Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.02.2016, 22:53   #1
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo,

da ihr dieses Thema schon öfters bearbeitet habt, könnt ihr mir sicher schnell helfen.

Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:07-02-2016
durchgeführt von Sombo (Administrator) auf SOMBO-PC (08-02-2016 21:56:53)
Gestartet von C:\Users\Sombo\Desktop
Geladene Profile: Sombo (Verfügbare Profile: Sombo)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 9 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgcsrvx.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgidsagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avgsvcx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgwdsvcx.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgui.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Piriform Ltd) C:\Program Files\CCleaner\CCleaner.exe
(Microsoft Corporation) C:\Windows\System32\taskmgr.exe
(Microsoft Corporation) C:\Windows\System32\perfmon.exe
(PortableApps.com) C:\Portable\FirefoxPortableGer\FirefoxPortable.exe
(Mozilla Corporation) C:\Portable\FirefoxPortableGer\App\Firefox\firefox.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [AVG_UI] => C:\Program Files\AVG\Av\avgui.exe [3874216 2016-01-08] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] => C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe [707472 2013-12-12] (Cisco Systems, Inc.)
HKLM\...\Run: [AvgUi] => C:\Program Files\AVG\Framework\Common\avguirnx.exe [179624 2016-01-12] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [596528 2015-12-22] (Oracle Corporation)
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6453528 2015-07-17] (Piriform Ltd)
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\hpoddt01.exe.lnk [2014-06-15]
ShortcutTarget: hpoddt01.exe.lnk -> C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{DF8D9AF0-93A9-4F36-B86C-7B56BD5B50EA}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{E8D756EB-BCCC-4540-BEFE-8C059239876D}: [DhcpNameServer] 192.168.0.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll [2015-12-15] (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_71\bin\ssv.dll [2016-01-21] (Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-01-20] (Microsoft Corporation)
BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_71\bin\jp2ssv.dll [2016-01-21] (Oracle Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2015-02-03] (Microsoft Corporation)

