (HKLM-x32\...\Notepad++) (Version: 5.2 - )
Pharmatic Mail Relay 1.1 (HKLM\...\Pharmatic Mail Relay_is1) (Version: 1.1 - Pharmatic)
Service Pack 3 für SQL Server 2008 R2 (KB2979597) (64-bit) (HKLM\...\KB2979597) (Version: 10.53.6000.34 - Microsoft Corporation)
SII 6.8 Driver (HKLM-x32\...\{F5579269-6AEC-4DC3-9AFE-FB2D1034A119}) (Version: 6.8.0378 - Ihr Firmenname)
Sophos Anti-Virus (HKLM-x32\...\{D929B3B5-56C6-46CC-B3A3-A1A784CBB8E4}) (Version: 10.3.15 - Sophos Limited)
Sophos AutoUpdate (HKLM-x32\...\{7CD26A0C-9B59-4E84-B5EE-B386B2F7AA16}) (Version: 4.3.10.27 - Sophos Limited)
SQL Server 2008 R2 SP2 Common Files (Version: 10.53.6000.34 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Services (Version: 10.53.6000.34 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Shared (Version: 10.53.6000.34 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Management Studio (Version: 10.53.6000.34 - Microsoft Corporation) Hidden
Sql Server Customer Experience Improvement Program (Version: 10.53.6000.34 - Microsoft Corporation) Hidden
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {1908DE84-2DD0-4021-AD20-BDD316845110} - System32\Tasks\At6 => start PhticMailRelay <==== ACHTUNG
Task: {2C4A7E49-759F-4F7D-A438-2C06A2AD869C} - System32\Tasks\At1 => stop PhticMailRelay <==== ACHTUNG
Task: {364A3C0B-60E5-44FF-B017-67C4D1304255} - System32\Tasks\At3 => start PhticMailRelay <==== ACHTUNG
Task: {447581DF-FB8C-464D-8576-3EC8781311D8} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-01-03] (Adobe Systems Incorporated)
Task: {4DE7A6B4-63F7-42B4-8D8F-84E2058DE32F} - System32\Tasks\At9 => start PhticMailRelay <==== ACHTUNG
Task: {639C8FF9-34CB-4713-A67D-7F5A272F2B90} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc
Task: {63EE8552-A444-4BA2-8E1E-C8350D6D412A} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2009-07-14] (Microsoft Corporation)
Task: {66CADC3B-97D7-495B-BC59-1BCDE764A2EE} - System32\Tasks\At10 => stop PhticMailRelay <==== ACHTUNG
Task: {684CE6C2-760B-4D24-884F-E38B0626C358} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-09-14] (Adobe Systems Incorporated)
Task: {69110D7B-41DC-4E9D-BDD3-C826C7DB613B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleUsageCollector => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
Task: {7D2667D8-22A5-47DB-892E-EB649F9B7C28} - System32\Tasks\At2 => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe [2013-06-19] (Pharmatic AG) <==== ACHTUNG
Task: {87DF3A7B-DE82-46A3-A4CF-42A1553B8592} - System32\Tasks\At5 => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe [2013-06-19] (Pharmatic AG) <==== ACHTUNG
Task: {A25A0A3C-C5BA-4422-8F26-734843C3932A} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {AFECE848-8DA2-461B-B5E6-CBEF57A4DF7D} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleCollector => C:\Windows\system32\ceiprole.exe [2010-11-21] (Microsoft Corporation)
Task: {B5A1F3E5-034A-45B1-852D-35058499045B} - System32\Tasks\sunday0615 => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe [2015-02-10] (Sophos Limited)
Task: {D49A10DA-0F70-4779-BD96-B2D976A4F2E3} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
Task: {E616D038-98C5-4AC9-B7FD-05991ED6BCC3} - System32\Tasks\At11 => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe [2013-06-19] (Pharmatic AG) <==== ACHTUNG
Task: {ECB75974-701F-43F6-A6E0-42295CE9A303} - System32\Tasks\At12 => start PhticMailRelay <==== ACHTUNG
Task: {F2E4EA94-C49D-46D3-91B9-797BBA49A68E} - System32\Tasks\ShadowCopyVolume{77c59a60-9c79-498e-8871-df429a2206a0} => C:\Windows\system32\vssadmin.exe [2009-07-14] (Microsoft Corporation)
Task: {F349011D-C2B5-49AC-A4CE-55125F20C36C} - System32\Tasks\At7 => stop PhticMailRelay <==== ACHTUNG
Task: {F4C24574-D0DB-45E6-AE5A-F41C3C940C75} - System32\Tasks\At4 => stop PhticMailRelay <==== ACHTUNG
Task: {F76E058C-1905-4963-875C-E29F5EF79D36} - System32\Tasks\ShadowCopyVolume{7beb56d3-c205-4f0a-9f5f-44b857021b8f} => C:\Windows\system32\vssadmin.exe [2009-07-14] (Microsoft Corporation)
Task: {F9170C42-1947-4A72-BF7A-44BB46F167B7} - System32\Tasks\At13 => shutdown <==== ACHTUNG
Task: {FB122772-F1C2-472B-99C1-FBA97483E3DA} - System32\Tasks\At8 => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe [2013-06-19] (Pharmatic AG) <==== ACHTUNG
