Hallo
mein Bekannter hat eine Worddatei angeklickt, die als ominöse Rechnung daherkam - wie sie zur Zeit massenhaft kursieren.

Er benutzt Windows 8 und MS Word 2003.

Nach dem Anklicken der Word-Datei bekam er jedoch die Meldung, dass die Datei schreibgeschützt sei und nicht geöffnet werden kann.

Deshalb weiß ich nicht, ob in diesem Fall schon was passieren konnte (ich würde es als Krimineller so tarnen).

Ich kann, wenn das jemand sinnvoll findet, den Hexcode vom Dateianfang hier posten (ich machs mit Linux).

Die Rechnung hatte den Subject "RECHNUNG Kd.Nr. 8356624 vom 17.01.2016". In dieser Form mit wechselnder Nummer und Datum habe ich viele Mails im Junk-Ordner.

Hi,

Zitat:

Er benutzt Windows 8 und MS Word 2003.

Word 2003 bzw Office 2003 ist veraltet, bekommt keine Updates mehr und darf nicht mehr verwendet werden. Wenn er sich von diesem Microsoft-Geraffel nicht trennen kann, muss er entweder ne neue Office-Lizenz kaufen oder auf Alternativen umsteigen: LibreOffice, Softmaker Freeoffice

Genau solche Gelegenheiten nutzen Kriminelle aus. Die Faulheit von Leuten, die immer auf eine alte Office-Version setzen, v.a. die die keine Updates mehr bekommen, weil kein Support mehr vom Hersteller.

Ach mann, lass doch solche Antworten.
Ich möchte doch nur gerne wissen, ob jemand Erfahrungen mit dem beschriebenen Verhalten hat und ob sich dennoch schon ein Trojaner installiert haben kann.

Wieso soll ich solche Antworten lassen? Es passt doch genau zum Thema. => Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei | heise Security

Zitat:

Zitat von cosinus

Wieso soll ich solche Antworten lassen? Es passt doch genau zum Thema. => Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei | heise Security

Klar, die Meldung hatte ich auch schon gelesen. Aber die Leute, die diese alten Word oder Windows Versionen benutzen und die völlig naiv auf solche Dateien klicken, die lesen hier nicht (entschuldige, wenn das nicht stimmt).

Mir kannst Du nur einen Gefallen tun, wenn Du inhaltlich zu meiner Frage etwas sagen kannst. Das allgemeine Herziehen über "dumme" User, die es nicht besser verdient haben, sich Viren und Trojaner einzufangen, bringt hier doch nichts.

Ja, aber es fängt damit an, dass man eine vernünftige Softwarebasis hat!! Wenn die scheiße ist, bringt all das diskutieren, aufklären und installieren an anderen Schutzmaßnahmen einfach rein garnix. Aber genau das willst du NICHT hören!

Zitat:

Zitat von cosinus

Ja, aber es fängt damit an, dass man eine vernünftige Softwarebasis hat!! Wenn die scheiße ist, bringt all das diskutieren, aufklären und installieren an anderen Schutzmaßnahmen einfach rein garnix. Aber genau das willst du NICHT hören!

Hi, also wenn Du mehr als 144000 Beiträge geschrieben hast, müßtest Du doch merken, dass ich nicht derjenige bin, dem Du das sagen mußt. Ich benutze seit 17 Jahren nur Linux und seit kurzem auch MacOS, bin Administrator für Linux und betreue einige Server und baue Software, die versucht, richtig sicher zu sein. Nur mit Windows-Viren und Trojanern kenne ich mich halt überhaupt nicht aus.

Und was hat das eine mit dem anderen zu tun? Im Gegenteil, ich sehe dich hier als neuen User, jetzt vier Beiträge, du verlangst aber von mir gleich zu sehen was für ein Linux-Admin du bist.

Und gerade weil du zugegeben hast, dich nicht (mehr) im Windows-Umfeld auszukennen, find ich so manche Reaktionen echt unangebracht. Anstatt sowas "danke für den Tipp, wusste ich echt nicht, dass Office 2003 so alt ist" kommst du mit einem "alter halt bloß die Fresse, das wollte ich nicht hören"

Ich bin auch Linux-Admin und -User. Und das schon seit acht Jahren. Debian, Ubuntu, XenServer. Zudem Windows Server 2008 und 2012. Noch mehr Schwanzvergleich oder willst du nun selbst zugeben, dass so ne Uralt Kacke wie Office 2003 sicherheitstechnisch der Super-GAU ist?

