| |
| |||||||
Log-Analyse und Auswertung: Rootkit/Malware entfernen - GMER LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
29.01.2016, 22:56
| #1 |
 |  Rootkit/Malware entfernen - GMER Log FRST.txt Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:27-01-2016
durchgeführt von Ich (Administrator) auf JOHN (29-01-2016 22:54:01)
Gestartet von C:\Users\Ich\Desktop
Geladene Profile: Ich (Verfügbare Profile: Ich)
Platform: Windows 8.1 Pro (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
(@ByELDI) C:\Program Files\KMSpico\Service_KMS.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnat.exe
(Perfect Privacy) C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManagerService.exe
(Wondershare) C:\Program Files (x86)\Wondershare\WAF\2.1.5.6\WsAppService.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avshadow.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnetdhcp.exe
(Perfect-Privacy) C:\Program Files (x86)\Perfect Privacy SSH Manager\SSHManager.exe
(Perfect Privacy) C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManager.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe
(The OpenVPN Project) C:\Program Files (x86)\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.Reader_6.3.9600.16422_x64__8wekyb3d8bbwe\glcnd.exe
(Simon Tatham) C:\Program Files (x86)\Perfect Privacy SSH Manager\pplink.exe
(Apple Inc.) C:\Program Files\iTunes\iTunes.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_19_0_0_245.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_19_0_0_245.exe
(Farbar) C:\Users\Ich\Desktop\1. FRST64.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM-x32\...\Run: [Avira SystrayStartTrigger] => C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe [66320 2015-12-08] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [803200 2015-12-01] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe [2621240 2015-11-18] (Malwarebytes Corporation)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Winsock: Catalog5 01 C:\Windows\SysWOW64\PrxerNsp.dll [84040 2015-03-28] ()
Winsock: Catalog5-x64 01 C:\Windows\system32\PrxerNsp.dll [96840 2015-03-28] ()
Tcpip\Parameters: [DhcpNameServer] 37.48.74.75 193.105.134.50
Tcpip\..\Interfaces\{8A4178BB-616E-4D0E-B859-F7CCF83A64FF}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{A0CD6432-86FF-4E0A-811F-80E64C305295}: [NameServer] 89.163.146.137,5.79.71.195
Tcpip\..\Interfaces\{A0CD6432-86FF-4E0A-811F-80E64C305295}: [DhcpNameServer] 37.48.74.75 193.105.134.50
Tcpip\..\Interfaces\{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}: [NameServer] 89.163.146.137,5.79.71.195
Tcpip\..\Interfaces\{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{F0852A93-45D4-435B-AB74-E4908A4E1EB1}: [NameServer] 89.163.146.137,5.79.71.195
Tcpip\..\Interfaces\{F0852A93-45D4-435B-AB74-E4908A4E1EB1}: [DhcpNameServer] 31.204.152.102 78.129.180.33
Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-878548909-853240946-4088646660-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit Uninstaller 5\UninstallExplorer.dll [2015-08-31] (IObit)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office\Office15\MSOSB.DLL [2014-01-23] (Microsoft Corporation)
FireFox:
========
FF ProfilePath: C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default
FF DefaultSearchEngine: StartPage - Deutsch
FF SelectedSearchEngine: Bing®
FF Homepage: about:home
FF Session Restore: -> ist aktiviert.
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_19_0_0_245.dll [2015-11-30] ()
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office15\NPSPWRAP.DLL [2014-01-23] (Microsoft Corporation)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-16] (VideoLAN)
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Keine Datei]
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_19_0_0_245.dll [2015-11-30] ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll [2015-10-14] ()
FF Plugin-x32: @java.com/DTPlugin,version=11.65.2 -> C:\Program Files (x86)\Java\jre1.8.0_65\bin\dtplugin\npDeployJava1.dll [2015-10-21] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.65.2 -> C:\Program Files (x86)\Java\jre1.8.0_65\bin\plugin2\npjp2.dll [2015-10-21] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office15\NPSPWRAP.DLL [2014-01-21] (Microsoft Corporation)
FF SearchPlugin: C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\searchplugins\startpage---deutsch.xml [2016-01-21]
FF Extension: HTTPS-Everywhere - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\extensions\https-everywhere@eff.org [2015-10-26]
FF Extension: LastPass - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\extensions\support@lastpass.com [2016-01-04]
FF Extension: NoScript - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2016-01-09]
FF Extension: Ghostery - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\Extensions\firefox@ghostery.com.xpi [2015-12-30]
FF Extension: Disable WebRTC - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\Extensions\jid1-5Fs7iTLscUaZBgwr@jetpack.xpi [2016-01-17]
FF Extension: Mailvelope - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\Extensions\jid1-AQqSMBYb0a8ADg@jetpack.xpi [2016-01-23]
FF Extension: Smart Referer - C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\Extensions\smart-referer@meh.paranoid.pk.xpi [2015-12-20]
Chrome:
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S2 AntiVirMailService; C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe [948392 2015-12-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\Antivirus\sched.exe [466408 2015-12-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\Antivirus\avguard.exe [466408 2015-12-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe [1418560 2015-12-01] (Avira Operations GmbH & Co. KG)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [77104 2015-10-07] (Apple Inc.)