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\At1.job => sc stop PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At10.job => sc stop PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At11.job => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe|PhticMailRelay|hxxps:/gms.ovan.ch/files/update\PhticMailRelaySVC|PhticMailRelaySVC.exe
Task: C:\Windows\Tasks\At12.job => sc start PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At13.job => shutdown /r SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At2.job => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe|PhticMailRelay|hxxps:/gms.ovan.ch/files/update\PhticMailRelaySVC|PhticMailRelaySVC.exe
Task: C:\Windows\Tasks\At3.job => sc start PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At4.job => sc stop PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At5.job => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe|PhticMailRelay|hxxps:/gms.ovan.ch/files/update\PhticMailRelaySVC|PhticMailRelaySVC.exe
Task: C:\Windows\Tasks\At6.job => sc start PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At7.job => sc stop PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\At8.job => C:\Program Files\Pharmatic\MailRelay\AutoUpdateSVC.exe C:\Program Files\Pharmatic\MailRelay\PhticMailRelaySVC.exe|PhticMailRelay|hxxps:/gms.ovan.ch/files/update\PhticMailRelaySVC|PhticMailRelaySVC.exe
Task: C:\Windows\Tasks\At9.job => sc start PhticMailRelay SYSTEM Erstellt von NetScheduleJobAdd
Task: C:\Windows\Tasks\ShadowCopyVolume{77c59a60-9c79-498e-8871-df429a2206a0}.job => C:\Windows\system32\vssadmin.exe
Task: C:\Windows\Tasks\ShadowCopyVolume{7beb56d3-c205-4f0a-9f5f-44b857021b8f}.job => C:\Windows\system32\vssadmin.exe
Task: C:\Windows\Tasks\sunday0615.job => C:\Program Files (x86)\Sophos\Sophos Anti-Virus\BackgroundScanClient.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
Shortcut: C:\Users\Public\Desktop\MegaRAID Storage Manager.lnk -> C:\Program Files (x86)\MegaRAID Storage Manager\startupui.bat ()
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2013-05-30 16:02 - 2013-05-30 16:02 - 04688368 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
2013-05-22 14:22 - 2009-11-03 15:43 - 00072704 _____ () C:\Program Files\Pharmatic\Scheduler\phOSScheduler.exe
2013-05-22 14:22 - 2009-11-03 15:43 - 00036864 _____ () C:\Program Files\Pharmatic\Scheduler\phOSSchedulerLib.dll
2010-11-22 11:51 - 2010-11-22 11:51 - 00072760 ____R () C:\Program Files (x86)\MegaRAID Storage Manager\Framework\VivaldiFramework.exe
2011-04-05 16:19 - 2011-04-05 16:19 - 00507904 ____R () C:\Program Files (x86)\MegaRAID Storage Manager\MegaMonitor\mrmonitor.exe
2013-05-30 16:02 - 2013-05-30 16:02 - 01051648 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\msocket.dll
2013-05-30 16:02 - 2013-05-30 16:02 - 00537600 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\msnmp.dll
2013-05-30 16:02 - 2013-05-30 16:02 - 00142336 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\mserial.dll
2013-05-30 16:02 - 2013-05-30 16:02 - 00221184 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\musb.dll
2013-05-30 16:02 - 2013-05-30 16:02 - 00547840 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\msqlite.dll
2010-11-22 11:31 - 2010-11-22 11:31 - 00068704 ____R () C:\Program Files (x86)\MegaRAID Storage Manager\Framework\Authenticate.dll
2010-11-22 11:31 - 2010-11-22 11:31 - 00151552 ____R () C:\Program Files (x86)\MegaRAID Storage Manager\Framework\storelibirjni.dll
2010-11-22 11:31 - 2010-11-22 11:31 - 00143360 ____R () C:\Program Files (x86)\MegaRAID Storage Manager\Framework\storelibjni.dll
2013-05-30 16:02 - 2013-05-30 16:02 - 00456704 _____ () C:\Program Files (x86)\Eaton\IntelligentPowerProtector\bin\mwidget.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SAVService => ""="service"
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\ofac.ch -> hxxps://ofac.ch
IE trusted site: HKU\S-1-5-21-749421615-2386836196-3283403883-1110\...\ovan.ch -> hxxps://ovan.ch
==================== Hosts Inhalt: ==========================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2010-03-04 10:15 - 00000945 ____A C:\Windows\system32\Drivers\etc\hosts