Ich würde an deiner Stelle als erstes mal das Office 2003 deinstallieren. Und dann vllt mal sowas wie FRST auf dem Rechner starten, damit wir Helfer Logs sehen können.

Zitat:

Zitat von cosinus

Und was hat das eine mit dem anderen zu tun? Im Gegenteil, ich sehe dich hier als neuen User, jetzt vier Beiträge, du verlangst aber von mir gleich zu sehen was für ein Linux-Admin du bist.

Ich würde an deiner Stelle als erstes mal das Office 2003 deinstallieren. Und dann vllt mal sowas wie FRST auf dem Rechner starten, damit wir Helfer Logs sehen können.

Ich mache garnichts, weil das nicht mein Rechner ist und ich auch nicht zur Verfügung habe. Natürlich werde ich ihm raten, LibreOffice zu installieren. Allerdings kann sich das erübrigen, wenn sich durch den oben genannten Effekt schon ein Trojaner installiert hat. Dann empfehle ich ihm nämlich den Austausch der Festplatte, weil ich keine Lust habe, diese Word Datei zu analysieren.

Und entschuldige: wie solltest Du wissen, wer ich bin und was ich mache. Ich dachte, Du könntest hellsehen

Schon gut

Hau es runter. Du tust ihm mehr einen Gefallen damit, es runterzukloppen und eine Alternative bereitzustellen. safety first!!!

Es muss ja auch nicht LibreOffice sein. Es gibt ein FreeOffice von Softmaker, das sehr kompatibel zu Microsoft ist. => www.freeoffice.com - Home

Also fangen wir jetzt mal an oder

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Zitat:

Zitat von cosinus

Also fangen wir jetzt mal an oder

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ok, vielen Dank. Ich schicke dem Bekannten diese Tools und Anweisungen und wenn ich morgen - äh heute - eine Reaktion habe, mache ich hier weiter. Bis dahin alles Gute!

ja, ich kenn das......admins sind immer bis spät in die Nacht wach. Der User schlummern und schlummern und merken es was wenn der Computer so doof ist

Hallo cosinus,

ich habe nun die Dateien FRST.txt und Addition.txt und habe mal reingeschaut. Ich habe zwar keine Ahnung mehr von Windows (es ist übrigens Windows 10), aber die Dateien hier einfach veröffentlichen - das empfinde ich dann doch als Datenschutzverletzung. Wie handhabt ihr das sonst hier? Kann man die als PM schicken?

Nein so wird da nix. Und Nachnamen lassen sich editieren. Einfach drei Sternchen aus dem Nachnamen machen.


Wobei ich eh nie verstanden habe warum manche in ihrem Heimcomputer zu Hause ihren vollen Vor und Nachnamen als login verwenden....

Sorry, wenn das grad nervt.
Solche Keys wie

Code: Alles auswählenAufklappen

ATTFilter

Apple Software Update
(HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version:
2.1.3.127 - Apple Inc.)
         

Code: Alles auswählenAufklappen

ATTFilter

Admin (S-1-5-21-3267059207-1855691176-3858515562-1001 - Administrator
- Enabled) => C:\Users\Admin
         

sind das nicht vielleicht Daten, mit denen man Mißbrauch treiben kann? Ehrlich, das weiß ich nicht.
Ich entferne derweil mal die Namen aus dem Dok.

Also, hab mal unter Windows 7 Registry Forensics: Part 3 gelesen.

Man sollte vielleicht nicht die ganzen Ausgaben des Programm öffentlich machen.

Allerdings habe ich auch gesehen, dass Du diese Daten alle brauchst, um mir überhaupt behilflich zu sein. Es geht ja wohl um bestimmte Signaturen der Schadsoftware.

