|
Log-Analyse und Auswertung: Wird mein PC Ferngesteuert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.01.2016, 19:31 | #1 |
| Wird mein PC Ferngesteuert? Hallo, ich habe heute morgen meine Laptop gestartet und habe seitdem das Gefühl er wird "ferngesteuert". Zunächst reagierte die Maus nicht und dann bewegte sie sich ohne mein Zutun sehr merkwürdig übertrieben. Dann wurden die Icons nicht angezeigt...beim nächsten Neustart schon. Jedoch wurden dann eine Vielzahl von Programmen geöffnet aber nicht verstellt. Ich konnte zwar einige Sachen wieder schließen aber nur über die Tastatur. Habe am Laptop jetzt WLAN ausgemacht und ihn heruntergefahren und bitte um Hilfestellung über einen anderen Rechner Ich habe hier auch gleich die FRST dateien Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:27-01-2016 durchgeführt von ich (Administrator) auf ICH-PC (29-01-2016 23:02:43) Gestartet von C:\Users\ich\Desktop Geladene Profile: ich (Verfügbare Profile: ich) Platform: Microsoft® Windows Vista™ Home Basic Service Pack 2 (X86) Sprache: Deutsch (Deutschland) Internet Explorer Version 9 (Standard-Browser: IE) Start-Modus: Normal Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.) (Microsoft Corporation) C:\Windows\System32\SLsvc.exe (Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avguard.exe (Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Exploit\mbae-svc.exe (Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Paramount Software UK Ltd) C:\Program Files\Macrium\Reflect\ReflectService.exe (Perfect Privacy) C:\Program Files\Perfect Privacy VPN Manager\VPNManagerService.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe (Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avgnt.exe (Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe (Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe (TrueCrypt Foundation) C:\Program Files\TrueCrypt\TrueCrypt.exe (Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieCtrl.exe (Perfect-Privacy) C:\Program Files\Perfect Privacy SSH Manager\SSHManager.exe (Perfect Privacy) C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avshadow.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (The OpenVPN Project) C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe (Microsoft Corporation) C:\Windows\System32\mobsync.exe (Microsoft Corporation) C:\Program Files\Windows Media Player\wmplayer.exe ==================== Registry (Nicht auf der Ausnahmeliste) =========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.) HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66320 2015-12-08] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [avgnt] => C:\Program Files\Avira\Antivirus\avgnt.exe [803200 2015-12-03] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe [2621240 2015-11-18] (Malwarebytes Corporation) HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [596528 2015-10-06] (Oracle Corporation) HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\...\Run: [TrueCrypt] => C:\Program Files\TrueCrypt\TrueCrypt.exe [1516496 2016-01-08] (TrueCrypt Foundation) HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\...\Run: [SandboxieControl] => C:\Program Files\Sandboxie\SbieCtrl.exe [634504 2015-10-22] (Sandboxie Holdings, LLC) Startup: C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2016-01-10] () ==================== Internet (Nicht auf der Ausnahmeliste) ==================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.) Winsock: Catalog9 01 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 02 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 03 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 04 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 05 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 06 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 07 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 08 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 19 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG) Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{10DDE13D-145B-4B1C-8F04-1834120F3E67}: [NameServer] 178.162.194.30,81.95.5.34 Tcpip\..\Interfaces\{10DDE13D-145B-4B1C-8F04-1834120F3E67}: [DhcpNameServer] 193.105.134.50 217.114.218.18 Tcpip\..\Interfaces\{362EBB00-E0F5-4836-8E22-2CDE15D0F941}: [NameServer] 178.162.194.30,81.95.5.34 Tcpip\..\Interfaces\{B189F5D0-F131-4C9C-BE36-1927FA82BCF4}: [NameServer] 94.242.243.66,178.162.194.30 Tcpip\..