R2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [251160 2015-12-08] (Avira Operations GmbH & Co. KG)
R2 DirMngr; C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe [216576 2015-09-09] () [Datei ist nicht signiert]
S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-31] (IObit)
R2 MbaeSvc; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe [739640 2015-11-18] (Malwarebytes Corporation)
R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [451384 2015-10-22] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [899896 2015-10-22] (Malwarebytes Corporation)
R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [177800 2015-10-22] (Sandboxie Holdings, LLC)
R2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [966336 2014-12-04] (@ByELDI) [Datei ist nicht signiert]
S2 VMwareHostd; C:\Program Files (x86)\VMware\VMware Workstation\vmware-hostd.exe [12465344 2015-08-14] ()
R2 VPNManager; C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManagerService.exe [19456 2016-01-12] (Perfect Privacy) [Datei ist nicht signiert]
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [366552 2015-07-07] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23824 2015-07-07] (Microsoft Corporation)
R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.1.5.6\WsAppService.exe [387072 2015-12-25] (Wondershare) [Datei ist nicht signiert]
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [135880 2015-12-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [146696 2015-12-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [35488 2015-12-01] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\system32\DRIVERS\avnetflt.sys [73032 2015-12-01] (Avira Operations GmbH & Co. KG)
S3 DDDriver; C:\Windows\system32\drivers\DDDriver64Dcsa.sys [32464 2015-09-11] (Dell Computer Corporation)
S3 DellProf; C:\Windows\system32\drivers\DellProf.sys [24240 2015-09-11] (Dell Computer Corporation)
S0 ebdrv; C:\Windows\System32\drivers\evbda.sys [3357024 2013-08-22] (Broadcom Corporation)
R1 ESProtectionDriver; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.sys [63064 2015-11-18] ()
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-10-22] (Malwarebytes Corporation)
R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [192648 2015-10-22] (Sandboxie Holdings, LLC)
R3 SensorsAlsDriver; C:\Windows\System32\drivers\WUDFRd.sys [226304 2014-10-29] (Microsoft Corporation)
R0 vsock; C:\Windows\System32\drivers\vsock.sys [75512 2015-08-04] (VMware, Inc.)
R2 vstor2-mntapi20-shared; C:\Windows\SysWow64\drivers\vstor2-mntapi20-shared.sys [34520 2015-07-09] (VMware, Inc.)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44560 2015-07-07] (Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [270168 2015-07-07] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [114520 2015-07-07] (Microsoft Corporation)
U3 pxldypog; \??\C:\Users\Ich\AppData\Local\Temp\pxldypog.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-29 22:54 - 2016-01-29 22:54 - 00014433 _____ C:\Users\Ich\Desktop\FRST.txt
2016-01-29 22:53 - 2016-01-29 22:54 - 00000000 ____D C:\FRST
2016-01-29 22:53 - 2016-01-29 22:53 - 02370560 _____ (Farbar) C:\Users\Ich\Desktop\1. FRST64.exe
2016-01-29 22:04 - 2014-01-28 18:36 - 00380416 _____ C:\Users\Ich\Desktop\gmer.exe
2016-01-29 21:56 - 2016-01-29 21:56 - 00000022 _____ C:\Windows\S.dirmngr
2016-01-27 20:10 - 2016-01-27 20:10 - 00003562 _____ C:\Windows\System32\Tasks\Perfect Privacy SSH Manager
2016-01-27 19:04 - 2016-01-27 19:04 - 00003562 _____ C:\Windows\System32\Tasks\VPN Manager
2016-01-26 21:13 - 2016-01-26 21:13 - 00089088 _____ C:\Users\Ich\Desktop\mbr.exe
2016-01-22 16:02 - 2016-01-22 16:03 - 00414600 _____ C:\Windows\system32\FNTCACHE.DAT
2016-01-21 17:02 - 2016-01-21 17:02 - 00001065 _____ C:\Users\Ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CCleaner64.lnk
2016-01-15 00:22 - 2016-01-22 21:59 - 00000000 ____D C:\Users\Ich\Desktop\sampler
2016-01-09 17:12 - 2016-01-09 17:26 - 00000000 ____D C:\Portables