Ok, hier FRST

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:18-01-2016
durchgeführt von Admin (Administrator) auf ***** (20-01-2016 14:13:17)
Gestartet von C:\Users\Admin\Downloads
Geladene Profile: Admin (Verfügbare Profile: Admin)
Platform: Windows 10 Home (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDService.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerSvc.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Microsoft Corporation) C:\Windows\System32\wimserv.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrl.exe
(Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel Corporation) C:\Windows\System32\igfxHK.exe
() C:\Windows\System32\igfxTray.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrlHelper.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerTray.exe
(Intel Corporation) C:\Windows\System32\igfxext.exe
(Acer Incorporated) C:\Program Files\Acer\Acer Power Management\ePowerEvent.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\OFFICE11\WINWORD.EXE
(Microsoft Corporation) C:\Windows\splwow64.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13885696 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [IgfxTray] => C:\Windows\system32\igfxtray.exe [415128 2015-10-14] ()
HKLM\...\Run: [ETDCtrl] => C:\Program Files\Elantech\ETDCtrl.exe [3242696 2015-10-10] (ELAN Microelectronics Corp.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [3076096 2012-06-06] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2014-10-02] (Apple Inc.)
HKLM\...\Policies\Explorer\Run: [BtvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe
HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1403304 2015-10-29] (Garmin Ltd. or its subsidiaries)
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1403304 2015-10-29] (Garmin Ltd. or its subsidiaries)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2015-12-21]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe (McAfee, Inc.)
GroupPolicy: Beschränkung - Chrome <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: 0.0.0.1	mssplus.mcafee.com
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{6c3d2d26-dd6a-4f62-acfd-eec45aafdeee}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{a3a5ecbe-bc35-40a9-8277-59c01bb2cfec}: [DhcpNameServer] 192.168.2.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> DefaultScope Wert fehlt

FireFox:
========
FF ProfilePath: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default
FF NewTab: chrome://unitedtb/content/newtab/newtab-page.xhtml
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_267.dll [2015-12-29] ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_267.dll [2015-12-29] ()
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=3.5.29 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2013-05-08] (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2013-05-08] (Intel Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [2012-10-12] ()
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-12-18] (Adobe Systems Inc.)
FF Extension: GMX MailCheck - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\extensions\mailcheck@gmx.net [2015-12-16]
FF Extension: Adblock Plus - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-01-19]
FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\74b2eb1v.default\extensions\shortcutff@gmail.com => nicht gefunden
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nicht gefunden