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-02-07] ()
FF Plugin: @java.com/DTPlugin,version=11.71.2 -> C:\Program Files\Java\jre1.8.0_71\bin\dtplugin\npDeployJava1.dll [2016-01-21] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.71.2 -> C:\Program Files\Java\jre1.8.0_71\bin\plugin2\npjp2.dll [2016-01-21] (Oracle Corporation)
FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-11-03] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2015-03-05] (Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-12-18] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 AvgAMPS; C:\Program Files\AVG\Av\avgamps.exe [627544 2016-01-08] (AVG Technologies CZ, s.r.o.)
R2 AVGIDSAgent; C:\Program Files\AVG\Av\avgidsagent.exe [3906568 2016-01-08] (AVG Technologies CZ, s.r.o.)
R2 avgsvc; C:\Program Files\AVG\Framework\Common\avgsvcx.exe [865704 2016-01-12] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Program Files\AVG\Av\avgwdsvcx.exe [583936 2016-01-08] (AVG Technologies CZ, s.r.o.)
R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1887928 2015-12-22] (Microsoft Corporation)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [560528 2013-12-12] (Cisco Systems, Inc.)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [92528 2013-12-12] (Cisco Systems, Inc.)
R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [149936 2015-11-06] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [257456 2015-12-04] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [231344 2015-08-20] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [31664 2015-11-20] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [229296 2015-10-21] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [308656 2015-08-14] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [194992 2015-12-04] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [37296 2015-12-04] (AVG Technologies CZ, s.r.o.)
S3 vpnva; C:\Windows\System32\DRIVERS\vpnva-6.sys [43376 2013-12-12] (Cisco Systems, Inc.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-08 21:58 - 2016-02-08 21:58 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\vlc
2016-02-08 21:56 - 2016-02-08 21:58 - 00008883 _____ C:\Users\Sombo\Desktop\FRST.txt
2016-02-08 21:56 - 2016-02-08 21:56 - 00000000 ___DC C:\FRST
2016-02-08 21:55 - 2016-02-08 21:55 - 01721344 _____ (Farbar) C:\Users\Sombo\Desktop\FRST.exe
2016-02-08 21:45 - 2016-02-08 21:46 - 17201542 _____ C:\Users\Sombo\Downloads\[FA].Ranma.TV.5.06.[x264].zip.part
2016-02-08 21:45 - 2016-02-08 21:46 - 13461190 _____ C:\Users\Sombo\Downloads\[FA].Ranma.TV.5.04.[x264].zip.part
2016-02-08 21:40 - 2016-02-08 21:46 - 90972050 _____ C:\Users\Sombo\Downloads\[FA].Ranma.TV.5.08.[x264].zip.part
2016-02-08 21:34 - 2016-02-08 21:45 - 147363265 _____ C:\Users\Sombo\Downloads\[FA].Ranma.TV.6.03.[x264].zip
2016-02-08 20:44 - 2016-02-08 21:45 - 00000000 ____D C:\Users\Sombo\Downloads\[Pure-Anime biz]D-Frag! 06 Ger Sub
2016-02-08 20:02 - 2016-02-08 20:02 - 00000000 ____D C:\Users\Sombo\Downloads\D Gray Man 002
2016-02-08 17:49 - 2016-02-08 17:49 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Media Player Classic
2016-02-08 16:49 - 2016-02-08 16:50 - 00000000 ____D C:\Users\Sombo\Downloads\D Gray Man 030
2016-01-31 13:59 - 2016-01-31 13:59 - 00038857 _____ C:\Users\Sombo\Desktop\Speisenplan_Uniklinik_KW_06.pdf
2016-01-31 11:34 - 2016-01-31 11:34 - 00003405 _____ C:\Users\Sombo\Desktop\Giulia Enders - Darm mit Charme Verknüpfung.lnk
2016-01-27 18:13 - 2016-01-27 18:13 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\DVDVideoSoftIEHelpers
2016-01-21 16:37 - 2016-01-21 16:37 - 00000000 ____D C:\Program Files\Common Files\Java
2016-01-12 19:47 - 2016-01-12 19:47 - 00076680 _____ C:\Users\Sombo\Desktop\Studentische Hilfskraft_Papaya Tours_Individualabteilung.pdf

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-08 21:41 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-02-08 21:41 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-02-08 21:03 - 2015-06-01 12:04 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Mozilla
2016-02-08 21:03 - 2014-05-09 17:34 - 00000000 ____D C:\Users\Sombo\AppData\Local\Mozilla
2016-02-08 19:38 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-02-08 15:48 - 2014-04-12 13:40 - 00000000 ____D C:\ProgramData\MFAData
2016-02-07 13:23 - 2014-05-04 21:03 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-02-07 13:23 - 2014-05-04 21:03 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-02-07 00:29 - 2011-04-12 02:30 - 00698926 _____ C:\Windows\system32\perfh007.dat
2016-02-07 00:29 - 2011-04-12 02:30 - 00149034 _____ C:\Windows\system32\perfc007.dat
2016-02-07 00:29 - 2010-11-20 22:01 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2016-02-07 00:29 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\inf
2016-02-06 00:34 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\NDF
2016-01-22 19:52 - 2014-04-12 14:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
2016-01-21 16:39 - 2014-08-07 13:50 - 00000000 ____D C:\Program Files\Java
2016-01-21 16:38 - 2014-08-07 13:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-01-21 16:37 - 2015-08-27 18:29 - 00000000 ____D C:\Users\Sombo\.oracle_jre_usage
2016-01-21 16:35 - 2014-08-07 13:50 - 00095840 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2016-01-20 11:28 - 2015-03-05 20:47 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2016-01-20 11:18 - 2015-03-05 20:29 - 00000000 ____D C:\Program Files\Microsoft Office 15
2016-01-13 11:06 - 2015-05-16 16:52 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-01-12 18:37 - 2015-10-08 11:16 - 00000000 ____D C:\Users\Sombo\Documents\Anwältin Neumann
2016-01-12 17:32 - 2014-05-13 21:14 - 00000000 ____D C:\Users\Sombo\Documents\Kontoauszüge Postbank