192.168.224.1 srvprep toolkit
192.168.224.5 wiki
192.168.224.41 susepxe
192.168.224.51 nasprep
192.168.220.200 wds
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-749421615-2386836196-3283403883-1105\Control Panel\Desktop\\Wallpaper ->
HKU\S-1-5-21-749421615-2386836196-3283403883-1110\Control Panel\Desktop\\Wallpaper ->
HKU\S-1-5-21-749421615-2386836196-3283403883-1124\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 127.0.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 0)
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [ComPlusRemoteAdministration-DCOM-In] => (Allow) %systemroot%\system32\dllhost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [DfsMgmt-In-TCP] => (Allow) %systemroot%\system32\dfsfrsHost.exe
FirewallRules: [ADWS-TCP-In] => (Allow) %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
FirewallRules: [ADWS-TCP-Out] => (Allow) %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
FirewallRules: [NTFRS-NTFRSSvc-In-TCP] => (Allow) %SystemRoot%\system32\NTFRS.exe
FirewallRules: [DFSR-DFSRSvc-In-TCP] => (Allow) %SystemRoot%\system32\dfsrs.exe
FirewallRules: [DNSSrv-DNS-TCP-In] => (Allow) %systemroot%\System32\dns.exe
FirewallRules: [DNSSrv-DNS-UDP-In] => (Allow) %systemroot%\System32\dns.exe
FirewallRules: [DNSSrv-RPC-TCP-In] => (Allow) %systemroot%\System32\dns.exe
FirewallRules: [DNSSrv-TCP-Out] => (Allow) %systemroot%\System32\dns.exe
FirewallRules: [DNSSrv-UDP-Out] => (Allow) %systemroot%\System32\dns.exe
FirewallRules: [Remrras-In-RPC] => (Allow) %systemroot%\system32\remrras.exe
FirewallRules: [RQS-In-TCP] => (Allow) %systemroot%\system32\rqs.exe
FirewallRules: [WindowsServerBackup-wbengine-In-TCP-NoScope] => (Allow) %systemroot%\system32\wbengine.exe
FirewallRules: [{DF6F96B0-7276-41AF-B762-8B1DBD89E483}] => (Allow) C:\Program Files\Pharmatic\AlarmMonitor\AlarmMonitorService.exe
FirewallRules: [{21CD84F5-D46C-4151-AC8D-11FC909BBA1C}] => (Allow) LPort=6129
FirewallRules: [{5CC69B3B-818B-4229-B132-D8D5FD025B57}] => (Allow) C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
FirewallRules: [{DC7955B9-7D14-494A-AD66-9295EE14C7EC}] => (Allow) C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
FirewallRules: [{313CF519-4462-4642-AD31-B3317C7ED3A5}] => (Allow) C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
FirewallRules: [{7020C26A-540B-47A7-AA2C-2B629D78B725}] => (Allow) C:\Program Files (x86)\Eaton\IntelligentPowerProtector\mc2.exe
FirewallRules: [{487238DC-3D60-4F2C-9DBB-81E3210C5C71}] => (Allow) LPort=6129
==================== Wiederherstellungspunkte =========================
ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: Intel(R) 82574L Gigabit Network Connection #2
Description: Intel(R) 82574L Gigabit Network Connection
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Intel
Service: e1qexpress
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/12/2016 12:48:41 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "RegOpenKeyExW(-2147483646,SYSTEM\CurrentControlSet\Services\VSS\Diag,...)" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Vorgang:
Generator wird initialisiert
Kontext:
Generatorklassen-ID: {35e81631-13e1-48db-97fc-d5bc721bb18a}
Generatorname: NPS VSS Writer
Generatorinstanz-ID: {4eabbad0-ebe6-45e5-ab1e-0d9d9447c268}
Error: (01/12/2016 12:46:47 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (01/12/2016 12:45:45 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "RegOpenKeyExW(-2147483646,SYSTEM\CurrentControlSet\Services\VSS\Diag,...)" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Vorgang:
Generator wird initialisiert
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {21411d2f-3a38-436f-828b-6fe449e41adc}
Error: (01/12/2016 12:30:30 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: Exception while connecting to Rescue WebService :
Der Remotename konnte nicht aufgelöst werden: 'monitor.pharit.ch'
Error: (01/12/2016 12:30:19 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: Exception while connecting to Main WebService :
Die zugrunde liegende Verbindung wurde geschlossen: Eine Verbindung, deren Aufrechterhaltung erwartet wurde, ist vom Server geschlossen worden..