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [266240 2012-06-05] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R3 ePowerSvc; C:\Program Files\Acer\Acer Power Management\ePowerSvc.exe [662088 2013-03-15] (Acer Incorporated)
R2 ETDService; C:\Program Files\Elantech\ETDService.exe [144072 2015-10-10] (ELAN Microelectronics Corp.)
S2 Garmin Device Interaction Service; C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe [777744 2015-10-29] (Garmin Ltd. or its subsidiaries)
R2 igfxCUIService2.0.0.0; C:\Windows\system32\igfxCUIService.exe [370064 2015-10-14] (Intel Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel(R) Corporation) [Datei ist nicht signiert]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel(R) Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-05-08] (Intel Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.266\McCHSvc.exe [289256 2015-12-02] (McAfee, Inc.)
S3 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [4230016 2013-01-28] (Symantec Corporation)
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [362928 2015-07-10] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [24864 2015-07-10] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 ccSet_NARA; C:\Windows\system32\drivers\NARAx64\0403000.00E\ccSetx64.sys [168608 2012-05-26] (Symantec Corporation)
S3 LMDriver; C:\Windows\System32\drivers\LMDriver.sys [21360 2013-01-10] (Acer Incorporated)
R3 MEIx64; C:\Windows\system32\DRIVERS\TeeDriverx64.sys [99288 2013-12-19] (Intel Corporation)
S3 RadioShim; C:\Windows\System32\drivers\RadioShim.sys [15704 2013-01-10] (Acer Incorporated)
S3 ssudserd; C:\Windows\system32\DRIVERS\ssudserd.sys [206080 2014-01-22] (DEVGURU Co., LTD.(www.devguru.co.kr))
S3 UdeCx; C:\Windows\System32\drivers\udecx.sys [44032 2015-07-10] ()
S0 WdBoot; C:\Windows\System32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation)
R2 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation)
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-01-20 14:13 - 2016-01-20 14:14 - 00011072 _____ C:\Users\Admin\Downloads\FRST.txt
2016-01-20 14:12 - 2016-01-20 14:13 - 00000000 ____D C:\FRST
2016-01-20 14:10 - 2016-01-20 14:10 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64(2).exe
2016-01-20 14:08 - 2016-01-20 14:12 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64.exe
2016-01-20 14:08 - 2016-01-20 14:08 - 02370560 _____ (Farbar) C:\Users\Admin\Downloads\FRST64(1).exe
2016-01-20 13:54 - 2016-01-20 13:54 - 00016148 _____ C:\WINDOWS\system32\*****_Admin_HistoryPrediction.bin
2016-01-07 12:20 - 2016-01-13 11:46 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2016-01-04 18:28 - 2016-01-04 18:28 - 00074285 _____ C:\Users\Admin\Downloads\PFYD3_06_wi.inx
2016-01-04 17:51 - 2016-01-04 17:52 - 00066607 _____ C:\Users\Admin\Downloads\PFYDL_04_1b.inx
2015-12-21 23:56 - 2015-12-21 23:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2021-10-21 14:36 - 2013-11-04 15:14 - 00000852 _____ C:\WINDOWS\system32\Drivers\RTKHDRC.dat
2021-10-04 08:34 - 2013-11-04 15:14 - 00000712 _____ C:\WINDOWS\system32\Drivers\RTMICEQ0.dat
2016-01-20 14:12 - 2015-07-10 10:05 - 00000000 ____D C:\Windows
2016-01-20 13:50 - 2015-07-10 12:04 - 00000000 ___HD C:\Program Files\WindowsApps
2016-01-20 13:50 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\AppReadiness
2016-01-20 13:50 - 2015-01-17 12:54 - 00004152 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{BA40585A-C8C4-4A95-BB98-D88CA72D1754}
2016-01-20 13:46 - 2015-08-21 21:19 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2016-01-20 13:46 - 2015-01-06 23:33 - 00000000 __SHD C:\Users\Admin\IntelGraphicsProfiles
2016-01-19 22:13 - 2015-08-21 21:40 - 01790124 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2016-01-19 22:13 - 2015-07-10 17:34 - 00772342 _____ C:\WINDOWS\system32\perfh007.dat
2016-01-19 22:13 - 2015-07-10 17:34 - 00154170 _____ C:\WINDOWS\system32\perfc007.dat
2016-01-19 22:13 - 2015-07-10 12:02 - 00000000 ____D C:\WINDOWS\INF
2016-01-19 21:44 - 2014-03-31 22:06 - 00000884 _____ C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2016-01-13 22:09 - 2015-08-21 22:13 - 00000000 ___DC C:\WINDOWS\Panther
2016-01-13 22:06 - 2015-10-30 20:27 - 00000000 ___HD C:\$WINDOWS.~BT
2016-01-13 19:02 - 2015-09-22 15:54 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-01-13 19:02 - 2014-12-23 23:25 - 00003972 _____ C:\WINDOWS\System32\Tasks\Adobe Acrobat Update Task
2016-01-13 12:31 - 2014-05-12 12:43 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
2016-01-13 12:30 - 2014-05-12 12:42 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2016-01-13 12:30 - 2014-05-12 12:42 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2016-01-13 12:27 - 2015-07-10 11:55 - 00000000 ____D C:\WINDOWS\CbsTemp
2016-01-13 12:26 - 2014-03-30 12:12 - 00000000 ____D C:\WINDOWS\system32\MRT
2016-01-13 12:23 - 2014-03-30 12:12 - 143671360 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2016-01-13 11:47 - 2015-07-10 13:21 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2016-01-13 11:46 - 2015-07-10 13:20 - 00297944 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2016-01-13 11:46 - 2014-03-30 21:01 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-01-13 11:45 - 2015-07-10 10:05 - 00524288 ___SH C:\WINDOWS\system32\config\BBI
2016-01-11 15:19 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\system32\WinBioDatabase
2015-12-29 12:24 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\rescache
2015-12-28 00:17 - 2015-07-10 12:04 - 00000000 ____D C:\WINDOWS\system32\oobe
2015-12-26 09:58 - 2015-07-10 12:06 - 00826872 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerApp.exe
2015-12-26 09:58 - 2015-07-10 12:06 - 00176632 _____ (Adobe Systems Incorporated) C:\WINDOWS\SysWOW64\FlashPlayerCPLApp.cpl
2015-12-21 23:56 - 2015-11-16 20:22 - 00000000 ____D C:\Program Files\McAfee Security Scan
2015-12-21 23:56 - 2015-09-22 15:55 - 00002013 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2014-04-14 22:43 - 2014-04-14 22:43 - 0000044 ____N () C:\Users\Admin\AppData\Roaming\WB.CFG
2015-03-22 22:40 - 2015-03-22 22:40 - 0004096 ____H () C:\Users\Admin\AppData\Local\keyfile3.drm
2014-04-13 22:28 - 2014-04-13 22:28 - 1097384 ____N (AnyProtect.com) C:\Users\Admin\AppData\Local\nsg7ED5.tmp
2015-08-21 21:19 - 2015-08-21 21:19 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