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2014-06-15 10:36 - 2014-06-15 10:36 - 0000235 _____ () C:\Users\Sombo\AppData\Roaming\devices.xml
2014-06-15 10:36 - 2014-06-15 10:36 - 0000012 _____ () C:\Users\Sombo\AppData\Roaming\settings.xml
2015-11-24 13:59 - 2015-11-24 13:59 - 0007605 _____ () C:\Users\Sombo\AppData\Local\Resmon.ResmonCfg
2014-06-15 10:14 - 2014-06-15 10:29 - 0000197 _____ () C:\ProgramData\hpzinstall.log

Einige Dateien in TEMP:
====================
C:\Users\Sombo\AppData\Local\Temp\avguirn_081171189472.exe
C:\Users\Sombo\AppData\Local\Temp\avguirn_081937153706.exe
C:\Users\Sombo\AppData\Local\Temp\avguirn_08943537579.exe
C:\Users\Sombo\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\Sombo\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\Sombo\AppData\Local\Temp\jre-8u73-windows-au.exe
C:\Users\Sombo\AppData\Local\Temp\proxy_vole4098152637693099334.dll
C:\Users\Sombo\AppData\Local\Temp\proxy_vole6422213237966771009.dll
C:\Users\Sombo\AppData\Local\Temp\proxy_vole8352312000699813801.dll
C:\Users\Sombo\AppData\Local\Temp\proxy_vole8609889369187431083.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-24 14:55

==================== Ende vom FRST.txt ============================
         
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:07-02-2016
durchgeführt von Sombo (2016-02-08 22:01:02)
Gestartet von C:\Users\Sombo\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2014-04-11 09:06:37)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-490317004-3028109670-3464718783-500 - Administrator - Disabled)
Gast (S-1-5-21-490317004-3028109670-3464718783-501 - Limited - Disabled)
Sombo (S-1-5-21-490317004-3028109670-3464718783-1000 - Administrator - Enabled) => C:\Users\Sombo

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: AVG AntiVirus Free Edition (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG AntiVirus Free Edition (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