Error: (01/11/2016 03:31:42 PM) (Source: Pharmatic.PublishedException) (EventID: 0) (User: )
Description: General Information
*********************************************
Additional Info:
ExceptionManager.MachineName: SW620003001
ExceptionManager.TimeStamp: 11.01.2016 15:31:41
ExceptionManager.FullName: Pharmatic.ERGO.ExceptionManagement, Version=7.36.19.0, Culture=neutral, PublicKeyToken=null
ExceptionManager.AppDomainName: /LM/W3SVC/2/ROOT/ErgoWeb-1-130969704555480929
ExceptionManager.AppBaseDirectory: C:\Program Files\Pharmatic\WebApp\ErgoWeb\
ExceptionManager.ThreadIdentity: 13347
ExceptionManager.WindowsIdentity: NT-AUTORITÄT\NETZWERKDIENST
1) Exception Information
*********************************************
Exception Type: System.Drawing.Printing.InvalidPrinterException
Message: Settings to access printer '\\ww620003104\cit04' are not valid.
Data: System.Collections.ListDictionaryInternal
TargetSite: Boolean #kUo(GrapeCity.ActiveReports.Extensibility.Printing.Printer, Boolean)
HelpLink: NULL
Source: GrapeCity.ActiveReports.Viewer.Win.v7
StackTrace Information
*********************************************
at GrapeCity.ActiveReports.Viewer.Win.Printing.PrintImpl.#kUo(Printer printer, Boolean showPrintDialog)
at GrapeCity.ActiveReports.Viewer.Win.Printing.PrintImpl.Print(#q0B documentPrintAdapter, Boolean showPrintDialog, Boolean showPrintProgressDialog, Boolean usePrintingThread, Action`1 action)
at Pharmatic.ERGO.ArtManager.clsPriceLabelPrint.StartReport(clsPriceLabelReportParam pobjParam, String pstrPrinterType, String pstrLayoutCode, String pstrPhysicalShare)
at Pharmatic.ERGO.ArtManager.clsPriceLabelPrint.PrintPriceLabel(Dictionary`2 pobjLabelDict, DateTime pdtmPreis, String pstrWaehrungsCode, Boolean pblnPrintSchlussLabel, String pstrPhysicalShare, String pstrPrinterType, String pstrLayoutCode, Boolean pblnPrintLagerOrtHeader)
at Pharmatic.ERGO.ArtManager.clsArtMgrBO.PrintPriceLabel(Dictionary`2 pobjLabelDict, DateTime pdtmPreis, String strPrinterName, Boolean pblnPrintSchlussLabel, String pstrPrinterType, String pstrLayoutCode, Int32 pintLagerOrtFK, Boolean pblnPrintLagerOrtHeader)
at Pharmatic.ERGO.Web.ArtMgr.ctrTabBOOverview.imgBtnPrint_Click(Object sender, ImageClickEventArgs e)
Error: (01/11/2016 03:05:09 AM) (Source: AlarmMonitorService) (EventID: 0) (User: )
Description: Exception while connecting to Main WebService :
Die zugrunde liegende Verbindung wurde geschlossen: Eine Verbindung, deren Aufrechterhaltung erwartet wurde, ist vom Server geschlossen worden..