2016-01-09 16:15 - 2016-01-09 16:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2016-01-09 16:15 - 2016-01-09 16:23 - 00000000 ____D C:\Program Files (x86)\Wondershare
2016-01-09 16:15 - 2016-01-09 16:16 - 00000000 ____D C:\ProgramData\Wondershare
2016-01-09 16:15 - 2016-01-09 16:15 - 00000000 ___HD C:\Program Files (x86)\Dr.Fone_Temp
2016-01-09 16:15 - 2015-02-27 10:35 - 00000232 _____ C:\Windows\SysWOW64\dllhost.exe.config
2016-01-09 11:39 - 2016-01-09 11:39 - 00000000 ____D C:\meinz
2016-01-09 11:35 - 2016-01-09 11:35 - 00000000 ____D C:\Users\Ich\licman
2016-01-09 11:35 - 2016-01-09 11:35 - 00000000 ____D C:\Users\Ich\EREnt64
2016-01-09 11:35 - 2016-01-09 11:35 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ontrack EasyRecovery Enterprise
2016-01-09 11:34 - 2016-01-09 11:34 - 00000000 ____D C:\Program Files (x86)\Kroll Ontrack
2016-01-09 03:24 - 2016-01-14 07:17 - 00000000 ____D C:\Marvel's Jessica Jones - S01
2016-01-09 00:47 - 2016-01-14 07:14 - 00000000 ____D C:\Marvel's Daredevil - S01
2016-01-09 00:41 - 2016-01-09 15:51 - 00000000 ____D C:\Users\Ich\AppData\Roaming\TrueCrypt
2016-01-09 00:41 - 2016-01-09 00:41 - 00231376 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys
2016-01-09 00:41 - 2016-01-09 00:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TrueCrypt
2016-01-09 00:41 - 2016-01-09 00:41 - 00000000 ____D C:\Program Files\TrueCrypt
2016-01-08 22:41 - 2016-01-08 22:41 - 00001269 _____ C:\Users\Ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Photoshop CS6.lnk
2016-01-08 21:32 - 2016-01-14 07:19 - 00000000 ____D C:\The Walking Dead S06
2016-01-07 17:48 - 2016-01-07 17:48 - 00000000 ____D C:\Users\Ich\AppData\Roaming\FFSJ
2016-01-06 18:17 - 2016-01-06 18:18 - 00000000 ____D C:\Users\Ich\AppData\Roaming\SteelBytes
2016-01-06 12:08 - 2016-01-07 12:08 - 00000000 ____D C:\Windows\AutoKMS
2016-01-06 12:08 - 2016-01-06 12:08 - 00003238 _____ C:\Windows\System32\Tasks\AutoKMSCustom
2016-01-06 12:08 - 2016-01-06 12:08 - 00000000 ____D C:\ProgramData\Microsoft Toolkit
2016-01-06 12:05 - 2016-01-06 12:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013
2016-01-06 12:05 - 2016-01-06 12:05 - 00000000 ____D C:\Program Files\Common Files\DESIGNER
2016-01-06 12:04 - 2016-01-06 12:04 - 00000000 ____D C:\Program Files (x86)\Microsoft SQL Server
2016-01-06 12:03 - 2016-01-06 12:04 - 00000000 ____D C:\Program Files\Microsoft SQL Server
2016-01-06 12:03 - 2016-01-06 12:03 - 00000000 ____D C:\Windows\PCHEALTH
2016-01-06 12:01 - 2016-01-06 12:03 - 00000000 ____D C:\Program Files\Microsoft Office
2016-01-06 12:01 - 2016-01-06 12:01 - 00000000 ____D C:\Users\Ich\AppData\Local\Microsoft Help
2016-01-06 12:01 - 2016-01-06 12:01 - 00000000 ____D C:\Program Files\Microsoft Analysis Services
2016-01-06 12:01 - 2016-01-06 12:01 - 00000000 ____D C:\Program Files (x86)\Microsoft Office
2016-01-06 12:01 - 2016-01-06 12:01 - 00000000 ____D C:\Program Files (x86)\Microsoft Analysis Services
2016-01-06 12:00 - 2016-01-06 12:00 - 00000000 __RHD C:\MSOCache
2016-01-04 15:02 - 2016-01-04 15:02 - 00002806 _____ C:\Users\Ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk
2016-01-04 15:00 - 2016-01-09 21:05 - 00000000 ____D C:\Users\Ich\AppData\Roaming\uTorrent
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-29 22:52 - 2015-10-26 20:43 - 00000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2016-01-29 22:12 - 2015-10-22 13:42 - 00000000 ____D C:\Users\Ich\AppData\LocalLow\LastPass
2016-01-29 22:01 - 2014-03-18 11:04 - 01785036 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-29 22:01 - 2014-03-18 10:25 - 00768266 _____ C:\Windows\system32\perfh007.dat
2016-01-29 22:01 - 2014-03-18 10:25 - 00160576 _____ C:\Windows\system32\perfc007.dat
2016-01-29 22:01 - 2013-08-22 14:36 - 00000000 ____D C:\Windows\Inf
2016-01-29 21:56 - 2015-11-07 21:14 - 00000000 ____D C:\ProgramData\VMware