Einige Dateien in TEMP:
====================
C:\Users\Admin\AppData\Local\Temp\epdpdrv6.dll
C:\Users\Admin\AppData\Local\Temp\epdpdui6.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-12 14:25

==================== Ende von FRST.txt ============================
         

Und hier Addition:

Code: Alles auswählenAufklappen

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:18-01-2016
durchgeführt von Admin (2016-01-20 14:15:03)
Gestartet von C:\Users\Admin\Downloads
Windows 10 Home (X64) (2015-08-21 20:50:41)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-3267059207-1855691176-3858515562-1001 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-3267059207-1855691176-3858515562-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-3267059207-1855691176-3858515562-503 - Limited - Disabled)
Gast (S-1-5-21-3267059207-1855691176-3858515562-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Acer Power Management (HKLM\...\{91F52DE4-B789-42B0-9311-A349F10E5479}) (Version: 7.00.3013 - Acer Incorporated)
Acer Recovery Management (HKLM\...\{07F2005A-8CAC-4A4B-83A2-DA98A722CA61}) (Version: 6.00.3016 - Acer Incorporated)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.010.20056 - Adobe Systems Incorporated)
Adobe Flash Player 20 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 20.0.0.267 - Adobe Systems Incorporated)
ANT Drivers Installer x64 (Version: 2.3.4 - Garmin Ltd or its subsidiaries) Hidden
Apple Application Support (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Broadcom Card Reader Driver Installer (HKLM\...\{67AA948F-8D83-4566-B84A-7CAABCF64E3F}) (Version: 16.0.2.3 - Broadcom Corporation)
Broadcom NetLink Controller (HKLM\...\{D1D7ED66-5C08-40A0-AEC0-B6DF977697BB}) (Version: 16.0.2.1 - Broadcom Corporation)
Dot4 (HKLM\...\{DD411225-A527-4C56-91BE-15D888B3CCDE}) (Version: 1.0.0.0 - HP)
ELAN Touchpad 11.15.0.18_X64 (HKLM\...\Elantech) (Version: 11.15.0.18 - ELAN Microelectronic Corp.)
Elevated Installer (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
Garmin Express (HKLM-x32\...\{b292f4e5-60ca-4bb8-8810-e5f908c3c1ff}) (Version: 4.1.10.0 - Garmin Ltd or its subsidiaries)
Garmin Express (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
Garmin Express Tray (x32 Version: 4.1.10.0 - Garmin Ltd or its subsidiaries) Hidden
HL-2130 (HKLM-x32\...\{E2A97415-BD97-4867-B906-05E39E9EE51F}) (Version: 1.1.6.0 - Brother Industries, Ltd.)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.15.4248 - Intel Corporation)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.266.3 - McAfee, Inc.)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{90110407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.41212.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 43.0.4 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.4 (x86 de)) (Version: 43.0.4 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 43.0.4.5848 - Mozilla)
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.1.2 - pdfforge)
Personal Backup 5.6 (HKLM-x32\...\Personal Backup 5_is1) (Version: 5.6.4.0 - Dr. J. Rathlev)
Qualcomm Atheros Bluetooth Suite (64) (HKLM\...\{A84A4FB1-D703-48DB-89E0-68B6499D2801}) (Version: 8.0.1.305 - Qualcomm Atheros Communications)
QuickTime 7 (HKLM-x32\...\{3D2CBC2C-65D4-4463-87AB-BB2C859C1F3E}) (Version: 7.76.80.95 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7535 - Realtek Semiconductor Corp.)
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #3 (HKLM-x32\...\ST6UNST #3) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #4 (HKLM-x32\...\ST6UNST #4) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) #5 (HKLM-x32\...\ST6UNST #5) (Version:  - )
RestaurantExpress (C:\Program Files (x86)\RestaurantExpress\) (HKLM-x32\...\ST6UNST #2) (Version:  - )
RestaurantExpress (HKLM-x32\...\ST6UNST #1) (Version:  - )
Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee)
sv.net (HKLM-x32\...\sv.net) (Version: 15.0 - ITSG GmbH)
Windows-Treiberpaket - Dynastream Innovations, Inc. ANT LibUSB Drivers (04/11/2012 1.2.40.201) (HKLM\...\F9D2A789F9CFF8CEC36B544F53877C80F1F73C46) (Version: 04/11/2012 1.2.40.201 - Dynastream Innovations, Inc.)