Error: (01/09/2016 11:19:36 PM) (Source: Pharmatic.PublishedException) (EventID: 0) (User: )
Description: General Information
*********************************************
Additional Info:
ExceptionManager.MachineName: SW620003001
ExceptionManager.TimeStamp: 09.01.2016 23:19:36
ExceptionManager.FullName: Pharmatic.ERGO.ExceptionManagement, Version=7.36.19.0, Culture=neutral, PublicKeyToken=null
ExceptionManager.AppDomainName: ergoservice.exe
ExceptionManager.AppBaseDirectory: C:\Program Files\Pharmatic\ErgoSvc\
ExceptionManager.ThreadIdentity:
ExceptionManager.WindowsIdentity: DW620003\Admin
1) Exception Information
*********************************************
Exception Type: Pharmatic.ERGO.ExceptionManagement.clsErgoAppException
MachineName: SW620003001
CreatedDateTime: 09.01.2016 23:19:36
AppDomainName: ergoservice.exe
ThreadIdentityName:
WindowsIdentityName: DW620003\Admin
Message: Call to dbo.speCfCalculateBestandHistory 341685, 0 failed with Error Timeout expired executing sp_executesql dbo.speCfCalculateBestandHistory 341685, 0
Data: System.Collections.ListDictionaryInternal
TargetSite: NULL
HelpLink: NULL
Source: NULL
2) Exception Information
*********************************************
Exception Type: Pharmatic.ERGO.ExceptionManagement.clsErgoSqlOwnException
MachineName: SW620003001
CreatedDateTime: 09.01.2016 23:19:35
AppDomainName: ergoservice.exe
ThreadIdentityName:
WindowsIdentityName: DW620003\Admin
Message: Timeout expired executing sp_executesql dbo.speCfCalculateBestandHistory 341685, 0
Data: System.Collections.ListDictionaryInternal
TargetSite: Void ParseSqlError(System.String, System.Data.SqlClient.SqlException, System.Data.SqlClient.SqlParameter[], System.String, System.Data.DataRow, Pharmatic.ERGO.DbHelper.Generic.ILoadFromDataReader, System.Object)
HelpLink: NULL
Source: Pharmatic.ERGO.DbHelper
StackTrace Information
*********************************************
at Pharmatic.ERGO.DbHelper.Generic.clsDB.ParseSqlError(String pstrStoredProcNameOrSql, SqlException objErr, SqlParameter[] parrStoredProcParams, String pstrTableName, DataRow pobjData, ILoadFromDataReader pobjReader, Object pobjInput)
at Pharmatic.ERGO.DbHelper.Generic.clsDB.RunSpNonQuery(String pstrStoredProcName, SqlParameter[] parrStoredProcParams)
at Pharmatic.ERGO.ServicePluginCommonImport.clsLoadDB.RunDynamicSQL(String pstrSql)
at Pharmatic.ERGO.ServicePluginCommonImport.clsCommonImportLib.RunProcOrSql(String pstrConnString, String pstrSqlToRun, String pstrSqlOriginal, String pstrHashCode)
at Pharmatic.ERGO.PluginModuleAsyncTasks.clsExecProcs.ExecuteTask(Boolean pblnConfigReloaded)
3) Exception Information
*********************************************
Exception Type: System.Data.SqlClient.SqlException
Errors: System.Data.SqlClient.SqlErrorCollection
Class: 11
LineNumber: 0
Number: -2
Procedure:
Server: SW620003001\ERGO
State: 0
Source: .Net SqlClient Data Provider
ErrorCode: -2146232060
Message: Timeout expired. The timeout period elapsed prior to completion of the operation or the server is not responding.
Data: System.Collections.ListDictionaryInternal
TargetSite: Void OnError(System.Data.SqlClient.SqlException, Boolean)
HelpLink: NULL
StackTrace Information
*********************************************
at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning()
at System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj)
at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async)
at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result)
at System.Data.SqlClient.SqlCommand.InternalExecuteNonQuery(DbAsyncResult result, String methodName, Boolean sendToPipe)
at System.Data.SqlClient.SqlCommand.ExecuteNonQuery()
at Pharmatic.ERGO.DbHelper.Generic.clsDB.RunSpNonQuery(String pstrStoredProcName, SqlParameter[] parrStoredProcParams)
Error: (01/09/2016 11:19:36 PM) (Source: Pharmatic.PublishedException) (EventID: 0) (User: )
Description: General Information
*********************************************
Additional Info:
ExceptionManager.MachineName: SW620003001
ExceptionManager.TimeStamp: 09.01.2016 23:19:35
ExceptionManager.FullName: Pharmatic.ERGO.ExceptionManagement, Version=7.36.19.0, Culture=neutral, PublicKeyToken=null
ExceptionManager.AppDomainName: ergoservice.exe
ExceptionManager.AppBaseDirectory: C:\Program Files\Pharmatic\ErgoSvc\
ExceptionManager.ThreadIdentity:
ExceptionManager.WindowsIdentity: DW620003\Admin
1) Exception Information
*********************************************
Exception Type: System.Data.SqlClient.SqlException
Errors: System.Data.SqlClient.SqlErrorCollection
Class: 11
LineNumber: 0
Number: -2
Procedure:
Server: SW620003001\ERGO
State: 0
Source: .Net SqlClient Data Provider
ErrorCode: -2146232060
Message: Timeout expired. The timeout period elapsed prior to completion of the operation or the server is not responding.