2016-01-29 21:56 - 2013-08-22 15:45 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-29 21:55 - 2015-10-21 22:01 - 00000000 ____D C:\Users\Ich
2016-01-29 21:55 - 2013-08-22 16:36 - 00000000 ____D C:\Windows\system32\NDF
2016-01-28 22:49 - 2015-10-21 23:01 - 00000000 ____D C:\Users\Ich\AppData\Roaming\vlc
2016-01-28 22:08 - 2015-10-23 18:25 - 00000600 _____ C:\Users\Ich\AppData\Local\PUTTY.RND
2016-01-28 01:07 - 2015-10-21 22:06 - 00003596 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-878548909-853240946-4088646660-1001
2016-01-27 23:32 - 2015-10-25 07:16 - 00000000 ____D C:\JDownloader 2.0
2016-01-27 20:22 - 2015-10-30 15:14 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-01-27 20:10 - 2015-10-22 13:39 - 00000000 ____D C:\Program Files (x86)\Perfect Privacy VPN Manager
2016-01-19 07:20 - 2013-08-22 14:25 - 00262144 ___SH C:\Windows\system32\config\BBI
2016-01-13 21:57 - 2015-10-23 18:33 - 00000000 ____D C:\ProgramData\Package Cache
2016-01-13 21:57 - 2015-10-23 18:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2016-01-10 16:45 - 2015-10-22 14:38 - 00002372 _____ C:\Windows\System32\Tasks\Uninstaller_SkipUac_Ich
2016-01-10 16:45 - 2015-10-22 14:38 - 00000276 _____ C:\Windows\Tasks\Uninstaller_SkipUac_Ich.job
2016-01-09 20:46 - 2015-12-06 21:45 - 00001610 _____ C:\Windows\Sandboxie.ini
2016-01-09 16:16 - 2015-12-27 22:34 - 00000000 ____D C:\Program Files (x86)\iTunes
2016-01-08 15:21 - 2015-10-22 14:37 - 00000000 ____D C:\Program Files (x86)\IObit Uninstaller 5
2016-01-07 12:10 - 2015-10-22 11:38 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2016-01-06 12:16 - 2015-10-21 22:01 - 00000000 ____D C:\Users\Ich\AppData\Local\Packages
2016-01-06 12:05 - 2013-08-22 16:36 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2016-01-06 12:04 - 2013-08-22 16:36 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2016-01-06 12:01 - 2014-03-18 10:40 - 00000000 ____D C:\Windows\ShellNew
2016-01-06 07:17 - 2015-10-22 14:38 - 00000000 ____D C:\ProgramData\ProductData
2016-01-04 18:35 - 2015-10-21 22:22 - 00000000 ____D C:\Users\Ich\AppData\Roaming\Mozilla
2016-01-03 07:17 - 2015-10-22 11:40 - 00000000 ____D C:\Users\Ich\AppData\Roaming\Apple Computer
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2015-12-02 19:08 - 2015-12-02 19:08 - 0000096 _____ () C:\Users\Ich\AppData\Roaming\version2.xml
2015-10-23 18:25 - 2016-01-28 22:08 - 0000600 _____ () C:\Users\Ich\AppData\Local\PUTTY.RND
Einige Dateien in TEMP:
====================
C:\Users\Ich\AppData\Local\Temp\avgnt.exe
C:\Users\Ich\AppData\Local\Temp\proxy_vole5685941399022153807.dll
C:\Users\Ich\AppData\Local\Temp\proxy_vole6113834405237832821.dll
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-01-23 09:30
==================== Ende von FRST.txt ============================
Addition.txt Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:27-01-2016
durchgeführt von Ich (2016-01-29 22:55:03)
Gestartet von C:\Users\Ich\Desktop
Windows 8.1 Pro (X64) (2015-10-21 21:01:08)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-878548909-853240946-4088646660-500 - Administrator - Disabled)
Gast (S-1-5-21-878548909-853240946-4088646660-501 - Limited - Disabled)
Ich (S-1-5-21-878548909-853240946-4088646660-1001 - Administrator - Enabled) => C:\Users\Ich
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
µTorrent (HKU\S-1-5-21-878548909-853240946-4088646660-1001\...\uTorrent) (Version: 3.4.5.41372 - BitTorrent Inc.)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 3.1.0.4880 - Adobe Systems Incorporated)
Adobe Dreamweaver CS6 (HKLM-x32\...\{A4ED5E53-7AA0-11E1-BF04-B2D4D4A5360E}) (Version: 12 - Adobe Systems Incorporated)
Adobe Flash Player 19 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 19.0.0.245 - Adobe Systems Incorporated)
Adobe Help Manager (HKLM-x32\...\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1) (Version: 4.0.244 - Adobe Systems Incorporated)
Adobe Widget Browser (HKLM-x32\...\com.adobe.WidgetBrowser) (Version: 2.0 Build 348 - Adobe Systems Incorporated.)