3skullsGold (HKLM\...\{8194E6BB-0BDA-485F-AD93-D0C35070417E}) (Version:  - )
Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.010.20056 - Adobe Systems Incorporated)
Adobe Flash Player 20 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 20.0.0.286 - Adobe Systems Incorporated)
AVG (Version: 16.31.7357 - AVG Technologies) Hidden
AVG 2016 (Version: 16.0.4522 - AVG Technologies) Hidden
AVG Protection (HKLM\...\AVG) (Version: 2016.31.7357 - AVG Technologies)
CCleaner (HKLM\...\CCleaner) (Version: 5.08 - Piriform)
Cisco AnyConnect Secure Mobility Client  (HKLM\...\Cisco AnyConnect Secure Mobility Client) (Version: 3.1.05152 - Cisco Systems, Inc.)
Cisco AnyConnect Secure Mobility Client (Version: 3.1.05152 - Cisco Systems, Inc.) Hidden
FMW 1 (Version: 1.52.1 - AVG Technologies) Hidden
Free YouTube to MP3 Converter version 3.12.59.415 (HKLM\...\Free YouTube to MP3 Converter_is1) (Version: 3.12.59.415 - DVDVideoSoft Ltd.)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Java 8 Update 71 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218071F0}) (Version: 8.0.710.15 - Oracle Corporation)
JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
Microsoft .NET Framework 4.5 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft .NET Framework 4.5 DEU Language Pack (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft Office 365 ProPlus - de-de (HKLM\...\O365ProPlusRetail - de-de) (Version: 15.0.4787.1002 - Microsoft Corporation)
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Ralink RT2860 Wireless LAN Card (HKLM\...\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}) (Version: 1.2.0.1 - Ralink)
Visual Studio 2012 x86 Redistributables (HKLM\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0CEF8B3A-B003-43A0-95CD-86B73D8FB543} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-07-17] (Piriform Ltd)
Task: {14D9794C-9607-4270-9422-6E4AC9513774} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-12-22] (Microsoft Corporation)
Task: {33EF347D-E579-4BFA-92D1-22503E1E5483} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {407EB7BF-8D37-49FF-B170-95BE726242EB} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {4C15A708-F6EF-4ECF-B646-26032D80D88E} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-12-22] (Microsoft Corporation)
Task: {7FD3ECC7-4B3C-40BE-BC84-DD0815BBD8C7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {FD0C0FC3-6776-4D45-AC78-C3563A8BC242} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\OLicenseHeartbeat.exe [2016-01-20] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-12-12 23:36 - 2013-12-12 23:36 - 00063376 _____ () C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll
2015-03-05 20:29 - 2015-10-13 02:43 - 00080040 _____ () C:\Program Files\Microsoft Office 15\ClientX86\ApiClient.dll
2015-07-17 18:34 - 2015-07-17 18:34 - 00057344 _____ () C:\Program Files\CCleaner\lang\lang-1031.dll
2016-02-08 21:02 - 2016-02-08 21:02 - 00029696 _____ () C:\Users\Sombo\AppData\Local\Temp\nso1786.tmp\registry.dll
2016-02-08 21:02 - 2016-02-08 21:02 - 00008704 _____ () C:\Users\Sombo\AppData\Local\Temp\nso1786.tmp\newadvsplash.dll
2016-02-08 21:02 - 2016-02-08 21:02 - 00011264 _____ () C:\Users\Sombo\AppData\Local\Temp\nso1786.tmp\System.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-490317004-3028109670-3464718783-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Sombo\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{71367E9C-41A1-4F57-B493-AC544BCAC1DD}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{5E47DD93-8143-4468-A35A-446AE73DFADE}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [TCP Query User{0741A169-A868-45EE-A390-EBE8481C9A0E}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [UDP Query User{DD8C0353-B9BB-4899-AF3A-CB05849D2F07}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [{D492334E-EE21-462B-BCE8-8686F027F47A}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{78DD987B-A241-4E81-8FAE-04F266C40E80}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [TCP Query User{265BDD0D-3564-48A4-8D63-1916020BBD73}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [UDP Query User{EFDC32F6-3ECD-4161-9ABE-ED0D0141C71B}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [{58804D0E-44AD-494C-B832-3D28161792E7}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\outlook.exe
FirewallRules: [TCP Query User{A605479D-24C1-4C60-9638-5F9A9150DA38}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [UDP Query User{7D2E72CF-0E0C-4803-A89E-9606CA52F253}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [{31F45619-4A39-48D9-8A8C-5ADBFBE5DEA3}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{5A8F080C-2871-48C3-9D70-92A70F9066B2}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{F35D115F-BA18-442A-80AE-9D61B71A4F0A}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{8A59994B-9B05-4411-A3DA-59B928E05F37}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{DEF3645F-827C-45FC-A54A-224EA2E9EC0B}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{02AD0D17-815E-41ED-B2D2-F9126BA4CA24}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{D3E34CA6-1A0F-4E53-A378-C2D3653B411D}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{DAF1163E-651F-47BE-AECD-732700F00160}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe
FirewallRules: [{F0964806-38A5-41DC-A6A7-D7D5EF17BFBA}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe

==================== Wiederherstellungspunkte =========================


==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (02/08/2016 09:48:01 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: FRST.exe, Version: 7.2.2016.0, Zeitstempel: 0x56b77303
Name des fehlerhaften Moduls: FRST.exe, Version: 7.2.2016.0, Zeitstempel: 0x56b77303
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00034fe9
ID des fehlerhaften Prozesses: 0xc30
Startzeit der fehlerhaften Anwendung: 0xFRST.exe0
Pfad der fehlerhaften Anwendung: FRST.exe1
Pfad des fehlerhaften Moduls: FRST.exe2
Berichtskennung: FRST.exe3