Data: System.Collections.ListDictionaryInternal
TargetSite: Void OnError(System.Data.SqlClient.SqlException, Boolean)
HelpLink: NULL
StackTrace Information
*********************************************
at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning()
at System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj)
at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async)
at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result)
at System.Data.SqlClient.SqlCommand.InternalExecuteNonQuery(DbAsyncResult result, String methodName, Boolean sendToPipe)
at System.Data.SqlClient.SqlCommand.ExecuteNonQuery()
at Pharmatic.ERGO.DbHelper.Generic.clsDB.RunSpNonQuery(String pstrStoredProcName, SqlParameter[] parrStoredProcParams)
Error: (01/09/2016 08:01:30 AM) (Source: Pharmatic.PublishedException) (EventID: 0) (User: )
Description: General Information
*********************************************
Additional Info:
ExceptionManager.MachineName: SW620003001
ExceptionManager.TimeStamp: 09.01.2016 08:01:30
ExceptionManager.FullName: Pharmatic.ERGO.ExceptionManagement, Version=7.36.19.0, Culture=neutral, PublicKeyToken=null
ExceptionManager.AppDomainName: /LM/W3SVC/2/ROOT/ErgoWeb-1-130967960663195327
ExceptionManager.AppBaseDirectory: C:\Program Files\Pharmatic\WebApp\ErgoWeb\
ExceptionManager.ThreadIdentity: 13347
ExceptionManager.WindowsIdentity: NT-AUTORITÄT\NETZWERKDIENST
1) Exception Information
*********************************************
Exception Type: System.Drawing.Printing.InvalidPrinterException
Message: Settings to access printer '\\ww620003104\cit04' are not valid.
Data: System.Collections.ListDictionaryInternal
TargetSite: Boolean #kUo(GrapeCity.ActiveReports.Extensibility.Printing.Printer, Boolean)
HelpLink: NULL
Source: GrapeCity.ActiveReports.Viewer.Win.v7
StackTrace Information
*********************************************
at GrapeCity.ActiveReports.Viewer.Win.Printing.PrintImpl.#kUo(Printer printer, Boolean showPrintDialog)
at GrapeCity.ActiveReports.Viewer.Win.Printing.PrintImpl.Print(#q0B documentPrintAdapter, Boolean showPrintDialog, Boolean showPrintProgressDialog, Boolean usePrintingThread, Action`1 action)
at Pharmatic.ERGO.ArtManager.clsPriceLabelPrint.StartReport(clsPriceLabelReportParam pobjParam, String pstrPrinterType, String pstrLayoutCode, String pstrPhysicalShare)
at Pharmatic.ERGO.ArtManager.clsPriceLabelPrint.PrintPriceLabel(Dictionary`2 pobjLabelDict, DateTime pdtmPreis, String pstrWaehrungsCode, Boolean pblnPrintSchlussLabel, String pstrPhysicalShare, String pstrPrinterType, String pstrLayoutCode, Boolean pblnPrintLagerOrtHeader)
at Pharmatic.ERGO.ArtManager.clsArtMgrBO.PrintPriceLabel(Dictionary`2 pobjLabelDict, DateTime pdtmPreis, String strPrinterName, Boolean pblnPrintSchlussLabel, String pstrPrinterType, String pstrLayoutCode, Int32 pintLagerOrtFK, Boolean pblnPrintLagerOrtHeader)
at Pharmatic.ERGO.Web.webWarenfluss.PrintPriceLabel.btnPrint_Click(Object sender, EventArgs e)
Systemfehler:
=============
Error: (01/12/2016 12:47:39 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (01/08/2016 09:27:45 AM) (Source: Ntfs) (EventID: 137) (User: )
Description: Auf dem Volume "S:" konnte der Transaktionsressourcen-Manager aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten.