Apple Application Support (32-Bit) (HKLM-x32\...\{7FA9ECCF-A2DE-4DA1-BFF3-81260DBDA68F}) (Version: 4.1.2 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{691F30EB-9009-475A-B8A9-E1BF39598FD5}) (Version: 4.1.2 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{3540181E-340A-4E7A-B409-31663472B2F7}) (Version: 9.1.0.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{FFD1F7F1-1AC9-4BC4-A908-0686D635ABAF}) (Version: 2.1.4.131 - Apple Inc.)
Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.15.129 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM-x32\...\{eac7da46-2097-4dd4-80a6-8b67cbb2b23f}) (Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG)
Avira Launcher (x32 Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG) Hidden
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
FileZilla Client 3.14.1 (HKU\S-1-5-21-878548909-853240946-4088646660-1001\...\FileZilla Client) (Version: 3.14.1 - Tim Kosse)
Gpg4win (2.2.6) (HKLM-x32\...\GPG4Win) (Version: 2.2.6 - The Gpg4win Project)
IObit Uninstaller (HKLM-x32\...\IObitUninstall) (Version: 5.0.3.171 - IObit)
iTunes (HKLM\...\{FBEB98F8-64E4-4FA3-A15E-4A9F42FF962E}) (Version: 12.3.2.35 - Apple Inc.)
Java 8 Update 65 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218065F0}) (Version: 8.0.650.17 - Oracle Corporation)
Microsoft Office Professional Plus 2013 (HKLM\...\Office15.PROPLUS) (Version: 15.0.4569.1506 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM-x32\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{4fd02573-5f12-4ae4-8027-c63f8e1115af}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 43.0.4 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.4 (x86 de)) (Version: 43.0.4 - Mozilla)
NVIDIA Grafiktreiber 341.81 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 341.81 - NVIDIA Corporation)
Ontrack EasyRecovery Enterprise (HKLM-x32\...\{AE695CA4-8847-4462-98CC-023874D29E72}_is1) (Version: 11.1.0.0 - Kroll Ontrack Inc.)
Outils de vérification linguistique 2013 de Microsoft Office*- Français (Version: 15.0.4569.1506 - Microsoft Corporation) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.2.2 - pdfforge)
Sandboxie 5.06 (64-bit) (HKLM\...\Sandboxie) (Version: 5.06 - Sandboxie Holdings, LLC)
TrueCrypt (HKLM-x32\...\TrueCrypt) (Version: 7.1a - TrueCrypt Foundation)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.1 - VideoLAN)
VMware Workstation (HKLM\...\{132E3257-14F1-411A-BC6C-0CA32D3A9BC6}) (Version: 12.0.0 - VMware, Inc.)
VPN Manager 1.7.28.14 (HKLM-x32\...\VPN Manager) (Version: 1.7.28.14 - Perfect-Privacy)
WinRAR 5.01 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.01.0 - win.rar GmbH)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {079D8F41-67B3-468B-B4C7-8C190413ACE2} - System32\Tasks\AdobeAAMUpdater-1.0-John-Ich => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2012-04-04] (Adobe Systems Incorporated)
Task: {0912DDE7-EDF9-43E7-94CE-7289475BA5CA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {0C4196E0-D329-4333-B59C-93C55B0030C8} - System32\Tasks\Uninstaller_SkipUac_Ich => C:\Program Files (x86)\IObit Uninstaller 5\IObitUninstaler.exe [2015-08-31] (IObit)
Task: {0D509D9D-2CD5-4FDD-BF6B-CC0CFDD6197B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {5C8D37A2-8837-4347-9527-85587207F6DD} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [2014-12-04] (@ByELDI)
Task: {97B5B734-F882-41F0-BE2B-8B5568B1254E} - System32\Tasks\Perfect Privacy SSH Manager => C:\Program Files (x86)\Perfect Privacy SSH Manager\SSHManager.exe [2015-06-17] (Perfect-Privacy)
Task: {A08B8CDA-4E18-4A02-B7D6-FF1AE4BA0D57} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corporation)
Task: {AF08175C-0C79-49B6-BBDC-E4C8D8AA46B9} - System32\Tasks\AutoKMSCustom => C:\Windows\AutoKMS\AutoKMS.exe [2016-01-06] ()
Task: {BA48FCCD-F364-42BF-B684-E7B4DCC4D3D1} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {E3951D14-5535-4175-A189-2246FB217F15} - System32\Tasks\VPN Manager => C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManager.exe [2016-01-12] (Perfect Privacy)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Uninstaller_SkipUac_Ich.job => C:\Program Files (x86)\IObit Uninstaller 5\IObitUninstaler.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2015-12-07 23:26 - 2015-03-28 15:55 - 00096840 _____ () C:\Windows\system32\PrxerNsp.dll