\Interfaces\{B189F5D0-F131-4C9C-BE36-1927FA82BCF4}: [DhcpNameServer] 192.168.1.1 Internet Explorer: ================== SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1770218144-2934837660-2320225156-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_66\bin\ssv.dll [2016-01-17] (Oracle Corporation) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_66\bin\jp2ssv.dll [2016-01-17] (Oracle Corporation) FireFox: ======== FF ProfilePath: C:\Users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\aD4Mnr2g.default FF Plugin: @java.com/DTPlugin,version=11.66.2 -> C:\Program Files\Java\jre1.8.0_66\bin\dtplugin\npDeployJava1.dll [2016-01-17] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=11.66.2 -> C:\Program Files\Java\jre1.8.0_66\bin\plugin2\npjp2.dll [2016-01-17] (Oracle Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Extension: Avira Browser Safety - C:\Users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\aD4Mnr2g.default\Extensions\abs@avira.com [2016-01-07] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-02-27] [ist nicht signiert] Chrome: ======= CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx ==================== Dienste (Nicht auf der Ausnahmeliste) ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) S2 AntiVirMailService; C:\Program Files\Avira\Antivirus\avmailc.exe [930944 2015-12-03] (Avira Operations GmbH & Co. KG) R2 AntiVirSchedulerService; C:\Program Files\Avira\Antivirus\sched.exe [466408 2015-12-03] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files\Avira\Antivirus\avguard.exe [466408 2015-12-03] (Avira Operations GmbH & Co. KG) S2 AntiVirWebService; C:\Program Files\Avira\Antivirus\AVWEBGRD.EXE [1222952 2015-12-03] (Avira Operations GmbH & Co. KG) R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [251160 2015-12-08] (Avira Operations GmbH & Co. KG) S4 DirMngr; C:\Program Files\GNU\GnuPG\dirmngr.exe [216576 2015-09-09] () [Datei ist nicht signiert] S3 Disc Soft Lite Bus Service; C:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe [1082200 2015-11-30] (Disc Soft Ltd) R2 MbaeSvc; C:\Program Files\Malwarebytes Anti-Exploit\mbae-svc.exe [739640 2015-11-18] (Malwarebytes Corporation) R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [451384 2015-10-22] (Malwarebytes Corporation) R2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [899896 2015-10-22] (Malwarebytes Corporation) R2 ReflectService.exe; C:\Program Files\Macrium\Reflect\ReflectService.exe [2613200 2015-10-12] (Paramount Software UK Ltd) R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [137352 2015-10-22] (Sandboxie Holdings, LLC) R2 VPNManager; C:\Program Files\Perfect Privacy VPN Manager\VPNManagerService.exe [19456 2016-01-12] (Perfect Privacy) [Datei ist nicht signiert] S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation) ===================== Treiber (Nicht auf der Ausnahmeliste) ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [106968 2015-12-03] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2015-12-03] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-12-03] (Avira Operations GmbH & Co. KG) R3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [26168 2016-01-07] (Disc Soft Ltd) R3 dtliteusbbus; C:\Windows\System32\DRIVERS\dtliteusbbus.sys [40504 2016-01-07] (Disc Soft Ltd) R1 ESProtectionDriver; C:\Program Files\Malwarebytes Anti-Exploit\mbae.sys [47928 2015-11-18] () R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22744 2015-10-22] (Malwarebytes Corporation) R0 pssnap; C:\Windows\System32\DRIVERS\pssnap.sys [16016 2015-10-12] (Windows (R) Win 7 DDK provider) R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [166024 2015-10-22] (Sandboxie Holdings, LLC) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [329384 2016-01-08] (Duplex Secure Ltd.) R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-12-03] (Avira Operations GmbH & Co. KG) R3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [23040 2015-05-26] (The OpenVPN Project) S3 WIMMount; C:\Program Files\Macrium\Reflect\wimmount.sys [19024 2016-01-10] (Microsoft Corporation) S4 IpInIp; system32\DRIVERS\ipinip.sys [X] S4 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S4 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] ==================== NetSvcs (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) ==================== Ein Monat: Erstellte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2016-01-29 23:02 - 2016-01-29 23:03 - 00011468 _____ C:\Users\ich\Desktop\FRST.txt 2016-01-29 23:02 - 2016-01-29 23:02 - 00000000 ____D C:\FRST 2016-01-29 23:02 - 2016-01-29 23:01 - 01721856 _____ (Farbar) C:\Users\ich\Desktop\FRST.exe 2016-01-29 22:21 - 2016-01-29 22:21 - 00380416 _____ C:\Users\ich\Desktop\yevjru7e.exe 2016-01-21 18:12 - 2016-01-21 18:12 - 155340078 _____ C:\Windows\MEMORY.DMP 2016-01-21 18:12 - 2016-01-21 18:12 - 00143544 _____ C:\Windows\Minidump\Mini012116-01.dmp 2016-01-21 18:12 - 2016-01-21 18:12 - 00000000 ____D C:\Windows\Minidump 2016-01-17 22:10 - 2016-01-17 22:25 - 80331777 _____ C:\Users\ich\Downloads\UofT - Maidan - Visotsky 