Error: (02/08/2016 09:47:15 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: FRST.exe, Version: 7.2.2016.0, Zeitstempel: 0x56b77303
Name des fehlerhaften Moduls: FRST.exe, Version: 7.2.2016.0, Zeitstempel: 0x56b77303
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00034fe9
ID des fehlerhaften Prozesses: 0x33c
Startzeit der fehlerhaften Anwendung: 0xFRST.exe0
Pfad der fehlerhaften Anwendung: FRST.exe1
Pfad des fehlerhaften Moduls: FRST.exe2
Berichtskennung: FRST.exe3

Error: (02/08/2016 07:39:39 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 03:43:29 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/07/2016 07:00:12 PM) (Source: Windows Backup) (EventID: 4103) (User: )
Description: Die Sicherung wurde aufgrund eines Fehlers beim Schreiben am Sicherungsspeicherort "D:\" nicht abgeschlossen. Fehler: "Der Sicherungsort wurde nicht gefunden oder ist ungültig. Überprüfen Sie die Sicherungseinstellungen und den Sicherungsort. (0x81000006)"

Error: (02/07/2016 01:18:22 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/06/2016 09:12:24 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm JDownloader2.exe, Version 2.0.0.1 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: fbc

Startzeit: 01d160cdbee73984

Endzeit: 0

Anwendungspfad: C:\Portable\JDownloader\JDownloader2.exe

Berichts-ID:

Error: (02/06/2016 11:51:52 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/05/2016 02:41:50 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/04/2016 01:02:10 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (02/08/2016 07:43:51 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Windows Update" wurde nicht richtig gestartet.

Error: (02/08/2016 07:38:50 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/08/2016 03:47:58 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Windows Update" wurde nicht richtig gestartet.

Error: (02/08/2016 03:42:44 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/07/2016 04:45:39 PM) (Source: volsnap) (EventID: 36) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (02/07/2016 01:17:37 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/07/2016 09:25:49 AM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Wlansvc erreicht.

Error: (02/02/2016 12:31:47 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {1A1F4206-0688-4E7F-BE03-D82EC69DF9A5}

Error: (01/31/2016 12:20:02 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (01/31/2016 10:10:37 AM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst ShellHWDetection erreicht.


==================== Memory info =========================== 

Processor: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Prozentuale Nutzung des RAM: 87%
Installierter physikalischer RAM: 1013.31 MB
Verfügbarer physikalischer RAM: 124.33 MB
Summe virtueller Speicher: 2037.31 MB
Verfügbarer virtueller Speicher: 490.63 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:148.95 GB) (Free:53 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149.1 GB) (Disk ID: EDAAEDAA)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================
         
Unter windows ist bei mir kein Ordner oder Datei die Viren heißt, habe also keine Berichte von meinem Virenprogramm gefunden, aber da stände sowieso nur drin "Keine Bedrohung gefunden". Hatte noch nie was und das Problem hat schon mindestens zwei Virentests mitgemacht.

Allgemein :
Ich habe immer wieder das Problem, dass zeitweise das Bild von Streams ruckelt, also für 10sec stehen bleibt und so und das ist bei Untertiteln natürlich saublöd! Das Gleiche habe ich wenn ich die Videos runterlade (nix illegales) und mit VLC anschaue. Dann pixelt es furchtbar in sehr großen Kacheln und meistens grün. Mit mcclassic wird das Problem sogar noch größer.
Auch sonst ist mein PC zeitweise total lahm und ich weiß nicht wieso, auch das Internet kackt total ab, der Anbieter meint es liegt am Router, weil bei Ihnen alles toll aussieht und ich soll einen neuen für 50€ kaufen. Aber alle diese Probleme sind zeitweise (mehrere Stunden am Tag) und ich habe noch nie verifizieren können dass das an irgendwas liegt was mein Computer von alleine macht, ansonsten läuft er geschmeidig und für meine Zwecke ausreichend.
Dazu muss man wissen, er ist schweinealt und dass Windows 7 überhaupt läuft ein Wunder.
Als ich das erste Mal CCleaner drüber laufen ließ war es ein Traum, danach war mein Physikalischer Speicher mittig und die CPU lief super. Sonst sind beide schonmal ziemlich weit oben, die CPU öfters 100%. Hat danach nie wieder so gut funktioniert.
Ich löse das Ganze meistens dadurch, dass ich alle Prozesse schließe die nicht nötig sind um das Video oder Firefox laufen zu lassen (ca. 8Prozesse bleiben übrig).