2015-10-21 22:31 - 2015-08-18 01:07 - 00115376 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2015-10-13 04:45 - 2015-10-13 04:45 - 00085800 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2015-10-13 04:45 - 2015-10-13 04:45 - 01328912 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2015-09-09 11:52 - 2015-09-09 11:52 - 00216576 _____ () C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
2015-10-16 11:02 - 2015-10-16 11:02 - 00043480 _____ () C:\Program Files\FileZilla FTP Client\fzshellext_64.dll
2015-11-15 00:22 - 2015-11-15 00:22 - 00224856 _____ () C:\Program Files (x86)\Perfect Privacy VPN Manager\OpenVPN\liblzo2-2.dll
2015-11-15 00:22 - 2015-11-15 00:22 - 00122960 _____ () C:\Program Files (x86)\Perfect Privacy VPN Manager\OpenVPN\libpkcs11-helper-1.dll
2015-10-13 04:45 - 2015-10-13 04:45 - 00306960 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxslt.dll
2015-09-09 11:40 - 2015-09-09 11:40 - 00221696 _____ () C:\Program Files (x86)\GNU\GnuPG\libksba-8.dll
2015-09-09 11:28 - 2015-09-09 11:28 - 00050176 _____ () C:\Program Files (x86)\GNU\GnuPG\libw32pth-0.dll
2015-09-09 11:39 - 2015-09-09 11:39 - 00072192 _____ () C:\Program Files (x86)\GNU\GnuPG\libassuan-0.dll
2015-09-09 11:42 - 2015-09-09 11:42 - 00744448 _____ () C:\Program Files (x86)\GNU\GnuPG\libgcrypt-20.dll
2015-09-09 11:34 - 2015-09-09 11:34 - 00087040 _____ () C:\Program Files (x86)\GNU\GnuPG\libgpg-error-0.dll
2015-08-14 14:02 - 2015-08-14 14:02 - 01301696 _____ () C:\Program Files (x86)\VMware\VMware Workstation\libxml2.dll
2015-10-13 04:46 - 2015-10-13 04:46 - 01040144 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
2015-10-13 04:46 - 2015-10-13 04:46 - 00073512 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
2016-01-04 20:59 - 2016-01-04 20:59 - 01114648 _____ () C:\Users\Ich\AppData\Roaming\Mozilla\Firefox\Profiles\qdpdbubo.default\extensions\support@lastpass.com\platform\WINNT_x86-msvc\components\lpxpcom.dll
2015-10-16 11:02 - 2015-10-16 11:02 - 00039384 _____ () C:\Program Files\FileZilla FTP Client\fzshellext.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-878548909-853240946-4088646660-1001\...\dell.com -> dell.com
IE trusted site: HKU\S-1-5-21-878548909-853240946-4088646660-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-878548909-853240946-4088646660-1001\...\webcompanion.com -> hxxp://webcompanion.com
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2015-11-13 14:52 - 2015-11-13 14:52 - 00001905 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobe.activate.com
127.0.0.1 hl2rcv.adobe.com
127.0.0.1 209.34.83.73:443
127.0.0.1 209.34.83.73:43
127.0.0.1 209.34.83.73
127.0.0.1 209.34.83.67:443
127.0.0.1 209.34.83.67:43
127.0.0.1 209.34.83.67
127.0.0.1 ood.opsource.net
127.0.0.1 CRL.VERISIGN.NET
127.0.0.1 199.7.52.190:80
127.0.0.1 199.7.52.190
127.0.0.1 adobeereg.com
127.0.0.1 OCSP.SPO1.VERISIGN.COM
127.0.0.1 199.7.54.72:80
127.0.0.1 199.7.54.72
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-878548909-853240946-4088646660-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Ich\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper
DNS Servers: 89.163.146.137 - 5.79.71.195
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKLM\...\StartupApproved\Run: => "iTunesHelper"
HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"
HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
HKLM\...\StartupApproved\Run32: => "StereoLinksInstall"
HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0"
HKLM\...\StartupApproved\Run32: => "AdobeCS6ServiceManager"
HKLM\...\StartupApproved\Run32: => "vmware-tray.exe"