75 yrs._hd.mp4 2016-01-17 22:08 - 2016-01-17 22:10 - 12576516 _____ C:\Users\ich\Downloads\Cowgirl_sd.mp4 2016-01-17 22:06 - 2016-01-17 22:11 - 27041173 _____ C:\Users\ich\Downloads\Cindy in Bubble Magic by Jay GreenMan_mp4.mp4 2016-01-17 22:06 - 2016-01-17 22:08 - 07421964 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_mp4.mp4 2016-01-17 22:02 - 2016-01-17 22:06 - 19822687 _____ C:\Users\ich\Downloads\The first times in the nude Outdoor_mp4.mp4 2016-01-17 22:01 - 2016-01-17 22:06 - 26091189 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_hd.mp4 2016-01-17 22:00 - 2016-01-17 22:02 - 07421964 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_sd.mp4 2016-01-17 20:25 - 2016-01-17 20:44 - 315378127 _____ C:\Users\ich\Downloads\UNCANNY VALLEY (2015)_hd.mp4 2016-01-17 20:24 - 2016-01-18 21:10 - 00000000 ____D C:\Downloads JD 2016-01-17 20:01 - 2016-01-17 20:01 - 00001618 _____ C:\Users\ich\Desktop\JDownloader 2.lnk 2016-01-17 20:01 - 2016-01-17 20:01 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\JDownloader 2016-01-17 19:50 - 2016-01-17 19:50 - 00000000 ____D C:\Windows\Sun 2016-01-17 19:48 - 2016-01-17 19:48 - 00000000 ____D C:\Program Files\Common Files\Java 2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\AppData\Roaming\Sun 2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\AppData\LocalLow\Sun 2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\.oracle_jre_usage 2016-01-17 19:44 - 2016-01-17 19:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java 2016-01-17 19:44 - 2016-01-17 19:43 - 00095840 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll 2016-01-17 19:42 - 2016-01-17 19:47 - 00000000 ____D C:\ProgramData\Oracle 2016-01-17 19:42 - 2016-01-17 19:42 - 00000000 ____D C:\Program Files\Java 2016-01-17 19:40 - 2016-01-17 19:40 - 00000000 ____D C:\Users\ich\AppData\LocalLow\Oracle 2016-01-17 18:38 - 2016-01-17 18:38 - 00002080 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Word Viewer 2003.lnk 2016-01-17 18:38 - 2016-01-17 18:38 - 00000000 ____D C:\Program Files\Microsoft Office 2016-01-17 18:37 - 2016-01-17 18:37 - 00000000 ____D C:\Program Files\MSECache 2016-01-17 17:38 - 2016-01-16 21:06 - 00000888 _____ C:\Users\ich\Desktop\Sandboxed Web Browser.lnk 2016-01-16 21:07 - 2016-01-26 21:04 - 00001508 _____ C:\Windows\Sandboxie.ini 2016-01-16 21:07 - 2016-01-16 21:07 - 00000000 ___RD C:\Sandbox 2016-01-16 21:06 - 2016-01-16 21:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sandboxie 2016-01-16 21:06 - 2016-01-16 21:06 - 00000000 ____D C:\Program Files\Sandboxie 2016-01-12 19:21 - 2016-01-12 19:23 - 00000000 ____D C:\Users\ich\AppData\Roaming\.purple 2016-01-11 19:07 - 2016-01-27 19:07 - 00000947 _____ C:\Users\Public\Desktop\VPN Manager.lnk 2016-01-11 00:19 - 2016-01-11 00:19 - 00009023 _____ C:\Users\ich\Desktop\My Backup.xml 2016-01-10 18:45 - 2016-01-10 18:45 - 00000000 ____D C:\Users\ich\AppData\Roaming\SteelBytes 2016-01-10 18:32 - 2016-01-10 18:32 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Macrium 2016-01-10 18:32 - 2016-01-10 18:32 - 00000000 ____D C:\Program Files\Macrium 2016-01-10 18:29 - 2016-01-10 19:01 - 00000000 ____D C:\ProgramData\Macrium 2016-01-10 18:28 - 2016-01-28 22:19 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys 2016-01-10 18:28 - 2016-01-10 18:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware 2016-01-10 18:28 - 2016-01-10 18:34 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2016-01-10 18:28 - 2016-01-10 18:28 - 00000000 ____D C:\Users\ich\AppData\Roaming\Malwarebytes 2016-01-10 18:28 - 2016-01-10 18:28 - 00000000 ____D C:\ProgramData\Malwarebytes 2016-01-10 18:28 - 2015-10-22 21:37 - 00022744 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys 2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\Users\ich\AppData\Roaming\gnupg 2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\ProgramData\GNU 2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\Program Files\GNU 2016-01-10 18:25 - 2016-01-10 18:25 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pidgin-otr 2016-01-10 18:25 - 2016-01-10 18:25 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pidgin-otr 2016-01-10 18:24 - 2016-01-10 18:25 - 00000000 ____D C:\Program Files\Pidgin 2016-01-10 16:50 - 2016-01-10 16:50 - 00049168 _____ C:\Users\ich\AppData\Local\GDIPFONTCACHEV1.DAT 2016-01-10 16:49 - 2016-01-10 16:50 - 00229056 _____ C:\Windows\system32\FNTCACHE.DAT 2016-01-09 17:23 - 2016-01-09 17:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PWGen 2016-01-09 17:23 - 2016-01-09 17:23 - 00000000 ____D C:\Program Files\PWGen 2016-01-09 16:50 - 2016-01-09 18:36 - 00000000 ____D C:\Proxifier PE 2016-01-08 19:33 - 2016-01-09 16:27 - 00000000 ____D C:\Program Files\WinRAR 2016-01-08 19:30 - 