Heute wunderte ich mich, dass trotzdem die CPU auf 70% läuft, obwohl im Task-Manager im Reiter Prozesse nur insg. 25% angezeigt werden. Unten stand dann was von 45 Prozesse laufen und ich dachte: WO???? Also mal auf den Ressourcenmonitor geklickt und gleich der erste Eintrag ist "svchost.exe (netsvcs)" "Hostprozess für Windowsdienste" "PID 1284" mit 50% CPU Auslastung!!!! Und das läuft jetzt schon seit Stunden. Kein Wunder dass es da ruckelt, 75% CPU Auslastung und dann noch n Video obendrauf ... Aber was soll das mit dem svchost.exe (netsvcs)? Das ist doch nicht normal, oder doch?

Suchmaschine zeigte direkt dass viele das Problem haben, die meisten Einträge bei Euch, aber Lösungen waren so speziell dass ich lieber nix unternommen habe, bevor nicht einer von Euch mal über meine Situation geguckt hat. Habe auch gelesen, dass svchost.exe sonst im Task-Manager angezeigt wird bei Prozesse, das ist bei mir nicht der Fall.

Sollte es einfach an svchost.exe (netsvcs) liegen dass nicht genügend CPU vorhanden ist um Streams/Videos zu gucken wäre natürlich super endlich was gefunden zu haben.
Ich hatte noch nie einen Virus oder Trojaner. Da das aber so zeitweise auftritt und dann alles so langsam ist, dass ich einschlafe nebenbei hab ich manchmal das Gefühl jemand benutzt meinen Computer mit oder so, vielleicht ist es ja einfach dieses svchost.exe (netsvcs)


Im Logfile von FRST steht mein Standart Browser wäre IE, das stimmt nicht, ich benutze nur Firefox und habe IE geblockt.

Danke schonmal im Vorraus!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Ich hoffe ich habe alles richtig gepostet und so, ist mein erster Threat bei euch, bin fertig

Alt 09.02.2016, 10:33   #2
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor






Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
  • Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!



Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:
So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!




Eines vorneweg:
Ich sehe bisher keine Schadsoftware auf deinem Rechner. Dein Problem liegt daher wohl eher beim Router oder dem alten Rechner.
Dass die Systemdatei svchost.exe hohe Auslastungen erzeugt, ist nicht zwingend ungewöhnlich.

Sollen wir hier nach Malware suchen (ich glaube kaum, dass wir fündig werden)?
__________________


Alt 09.02.2016, 17:47   #3
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo Matthias,

ich hab auch nicht das Gefühl, dass es Malware ist, aber man weiß ja nie. Und da ihr das Problem mit svchost dings schon so oft bearbeitet habt, dachte ich ihr könnt mir am ehesten helfen.

Was mich stutzig macht ist eben dass es zeitlich die Hälfte völlig normal läuft und dann plötzlich geht fast nix mehr, für Stunden, ohne ewig lange Ladezeiten (auch bei allen sonstigen Anwendungen) und Standbilder bei Videos.

Was macht der svchost dings denn mit der ganzen CPU? Das ist doch voll ..., wenn das läuft, dann kann ich praktisch nix anderes mehr machen. Kann man dagegen nix tun? Und wieso sehe ich das nicht im Task Manager den Prozess?

Danke für deine Hilfe!