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [{E6E0615F-2847-4279-8AB8-6E99C9F2D2E6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{37187F34-A41A-45C4-A665-B1A9A0AEC60C}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{2BDACA31-B6B5-462E-B083-4B61718B3650}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{56D038CA-5828-4342-AD62-777C063C8574}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{0D57452F-8094-4B26-BA33-0D85D034B2AE}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{49E88789-CA7A-4029-A1A9-47D9E92FF9AF}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{145F3409-6C66-4225-9E3C-5CA234FE89D2}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0E2CA63C-A771-4369-8D6F-B3D57EE5A082}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{62380776-887F-4FA4-8237-589BFDDB143E}] => (Allow) C:\Program Files (x86)\VMware\VMware Workstation\vmware-authd.exe
FirewallRules: [{E2983DFF-E5A2-4F7F-8235-073B7603785E}] => (Allow) C:\Program Files (x86)\VMware\VMware Workstation\vmware-authd.exe
FirewallRules: [{2E0BD47E-FCDA-4C82-B9FB-38C6D89795E3}] => (Allow) C:\Program Files (x86)\VMware\VMware Workstation\vmware-hostd.exe
FirewallRules: [{92237AFD-1A06-431B-963B-F2E2DA535635}] => (Allow) C:\Program Files (x86)\VMware\VMware Workstation\vmware-hostd.exe
FirewallRules: [{0F7CF6F3-D350-4288-AE5D-42F6443C9644}] => (Allow) C:\Program Files\iTunes\iTunes.exe
FirewallRules: [TCP Query User{41A03EB9-A5C3-4728-B627-4861DFB1292D}C:\users\ich\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\ich\appdata\roaming\utorrent\utorrent.exe
FirewallRules: [UDP Query User{646FA969-DD2C-41B8-B82D-6E888C81DF88}C:\users\ich\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\ich\appdata\roaming\utorrent\utorrent.exe
FirewallRules: [{E6057BB3-6E12-4CCC-BF8B-538EABFC82FB}] => (Allow) C:\Program Files (x86)\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe
FirewallRules: [{46D6A675-020E-4653-96BE-7B89BA6498E3}] => (Allow) C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManager.exe
==================== Wiederherstellungspunkte =========================
09-01-2016 00:41:23 TrueCrypt installation
16-01-2016 07:56:51 Geplanter Prüfpunkt
23-01-2016 09:31:13 Geplanter Prüfpunkt
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: Massenspeichercontroller
Description: Massenspeichercontroller
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: Broadcom USH
Description: Broadcom USH
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/27/2016 08:18:04 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm VPNManager.exe, Version 1.7.28.14 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.
Prozess-ID: 1480
Startzeit: 01d15936685759ed
Endzeit: 4294967295
Anwendungspfad: C:\Program Files (x86)\Perfect Privacy VPN Manager\VPNManager.exe
Berichts-ID: af795531-c52a-11e5-8297-b8ac6f59855b
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:
Error: (01/27/2016 08:10:34 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.14 on Microsoft Windows 8.1 Pro 64
Error: (01/27/2016 08:10:34 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.14 on Microsoft Windows 8.1 Pro 64
Error: (01/27/2016 08:10:34 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: Application Exception:
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
Error: (01/27/2016 08:10:22 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.9 on Microsoft Windows 8.1 Pro 64
Error: (01/27/2016 08:10:22 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.9 on Microsoft Windows 8.1 Pro 64
Error: (01/27/2016 08:10:22 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: Application Exception:
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
Error: (01/25/2016 10:42:00 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Service_KMS.exe, Version: 14.0.0.6, Zeitstempel: 0x5480afdb
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.3.9600.18007, Zeitstempel: 0x55c4c341
Ausnahmecode: 0xe0434352
Fehleroffset: 0x000000000000871c
ID des fehlerhaften Prozesses: 0x654
Startzeit der fehlerhaften Anwendung: 0xService_KMS.exe0
Pfad der fehlerhaften Anwendung: Service_KMS.exe1
Pfad des fehlerhaften Moduls: Service_KMS.exe2
Berichtskennung: Service_KMS.exe3
Vollständiger Name des fehlerhaften Pakets: Service_KMS.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: Service_KMS.exe5
Error: (01/25/2016 10:41:59 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Anwendung: Service_KMS.exe
Frameworkversion: v4.0.30319
Beschreibung: Der Prozess wurde aufgrund einer unbehandelten Ausnahme beendet.