2016-01-08 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit 2016-01-08 19:30 - 2016-01-08 19:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit 2016-01-08 19:30 - 2016-01-08 19:30 - 00000000 ____D C:\Program Files\Malwarebytes Anti-Exploit 2016-01-08 15:56 - 2014-04-11 19:13 - 00258048 _____ (Flo) C:\Vista-ShutdownTimer.exe 2016-01-08 13:43 - 2016-01-08 13:43 - 00000000 ____D C:\Users\ich\AppData\Local\Disc_Soft_Ltd 2016-01-08 13:42 - 2016-01-08 13:42 - 00329384 _____ (Duplex Secure Ltd.) C:\Windows\system32\Drivers\sptd.sys 2016-01-08 13:41 - 2016-01-08 13:41 - 00000000 ____D C:\ProgramData\TrueCrypt 2016-01-08 13:14 - 2016-01-09 17:22 - 00000000 ____D C:\Users\ich\AppData\Roaming\TrueCrypt 2016-01-08 13:13 - 2016-01-19 19:06 - 00000600 _____ C:\Users\ich\AppData\Local\PUTTY.RND 2016-01-08 13:03 - 2016-01-08 13:03 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys 2016-01-08 13:03 - 2016-01-08 13:03 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TrueCrypt 2016-01-08 12:58 - 2016-01-08 13:14 - 00000000 ____D C:\Program Files\TrueCrypt 2016-01-07 23:21 - 2016-01-10 18:59 - 00000000 ____D C:\AdwCleaner 2016-01-07 22:36 - 2016-01-07 22:36 - 00000000 ____D C:\Users\ich\AppData\Local\Apps\2.0 2016-01-07 22:28 - 2016-01-07 22:28 - 00000000 ____D C:\Users\ich\AppData\Roaming\Avira 2016-01-07 22:18 - 2016-01-07 22:18 - 00000000 ____D C:\Program Files\Disc Soft 2016-01-07 22:17 - 2016-01-07 22:17 - 00040504 _____ (Disc Soft Ltd) C:\Windows\system32\Drivers\dtliteusbbus.sys 2016-01-07 22:16 - 2016-01-09 18:56 - 00000000 ____D C:\Users\ich\AppData\Roaming\DAEMON Tools Lite 2016-01-07 22:16 - 2016-01-07 22:18 - 00000000 ____D C:\Program Files\DAEMON Tools Lite 2016-01-07 22:16 - 2016-01-07 22:16 - 00026168 _____ (Disc Soft Ltd) C:\Windows\system32\Drivers\dtlitescsibus.sys 2016-01-07 22:07 - 2016-01-07 22:09 - 00000000 ____D C:\ProgramData\DAEMON Tools Lite 2016-01-07 22:05 - 2016-01-07 22:05 - 00000717 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk 2016-01-07 22:04 - 2016-01-07 22:04 - 00000000 ____D C:\Users\ich\AppData\Local\Perfect_Privacy 2016-01-07 22:04 - 2016-01-07 22:04 - 00000000 ____D C:\Program Files\Perfect Privacy SSH Manager 2016-01-07 22:02 - 2016-01-27 19:07 - 00000000 ____D C:\Program Files\Perfect Privacy VPN Manager 2016-01-07 22:02 - 2016-01-07 22:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Perfect Privacy VPN 2016-01-07 22:00 - 2016-01-05 22:36 - 00000091 _____ C:\Users\ich\Desktop\IPs PP.txt 2016-01-07 21:59 - 2016-01-29 22:25 - 00000000 ____D C:\Users\ich\AppData\Roaming\Mozilla 2016-01-07 21:55 - 2015-12-03 15:25 - 00031848 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\ssmdrv.sys 2016-01-07 21:55 - 2015-12-03 15:24 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2016-01-07 21:55 - 2015-12-03 15:24 - 00106968 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2016-01-07 21:55 - 2015-12-03 15:24 - 00037896 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys 2016-01-07 19:15 - 2016-01-07 21:57 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira 2016-01-07 19:15 - 2016-01-07 21:57 - 00000000 ____D C:\ProgramData\Avira 2016-01-07 19:15 - 2016-01-07 19:21 - 00000000 ____D C:\Program Files\Avira 2016-01-07 19:15 - 2016-01-07 19:15 - 00000000 ____D C:\ProgramData\Package Cache 2016-01-07 19:11 - 2016-01-17 20:24 - 00000000 ____D C:\Users\ich 2016-01-07 19:11 - 2016-01-09 18:55 - 00000000 ____D C:\Users\ich\AppData\Local\VirtualStore 2016-01-07 19:11 - 2016-01-07 19:11 - 00000949 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk 2016-01-07 19:11 - 2016-01-07 19:11 - 00000944 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk 2016-01-07 19:11 - 2016-01-07 19:11 - 00000915 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk 2016-01-07 19:11 - 2016-01-07 19:11 - 00000020 ___SH C:\Users\ich\ntuser.ini 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Vorlagen 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Startmenü 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Netzwerkumgebung 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Lokale Einstellungen 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Eigene Dateien 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Druckumgebung 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Local\Verlauf 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Local\Anwendungsdaten 2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Anwendungsdaten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Vorlagen 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Startmenü 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Lokale Einstellungen 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Eigene Dateien 