Windows-Treiberpaket - Silicon Labs Software (DSI_SiUSBXp_3_1) USB  (02/06/2007 3.1) (HKLM\...\D1506E0025B5A3F9EB8270FE81C1EEDD9388B8A2) (Version: 02/06/2007 3.1 - Silicon Labs Software)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3267059207-1855691176-3858515562-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileCoAuth.exe (Microsoft Corporation)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {020C18A4-0C43-480D-9254-1C209FC1DC62} - System32\Tasks\Norton Online Backup ARA => C:\Program Files (x86)\Norton Online Backup ARA\Engine\4.3.0.14\\Ara.exe [2013-08-27] (Symantec Corporation)
Task: {04742201-330B-4C44-966A-2E4881207EF5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {0DB43AAA-2F61-4A3E-A693-FC6689D54124} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {168F2AF3-AA1F-45A0-A6DD-1F934F068106} - \0646f96d-e73e-48bf-9ca9-58255af83235-1 -> Keine Datei <==== ACHTUNG
Task: {2E05A4C0-7DD9-44B6-BDA7-55A5F811260E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {33D19136-1A92-40A3-A0C0-B5BE3E3BF576} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {376D946E-223D-4CAD-9E08-14AD907494F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {3C25971B-5A71-4382-861F-24A457FD8776} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {45CE2CA2-D397-408F-AE44-F47E92C53F74} - \LaunchApp -> Keine Datei <==== ACHTUNG
Task: {58F2ECF1-BE5E-45AA-9925-FCB85C5F73B3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {5CBAFA2D-A51F-49D0-BB14-0F465A039E1F} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-5 -> Keine Datei <==== ACHTUNG
Task: {5E0A843C-ECBA-43AF-9AF0-27A91C053DF5} - \Re-markit_wd -> Keine Datei <==== ACHTUNG
Task: {5E1D7411-AB6D-4AEC-935E-564340C78160} - \0646f96d-e73e-48bf-9ca9-58255af83235-3 -> Keine Datei <==== ACHTUNG
Task: {65ADC2E5-D6F1-4F9A-8C0F-8CF484B57054} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {67883F6E-DA73-4A58-8797-3B02D9398222} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\WINDOWS\system32\MRT.exe [2016-01-13] (Microsoft Corporation)
Task: {67CC9F21-A381-4574-9DA3-C9AE711BC0E1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {6BBAE77B-43B3-4EE2-81DA-301298F400EC} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-4 -> Keine Datei <==== ACHTUNG
Task: {80472701-CCBA-40D9-B892-BA0067339ECB} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-3 -> Keine Datei <==== ACHTUNG
Task: {84AC2FA2-0E99-4EEA-85D7-C1D7469CB75B} - \0646f96d-e73e-48bf-9ca9-58255af83235-4 -> Keine Datei <==== ACHTUNG
Task: {85F87504-40BA-4BEC-B7AF-17A42FED92E7} - \MySearchDial -> Keine Datei <==== ACHTUNG
Task: {86C7E693-378A-4F29-94F1-1BFA1A863637} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {91C5177C-8593-48A7-824A-A7889826B58C} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-1 -> Keine Datei <==== ACHTUNG
Task: {9B3FD2A5-BD72-417D-8E7B-F54B1077E394} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei <==== ACHTUNG
Task: {9F1E0444-49C5-4429-882D-2898FBA71F1A} - \0646f96d-e73e-48bf-9ca9-58255af83235-2 -> Keine Datei <==== ACHTUNG
Task: {A20B2CAE-96B0-4388-B8C9-A8AC43E1FEAA} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {A977F4C9-3334-4C39-B54B-7E8E8E7DF89B} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {CD7367CA-9455-4DB1-931D-362F62ECF24A} - \0646f96d-e73e-48bf-9ca9-58255af83235-5 -> Keine Datei <==== ACHTUNG
Task: {DB914D3F-0ADE-4E9E-AA0A-9E56A9C9C91C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
Task: {DBB65836-06CA-4BC4-A6A8-E908B40D7C26} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-12-29] (Adobe Systems Incorporated)
Task: {DC3E49A4-075C-4BF3-9AA0-DE85C9664AB2} - System32\Tasks\Power Management => C:\Program Files\Acer\Acer Power Management\ePowerTray.exe [2013-03-15] (Acer Incorporated)
Task: {DEC43EFC-D478-401D-B37D-7007E425EB67} - \Re-markit Update -> Keine Datei <==== ACHTUNG
Task: {E1C0F4F7-937F-45A6-BEF0-E0CFB7F881EF} - System32\Tasks\GarminUpdaterTask => C:\Program Files (x86)\Garmin\Express SelfUpdater\ExpressSelfUpdater.exe [2015-10-29] ()
Task: {F2AC8EC7-0AB7-4A8B-B1A7-B3C689D29A56} - \3d8c097a-d75d-43d1-aa88-eb4ad99df514-2 -> Keine Datei <==== ACHTUNG