Ausnahmeinformationen: System.ArgumentOutOfRangeException
Stapel:
bei System.Collections.Generic.List`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].RemoveAt(Int32)
bei Service_KMS.Logging.FileLogger.ᜀ(System.String ByRef)
bei System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean)
bei System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object)
bei System.Threading.ThreadHelper.ThreadStart()
Error: (01/25/2016 09:37:54 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Service_KMS.exe, Version: 14.0.0.6, Zeitstempel: 0x5480afdb
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.3.9600.18007, Zeitstempel: 0x55c4c341
Ausnahmecode: 0xe0434352
Fehleroffset: 0x000000000000871c
ID des fehlerhaften Prozesses: 0x718
Startzeit der fehlerhaften Anwendung: 0xService_KMS.exe0
Pfad der fehlerhaften Anwendung: Service_KMS.exe1
Pfad des fehlerhaften Moduls: Service_KMS.exe2
Berichtskennung: Service_KMS.exe3
Vollständiger Name des fehlerhaften Pakets: Service_KMS.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: Service_KMS.exe5
Systemfehler:
=============
Error: (01/29/2016 10:32:26 PM) (Source: DCOM) (EventID: 10010) (User: John)
Description: {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}
Error: (01/29/2016 10:31:56 PM) (Source: DCOM) (EventID: 10010) (User: John)
Description: {1B1F472E-3221-4826-97DB-2C2324D389AE}
Error: (01/29/2016 09:59:05 PM) (Source: bowser) (EventID: 8016) (User: )
Description: Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "O2" zum Namen "JOHN" auf Transport "NetBT_Tcpip_{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}". Das Datagramm steht in den Daten.
Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.
Error: (01/29/2016 09:57:13 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Der Dienst "VMware Workstation Server" wurde mit dem folgenden dienstspezifischen Fehler beendet:
%%4294967295
Error: (01/29/2016 09:57:10 PM) (Source: bowser) (EventID: 8016) (User: )
Description: Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "O2" zum Namen "JOHN" auf Transport "NetBT_Tcpip_{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}". Das Datagramm steht in den Daten.
Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.
Error: (01/28/2016 10:48:36 PM) (Source: bowser) (EventID: 8016) (User: )
Description: Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "O2" zum Namen "JOHN" auf Transport "NetBT_Tcpip_{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}". Das Datagramm steht in den Daten.
Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.
Error: (01/28/2016 08:29:02 PM) (Source: bowser) (EventID: 8016) (User: )
Description: Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "O2" zum Namen "JOHN" auf Transport "NetBT_Tcpip_{C9D62CAC-E04A-460A-BCB9-4881E7B748FA}". Das Datagramm steht in den Daten.
Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.
Error: (01/28/2016 08:25:44 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Der Dienst "VMware Workstation Server" wurde mit dem folgenden dienstspezifischen Fehler beendet:
%%4294967295
Error: (01/28/2016 08:25:00 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am 28.01.2016 um 04:26:41 unerwartet heruntergefahren.
Error: (01/28/2016 04:47:38 AM) (Source: DCOM) (EventID: 10010) (User: John)
Description: {1B1F472E-3221-4826-97DB-2C2324D389AE}
CodeIntegrity:
===================================
Date: 2016-01-27 22:21:25.886
Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Users\Ich\AppData\Local\Temp\mbr.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz
Prozentuale Nutzung des RAM: 26%
Installierter physikalischer RAM: 8180.18 MB
Verfügbarer physikalischer RAM: 5983.51 MB
Summe virtueller Speicher: 9460.18 MB
Verfügbarer virtueller Speicher: 6640.11 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:149.92 GB) (Free:31.78 GB) NTFS
Drive d: (Diefekkt) (Fixed) (Total:232.88 GB) (Free:17.17 GB) NTFS
Drive e: (Volume) (Fixed) (Total:781.25 GB) (Free:16.56 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 012BD01C)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=781.2 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: D8000000)
Partition 1: (Not Active) - (Size=232.9 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
|
|
30.01.2016, 12:30
| #2 |
| /// TB-Ausbilder /// Anleitungs-Guru  | Rootkit/Malware entfernen - GMER Log Bevor ich helfen kann, bitte die illegal aktivierte Software entfernen.
__________________
__________________ |
|
30.01.2016, 12:42
| #3 |
| | Rootkit/Malware entfernen - GMER Log Dreamweaver, VMWare Workstation & OnTrack Easy Recovery gelöscht!
__________________Soll ich FRST noch einmal laufen lassen und die Logs posten? Edit: Leider lässt sich VMWare nicht vollständig entfernen. Mein Uninstaller zeigt noch immer das Programm an und sagt: Restdateien erfolgreich entfernt! Jedoch verschwindet das Programm nicht aus der Liste der installierten Programme... Geändert von Eisbergsalat (30.01.2016 um 12:49 Uhr) |
|
| Themen zu Rootkit/Malware entfernen - GMER Log |
| appdata, c:\windows, csrss.exe, device, driver, entferne, entfernen, gmer, gmer.exe, harddisk, infiziert, infiziert?, local, local\temp, log, scan, system, system32, temp, threads, users |
Hybrid-Darstellung