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Druckumgebung 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Anwendungsdaten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Vorlagen 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Startmenü 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Favoriten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Dokumente 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Anwendungsdaten 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Program Files\Gemeinsame Dateien 2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Dokumente und Einstellungen 2016-01-07 19:03 - 2016-01-07 19:03 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_07_00.Wdf 2016-01-07 19:02 - 2016-01-07 19:02 - 00000000 _____ C:\Windows\system32\atiicdxx.dat ==================== Ein Monat: Geänderte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2016-01-29 22:59 - 2009-04-11 17:51 - 01474270 _____ C:\Windows\system32\PerfStringBackup.INI 2016-01-29 22:59 - 2009-04-11 17:50 - 00635776 _____ C:\Windows\system32\perfh007.dat 2016-01-29 22:59 - 2009-04-11 17:50 - 00137690 _____ C:\Windows\system32\perfc007.dat 2016-01-29 22:59 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\inf 2016-01-29 22:49 - 2006-11-02 13:58 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2016-01-29 22:49 - 2006-11-02 13:45 - 00003760 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2016-01-29 22:49 - 2006-11-02 13:45 - 00003760 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2016-01-29 22:26 - 2006-11-02 13:58 - 00022120 _____ C:\Windows\Tasks\SCHEDLGU.TXT 2016-01-17 18:38 - 2006-11-02 12:18 - 00000000 ____D C:\Program Files\Common Files\microsoft shared 2016-01-09 18:56 - 2015-02-27 07:51 - 00000000 ____D C:\Windows\Panther 2016-01-08 19:30 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache 2016-01-07 23:42 - 2006-11-02 13:35 - 00000000 ___RD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games 2016-01-07 19:07 - 2006-11-02 12:18 - 00000000 ____D C:\Program Files\Windows NT 2016-01-07 18:57 - 2015-02-27 07:51 - 00008192 ___RS C:\BOOTSECT.BAK 2016-01-07 18:57 - 2006-11-02 13:35 - 00262144 _____ C:\Windows\system32\config\BCD-Template ==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ======= 2016-01-08 13:13 - 2016-01-19 19:06 - 0000600 _____ () C:\Users\ich\AppData\Local\PUTTY.RND Einige Dateien in TEMP: ==================== C:\Users\ich\AppData\Local\Temp\130974432490035610.exe C:\Users\ich\AppData\Local\Temp\13097443255524361014.exe C:\Users\ich\AppData\Local\Temp\130975302773071384.exe C:\Users\ich\AppData\Local\Temp\13097530284038138411.exe C:\Users\ich\AppData\Local\Temp\avgnt.exe C:\Users\ich\AppData\Local\Temp\proxy_vole3317470329584973791.dll C:\Users\ich\AppData\Local\Temp\proxy_vole4848454028124059118.dll C:\Users\ich\AppData\Local\Temp\proxy_vole6311932760061653979.dll C:\Users\ich\AppData\Local\Temp\proxy_vole6938619521027522022.dll C:\Users\ich\AppData\Local\Temp\proxy_vole8217370270631560779.dll ==================== Bamital & volsnap ================= (Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.) C:\Windows\explorer.exe => Datei ist digital signiert C:\Windows\system32\winlogon.exe => Datei ist digital signiert C:\Windows\system32\wininit.exe => Datei ist digital signiert C:\Windows\system32\svchost.exe => Datei ist digital signiert C:\Windows\system32\services.exe => Datei ist digital signiert C:\Windows\system32\User32.dll => Datei ist digital signiert C:\Windows\system32\userinit.exe => Datei ist digital signiert C:\Windows\system32\rpcss.dll => Datei ist digital signiert C:\Windows\system32\dnsapi.dll => Datei ist digital signiert C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert LastRegBack: 2016-01-29 22:58 ==================== Ende vom FRST.txt ============================ hier die Additions.txt Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:27-01-2016 durchgeführt von ich (2016-01-29 23:03:42) Gestartet von C:\Users\ich\Desktop Microsoft® Windows Vista™ Home Basic Service Pack 2 (X86) (2016-01-07 18:03:16) Start-Modus: Normal ========================================================== ==================== Konten: ============================= Administrator (S-1-5-21-1770218144-2934837660-2320225156-500 - Administrator - Disabled) Gast (S-1-5-21-1770218144-2934837660-2320225156-501 - Limited - Disabled) ich (S-1-5-21-1770218144-2934837660-2320225156-1000 - Administrator - Enabled) => C:\Users\ich ==================== Sicherheits-Center ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.) AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859} AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Installierte Programme ====================== (Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.) Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.15.129 - Avira Operations GmbH & Co. KG) Avira Launcher (HKLM\...\{eac7da46-2097-4dd4-80a6-8b67cbb2b23f}) (Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG) Avira Launcher (Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG) Hidden DAEMON Tools Lite (HKLM\...\DAEMON Tools Lite) (Version: 10.2.0.0114 - Disc Soft Ltd) Gpg4win (2.2.6) (HKLM\...\GPG4Win) (Version: 2.2.6 - The Gpg4win Project) Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.17 - Oracle Corporation) JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH) Macrium Reflect Workstation Edition (HKLM\...\MacriumReflect) (Version: 6.1 - Paramount Software (UK) Ltd.) Macrium Reflect Workstation Edition (Version: 6.1.936 - Paramount Software (UK) Ltd.) Hidden Microsoft .NET Framework 3.5 Language Pack SP1 - DEU (HKLM\...\Microsoft .NET Framework 3.5 Language Pack SP1 - deu) (Version: - Microsoft Corporation) Microsoft .NET Framework 3.5 SP1 (HKLM\...\Microsoft .NET Framework 3.5 SP1) (Version: - Microsoft Corporation) Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation) Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation) Microsoft Office Word Viewer 2003 (HKLM\...\{90850407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 (HKLM\...\{196BB40D-1578-3D01-B289-BEFC77A11A1E}) (Version: 10.0.30319 - Microsoft Corporation) Pidgin (HKLM\...\Pidgin) (Version: 2.10.11 - ) pidgin-otr 4.0.1 (HKLM\...\pidgin-otr) (Version: 4.0.1 - Cypherpunks CA) Sandboxie 5.06 (32-bit) (HKLM\...\Sandboxie) (Version: 5.06 - Sandboxie Holdings, LLC) TrueCrypt (HKLM\...\TrueCrypt) (Version: 7.1a - TrueCrypt Foundation) VPN Manager 1.7.28.14 (HKLM\...\VPN Manager) (Version: 1.7.28.14 - Perfect-Privacy) ==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) ==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) Task: {18DFD9FC-082E-4E9B-8285-5F21D2B4EDAE} - System32\Tasks\Microsoft\Windows\MobilePC\TMM Task: {1A71FFAB-753E-4EC7-B1A6-98857FAAB5CB} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto Task: {A7B867A4-4E91-449F-B704-7B612785E38D} - System32\Tasks\Perfect Privacy SSH Manager => C:\Program Files\Perfect Privacy SSH Manager\SSHManager.exe [2015-06-17] (Perfect-Privacy) Task: {F616FDE0-5105-4C47-8A48-F639BFC7EBC6} - System32\Tasks\VPN Manager => C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe [2016-01-12] (Perfect Privacy) (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.) ==================== Verknüpfungen ============================= (Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.) ==================== Geladene Module (Nicht auf der Ausnahmeliste) ============== 2006-11-02 11:25 - 2006-11-02 10:46 - 00159744 _____ () C:\Windows\system32\atitmmxx.dll 2015-11-15 00:22 - 2015-11-15 00:22 - 00175144 _____ () C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\liblzo2-2.dll 2015-11-15 00:22 - 2015-11-15 00:22 - 00112736 _____ () C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\libpkcs11-helper-1.dll ==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.) ==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.) ==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.) ==================== Internet Explorer Vertrauenswürdig/Eingeschränkt =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.) ==================== Hosts Inhalt: =============================== (Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.) 2006-11-02 11:23 - 2006-09-18 22:41 - 00000761 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ==================== Andere Bereiche ============================ (Aktuell gibt es keinen automatisierten Fix für diesen Bereich.) HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img23.jpg DNS Servers: Datenträger ist nicht mit dem Internet verbunden. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1) Windows Firewall ist aktiviert. ==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge == (Aktuell gibt es keinen automatisierten Fix für diesen Bereich.) MSCONFIG\Services: AeLookupSvc => 2 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: SCardSvr => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: TabletInputService => 2 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: WPCSvc => 3 MSCONFIG\Services: wscsvc => 2 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 2 MSCONFIG\startupreg: DAEMON Tools Lite Automount => "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun MSCONFIG\startupreg: Windows Defender => %ProgramFiles%\Windows Defender\MSASCui.exe -hide ==================== FirewallRules (Nicht auf der Ausnahmeliste) =============== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) FirewallRules: [{443857B6-D451-4928-B2C7-B743A1104204}] => (Allow) LPort=80 FirewallRules: [{35B93C39-A697-4052-BD49-CBF311D35C32}] => (Allow) LPort=80 FirewallRules: [{2A4CA275-B05F-4762-B3C9-FCE505E05DDF}] => (Allow) LPort=80 FirewallRules: [{A97A0E59-A829-46CC-8A37-3A910225F51D}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe FirewallRules: [{AE507756-BE32-4584-9034-6DA1C2E7D954}] => (Allow) C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe FirewallRules: [{04AF7876-7EA4-4484-BD20-92D7F5E80981}] => (Allow) C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe ==================== Wiederherstellungspunkte ========================= Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI. ==================== Fehlerhafte Geräte im Gerätemanager ============= Name: Basissystemgerät Description: Basissystemgerät Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Basissystemgerät Description: Basissystemgerät Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Basissystemgerät Description: Basissystemgerät Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Fehlereinträge in der Ereignisanzeige: ========================= Applikationsfehler: ================== Error: (01/29/2016 11:04:10 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070422. Vorgang: VSS-Server wird instanziiert Error: (01/29/2016 11:04:10 PM) (Source: VSS) (EventID: 39) (User: ) Description: Volumeschattenkopie-Dienst-Fehler: Der Volumeschattenkopie-Dienst (VSS) ist deaktiviert. Aktivieren Sie den Dienst, und wiederholen Sie den Vorgang. Vorgang: VSS-Server wird instanziiert Error: (01/29/2016 07:08:35 PM) (Source: Avira Service Host) (EventID: 0) (User: ) Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier) bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession) bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e) bei System.EventHandler`1.Invoke(Object sender, TEventArgs e) bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e) bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason) bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args) bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e) bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription) bei System.ServiceProcess.ServiceBase.DeferredSessionCh... Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: An error occured! If you want to help us, take a screenshot of this message and post it in our forum or send it via mail! Program Main System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) VPN Manager 1.7.28.14 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32 Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: An error occured! If you want to help us, take a screenshot of this message and post it in our forum or send it via mail! Program Main System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) VPN Manager 1.7.28.14 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32 Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: Application Exception: System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: An error occured! If you want to help us, take a screenshot of this message and post it in our forum or send it via mail! Program Main System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) VPN Manager 1.7.28.13 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32 Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: An error occured! If you want to help us, take a screenshot of this message and post it in our forum or send it via mail! Program Main System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) VPN Manager 1.7.28.13 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32 Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: ) Description: Application Exception: System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen. bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner) bei System.Windows.Forms.Form.ShowDialog() bei VPNManager.Program.Main(String[] args) Error: (01/17/2016 07:58:48 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070422. Vorgang: VSS-Server wird instanziiert Systemfehler: ============= Error: (01/29/2016 09:56:23 PM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.22.20 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.13.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/29/2016 07:29:30 AM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.23.18 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.22.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/28/2016 11:22:19 PM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.13.240 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.23.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/28/2016 08:50:27 PM) (Source: Ntfs) (EventID: 137) (User: ) Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten. Error: (01/28/2016 08:20:30 PM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.11.242 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.13.