Error: (01/08/2016 09:27:45 AM) (Source: volsnap) (EventID: 16) (User: )
Description: Die Schattenkopien von Volume "S:" wurden verworfen, weil die Bereitsstellungaufhebung von Volume "S:", das einen Schattenkopiespeicher für diese Schattenkopie enthält, erzwungen wurde.
Error: (01/07/2016 05:10:04 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
Error: (01/07/2016 05:10:03 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
Error: (01/07/2016 12:22:46 AM) (Source: volsnap) (EventID: 25) (User: )
Description: Die Schattenkopien von Volume "R:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.
Error: (01/06/2016 12:00:12 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
Error: (01/06/2016 12:00:11 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
Error: (01/06/2016 12:00:11 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
Error: (01/06/2016 12:00:10 PM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR5 gefunden.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Xeon(R) CPU E31220 @ 3.10GHz
Prozentuale Nutzung des RAM: 27%
Installierter physikalischer RAM: 8148.27 MB
Verfügbarer physikalischer RAM: 5928.95 MB
Summe virtueller Speicher: 16294.73 MB
Verfügbarer virtueller Speicher: 14005.15 MB
==================== Laufwerke ================================
Drive c: (System) (Fixed) (Total:97.43 GB) (Free:49.67 GB) NTFS
Drive r: (Backup DI / FR) (Fixed) (Total:931.51 GB) (Free:765.28 GB) NTFS
Drive x: (Data) (Fixed) (Total:180.81 GB) (Free:107.16 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 278.5 GB) (Disk ID: 00000000)
Partition: GPT.
========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 4001A52D)
Partition 1: (Not Active) - (Size=931.5 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
Verwende nach Möglichkeit nicht den Internet Explorer, da dieser viele Sicherheitslücken enthält. Achte aber darauf, dass er immer up to date bleibt, weil viele Programme diesen zum Anzeigen von Websites benutzen.
uBlock Origin (Chrome) --> Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen. uBlock ist effizienter als der Konkurrent AdblockPlus. Ghostery --> Blockiert Tracker und Cookies, welche dich im Internet nachverfolgen können. Stelle jedoch bei der Installation sicher, dass du Ghostrank nicht zustimmst.
Schritt # 3: Tipps um eine Neuinfektion zu vermeiden
Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal wie FilePony.de. Von Downloadern wie die von Chip, Softonic und Sourceforge raten wir ab: CHIP-Installer - was ist das? - Anleitungen
Auch versuchen sich immer mehr Programme durch Installationsroutinen auf den PC "durchzumogeln". Das klappt ganz gut, weil viele Anwender sich diese nicht genau durchlesen und schnell durchklicken. Manchmal steht auch in den Lizenzvereinbarungen, dass ein Programm, was eigentlich als Freeware angepriesen wird, nur genutzt werden kann, wenn man sich bestimmte Toolbars oder andere Programme mitinstallieren lässt.
Da hilft es nur aufmerksam zu sein.
Ein Tool, welches dich dabei gut unterstützen kann, ist: Unchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.
Wir raten von jeglichen Optimizern, Cleanern, SpeedUps und Ähnlichem ab, da diese Softwareprodukte meist keinen Performancegewinn bringen. Du kannst jedoch regelmäßig deinen PC mit der windowsinternen Datenträgerbereinigung behandeln.
Zum Thema Sophos schlägt Alarm - Hallo
Habe mir schon wieder eine Schadsoftware eingefangen. Sophos zeigt eine Meldung an. Da ich leider erst am Abend wieder zu Hause bin, kann ich jetzt nicht direkt sagen, welche - Sophos schlägt Alarm...
11.01.2016, 15:39
Sophos zeigt eine Meldung an. Da ich leider erst am Abend wieder zu Hause bin, kann ich jetzt nicht direkt sagen, welche Meldung es ist.
FRST 32-Bit | FRST 64-Bit
Lesestoff:
+ R Taste und schreibe notepad in das Ausführen Fenster.
Emsisoft Anti-Malware
Microsoft Security Essentials
Mozilla Firefox
Google Chrome
uBlock Origin
Ghostery
Malwarebytes Anti-Exploit
Flash Player
Java
PDF Reader
Unchecky
unsere 
Linear-Darstellung