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-08-21 22:08 - 2015-08-21 22:08 - 00032768 _____ () C:\WINDOWS\SYSTEM32\licensemanagerapi.dll
2015-08-21 22:09 - 2015-08-21 22:09 - 00404480 _____ () C:\WINDOWS\System32\diagtrack_wininternal.dll
2015-10-01 20:13 - 2015-09-17 07:48 - 02494712 _____ () C:\WINDOWS\system32\CoreUIComponents.dll
2015-10-01 20:13 - 2015-09-17 07:48 - 02494712 _____ () C:\WINDOWS\System32\CoreUIComponents.dll
2015-07-17 23:35 - 2015-10-14 18:52 - 00415128 _____ () C:\WINDOWS\system32\igfxTray.exe
2015-10-01 20:13 - 2015-09-17 06:48 - 00429056 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\QuickActions.dll
2015-07-10 11:59 - 2015-07-10 11:59 - 00143360 _____ () C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\XamlTileRendering.dll
2015-12-08 23:16 - 2015-11-25 05:20 - 06569472 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.dll
2015-12-08 23:15 - 2015-11-25 05:17 - 00471040 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Core.dll
2015-12-08 23:15 - 2015-11-25 05:17 - 01808384 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.BackgroundTask.dll
2015-10-01 20:13 - 2015-09-17 06:43 - 02274816 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersUI.dll
2015-07-10 12:00 - 2015-07-10 17:45 - 00210432 _____ () C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.ProxyStub.dll
2014-11-09 13:41 - 2009-02-27 16:38 - 00139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
2013-11-04 15:08 - 2013-05-08 21:23 - 01199576 _____ () C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\ACE.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2015-12-21 23:56 - 00000858 ____A C:\WINDOWS\system32\Drivers\etc\hosts

0.0.0.1	mssplus.mcafee.com

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3267059207-1855691176-3858515562-1001\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\...\StartupApproved\Run32: => "Adobe ARM"
HKLM\...\StartupApproved\Run32: => "QuickTime Task"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [UDP Query User{F3912B51-A912-4CB2-ABDE-9D18D65FF276}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [TCP Query User{0602CE10-A246-415B-A402-7A8E0842A136}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [{2529EAE3-E7AA-4EAF-A2F8-C32988B66B08}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{443EBCDD-7E82-4F10-BA16-3017B8F99E20}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{3BBE5FB6-9CD5-4A14-A83A-BD98FD48F40A}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\WebKit2WebProcess.exe
FirewallRules: [{BB8DF291-466C-48C9-8D7E-C03F42159DE8}] => (Allow) C:\Program Files (x86)\Nero\Nero 12\Nero BackItUp\BackItUp.exe
FirewallRules: [{0439C5C4-6C55-46D7-BD51-DE35DA1B1F72}] => (Allow) C:\Program Files (x86)\Nero\Nero 12\Nero BackItUp\BackItUp.exe
FirewallRules: [{36D1D188-D983-4F50-A802-D771A6C1A52C}] => (Allow) C:\Program Files (x86)\Spotify\spotify.exe
FirewallRules: [{F6B1BA89-553A-4469-9BBA-EE8D5C499F80}] => (Allow) C:\Program Files (x86)\Spotify\spotify.exe
FirewallRules: [{C8B84C1D-4C34-4175-8EDC-82FE0E21D01B}] => (Allow) C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe
FirewallRules: [{D3812A9C-0442-4C01-8F45-B16AFC5B8FBF}] => (Allow) C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe
FirewallRules: [{AB33EFCA-3A7D-41D0-87FB-4D6C0B925175}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{579B69F0-12CA-442E-8662-4FAF9AE5F0DD}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{F6CFB5DD-4555-4660-A8D8-165DA49082D1}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
FirewallRules: [{6CECD9F7-CEC0-47AF-AF8F-317D70AAA10C}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
FirewallRules: [{2C02156F-AF41-4EF1-BE2F-F211760172B5}] => (Allow) C:\Users\Admin\Downloads\VideoPerformerSetup(1).exe
FirewallRules: [{D92271C5-CCE8-4A15-BB73-FDB320405052}] => (Allow) C:\Users\Admin\Downloads\VideoPerformerSetup(1).exe
FirewallRules: [{0F48C3A9-BDBB-481F-AB6B-D9CBFF78C6E4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{9D6949A9-FBF5-433F-9B09-13199D2B6DBE}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