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/27/2016 07:14:37 PM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.21.245 für die Netzwerkkarte mit der Netzwerkadresse 00FF78A7976B wurde durch den DHCP-Server 10.7.23.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/26/2016 09:09:03 PM) (Source: Ntfs) (EventID: 137) (User: ) Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten. Error: (01/21/2016 07:53:56 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {6295DF2D-35EE-11D1-8707-00C04FD93327} Error: (01/21/2016 06:21:14 PM) (Source: Dhcp) (EventID: 1002) (User: ) Description: Die IP-Adresslease 10.7.13.16 für die Netzwerkkarte mit der Netzwerkadresse 00FF78A7976B wurde durch den DHCP-Server 10.7.21.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error: (01/21/2016 06:19:32 PM) (Source: Ntfs) (EventID: 137) (User: ) Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten. CodeIntegrity: =================================== Date: 2016-01-29 23:03:17.891 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-29 23:03:17.730 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-29 23:03:17.577 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-29 23:03:17.448 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-21 18:16:25.290 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-21 18:16:25.165 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-21 18:16:24.978 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-21 18:16:24.822 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-16 21:07:18.076 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2016-01-16 21:07:17.936 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. ==================== Memory info =========================== Processor: Genuine Intel(R) CPU T2250 @ 1.73GHz Prozentuale Nutzung des RAM: 51% Installierter physikalischer RAM: 1533.71 MB Verfügbarer physikalischer RAM: 747.83 MB Summe virtueller Speicher: 3321.24 MB Verfügbarer virtueller Speicher: 2133.7 MB ==================== Laufwerke ================================ Drive c: () (Fixed) (Total:110.38 GB) (Free:86.62 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)] Drive e: (SONY_16W) (Removable) (Total:14.45 GB) (Free:1.16 GB) FAT32 Drive f: (RÜCKEN) (Removable) (Total:3.74 GB) (Free:0.59 GB) FAT32 ==================== MBR & Partitionstabelle ================== ======================================================== Disk: 0 (Size: 110.4 GB) (Disk ID: 0008A0FE) Partition 1: (Active) - (Size=110.4 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 14.5 GB) (Disk ID: E793A4F6) Partition 1: (Not Active) - (Size=14.5 GB) - (Type=0C) ======================================================== Disk: 2 (Size: 3.8 GB) (Disk ID: 0016DFD5) Partition 1: (Active) - (Size=3.7 GB) - (Type=0B) ==================== Ende vom Addition.txt ============================ wenn etwas ist, ich helfe !!! jetzt schreibe ich vom infizierten Rechner aus. Habe mir alles gesichert was mir wichtig ist und bin bereit zu reinigen. hier auch noch die GMER log Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net Rootkit quick scan 2016-01-30 19:31:15 Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD1200BEVS-75LAT0 rev.02.06M02 110,39GB Running: yevjru7e.exe; Driver: C:\Users\ich\AppData\Local\Temp\uwldrpow.sys ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- Devices - GMER 2.1 ---- Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 83CD81F8 Device \Driver\atapi \Device\Ide\IdePort0 83CD81F8 Device \Driver\atapi \Device\Ide\IdePort1 83CD81F8 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 83CD81F8 Device \FileSystem\Ntfs \Ntfs 83CD91F8 Device \FileSystem\fastfat \Fat 91C97440 AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys ---- EOF - GMER 2.1 ---- mache mir sorgen... Geändert von Springfield6 (30.01.2016 um 12:51 Uhr) |
01.02.2016, 01:01 | #2 |
| Wird mein PC Ferngesteuert? Ihr seid ne tolle Hilfe. Danke! Das wars mit euch...nichtmal ne kurze Antwort
__________________ |
01.02.2016, 09:29 | #3 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Wird mein PC Ferngesteuert?Zitat:
Und mal beachtet wann du gepostet hast? Ist es normal für dich, dass die Helfer an einem Sonntag für dich alles stehen und liegen lassen, nur damit du kostenlos Support bekommst Denk mal in Ruhe drüber nach und reflektiere. Wenn du zu ungeduldig bist und nicht 1-2 Tage warten kannst und dann hier empört eine völlig unberechtigte Beschwerde lostrittst, dann solltest du besser in eine PC-Werkstatt und Kohle auf den Tisch packen.
__________________ |
Themen zu Wird mein PC Ferngesteuert? |
benachrichtigungen, dnsapi.dll, ferngesteuert |