31-12-2015 21:32:33 Windows Update
08-01-2016 09:19:50 Geplanter Prüfpunkt
13-01-2016 12:23:16 Windows Update

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (01/19/2016 10:35:56 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: ****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:25:01 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:25:01 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy!App“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 10:21:20 PM) (Source: SideBySide) (EventID: 78) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest1". Fehler in Manifest- oder Richtliniendatei "C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest2" in Zeile C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\WINDOWS\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_f41f7b285750ef43.manifest.
Komponente 2: C:\WINDOWS\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.10240.16384_none_3bccb1ff6bcd1849.manifest.

Error: (01/19/2016 09:52:07 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/19/2016 07:57:01 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm ShellExperienceHost.exe, Version 10.0.10240.16515 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Systemsteuerung "Sicherheit und Wartung", um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1830

Startzeit: 01d152b3d7d541c3

Beendigungszeit: 4294967295

Anwendungspfad: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe

Berichts-ID: 6ab8a0ca-bede-11e5-bf65-a4db30b191c4

Vollständiger Name des fehlerhaften Pakets: Microsoft.Windows.ShellExperienceHost_10.0.10240.16384_neutral_neutral_cw5n1h2txyewy

Auf das fehlerhafte Paket bezogene Anwendungs-ID: App

Error: (01/19/2016 07:56:59 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 2484) (User: *****)
Description: Das Paket „Microsoft.Windows.ShellExperienceHost_10.0.10240.16384_neutral_neutral_cw5n1h2txyewy+App“ wurde beendet, da das Anhalten zu lange dauerte.

Error: (01/19/2016 12:17:44 AM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/18/2016 04:37:38 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.

Error: (01/18/2016 12:55:48 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 5973) (User: *****)
Description: Bei der Aktivierung der App „Microsoft.Windows.Cortana_cw5n1h2txyewy!CortanaUI“ ist folgender Fehler aufgetreten: -2144927141. Weitere Informationen finden Sie im Protokoll „Microsoft-Windows-TWinUI/Betriebsbereit“.


Systemfehler:
=============
Error: (01/19/2016 10:35:56 PM) (Source: DCOM) (EventID: 10010) (User: ****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 10:35:55 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session14" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 10:25:01 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 10:25:01 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: App.AppXw3qcpc7p849541dp39vvqd01bn7z9ybh.mca

Error: (01/19/2016 10:24:59 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session13" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 09:52:07 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 09:52:06 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session12" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/19/2016 12:17:44 AM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca

Error: (01/19/2016 12:17:42 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Synchronisierungshost_Session11" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/18/2016 04:37:38 PM) (Source: DCOM) (EventID: 10010) (User: *****)
Description: CortanaUI.AppXd4tad4d57t4wtdbnnmb8v2xtzym8c1n8.mca


CodeIntegrity:
===================================
  Date: 2016-01-18 19:09:18.438
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:18.413
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:07.146
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-18 19:09:07.067
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:32:05.151
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:32:05.023
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:31:47.486
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-17 21:31:46.202
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-15 20:26:14.486
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.

  Date: 2016-01-15 20:26:14.466
  Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume4\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3-4010U CPU @ 1.70GHz
Prozentuale Nutzung des RAM: 26%
Installierter physikalischer RAM: 8072.27 MB
Verfügbarer physikalischer RAM: 5900.81 MB
Summe virtueller Speicher: 9352.27 MB
Verfügbarer virtueller Speicher: 7131.73 MB

==================== Laufwerke ================================

Drive c: (Acer) (Fixed) (Total:448.75 GB) (Free:403.35 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 465.8 GB) (Disk ID: 868740B3)

Partition: GPT.

==================== Ende von Addition.txt ============================
         

Vielen Dank schon mal fürs rauf schauen.