Edit: Kann ich den Prozess einfach schließen oder muss der zwingend laufen?
__________________

Alt 10.02.2016, 10:22   #4
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Zitat:
Zitat von Annys Beitrag anzeigen
Edit: Kann ich den Prozess einfach schließen oder muss der zwingend laufen?
Für gewöhnlich laufen mehrere Instanzen von svchost.exe für diverse Systemabläufe.

Wenn du einfach mal so einen Prozess beendest, kann es sein, dass du nicht mehr ins Internet kommst, keine Programme mehr öffnen kannst oder gar nichts mehr geht.


Wir schauen mal nach, ob wir Malware finden.




Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Alt 13.02.2016, 22:14   #5
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!


Alt 13.02.2016, 23:03   #6
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo,

ich war wohl eine Stunde zu spät und schon raus ausm Abo ... habe den Test grad laufen lassen, nix gefunden, Cleanup war nicht nötig

Code:
ATTFilter
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.09.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x86

Account is Administrative

Internet Explorer version: 9.0.8112.16421

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 1.600000 GHz
Memory total: 1062531072, free: 132063232

Downloaded database version: v2016.02.13.04
Downloaded database version: v2016.02.08.01
Downloaded database version: v2016.02.12.01
Initializing...
======================
Driver version: 0.3.0.4
------------ Kernel report ------------
     02/13/2016 22:11:14
------------ Loaded modules -----------
\SystemRoot\system32\ntkrnlpa.exe
\SystemRoot\system32\halmacpi.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\ACPI.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\vdrvroot.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\DRIVERS\compbatt.sys
\SystemRoot\system32\DRIVERS\BATTC.SYS
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\drivers\intelide.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\drivers\vmstorfl.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\DRIVERS\avgunivx.sys
\SystemRoot\system32\DRIVERS\avgrkx86.sys
\SystemRoot\system32\DRIVERS\avglogx.sys
\SystemRoot\system32\DRIVERS\avgmfx86.sys
\SystemRoot\system32\DRIVERS\avgidshx.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\system32\drivers\rdprefmp.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\vwififlt.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\drivers\discache.sys
\SystemRoot\system32\drivers\csc.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\blbdrive.sys
\SystemRoot\system32\DRIVERS\avgldx86.sys
\SystemRoot\system32\DRIVERS\avgidsshimx.sys
\SystemRoot\system32\DRIVERS\avgidsdriverx.sys
\SystemRoot\system32\DRIVERS\avgdiskx.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\igdkmd32.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\dxgmms1.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\Rt86win7.sys
\SystemRoot\system32\DRIVERS\netr28.sys
\SystemRoot\system32\DRIVERS\vwifibus.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\CmBatt.sys
\SystemRoot\system32\DRIVERS\wmiacpi.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\CompositeBus.sys
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\DRIVERS\rdpbus.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\HdAudio.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\drivers\usbaudio.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_dumpata.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\WudfPf.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\vwifimp.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\Drivers\secdrv.SYS
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\WUDFRd.sys
\SystemRoot\system32\DRIVERS\asyncmac.sys
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\mouhid.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\??\C:\Windows\system32\drivers\MBAMSwissArmy.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2016.02.13.04
  rootkit: v2016.02.08.01

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff844ff030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff844fe230, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffffff844ff030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff8441a030, DeviceName: \Device\Ide\IdeDeviceP0T0L0-0\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: EDAAEDAA

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 204800
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 206848  Numsec = 312371200
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 160041885696 bytes
Sector size: 512 bytes

Done!
Physical Sector Size: 0
Drive: 1, DevicePointer: 0xffffffff847e94d8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8478ed10, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffffff847e94d8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff847c1ca8, DeviceName: \Device\0000006f\, DriverName: \Driver\USBSTOR\
------------ End ----------
File "c:\programdata\avg\av\chjw\3850a85750a81e1e.dat:972ad273-b2e6-466a-b704-f76edecc0f7b" is sparse (flags = 32768)
File "c:\programdata\avg\av\chjw\ba2cafb82caf6dd7.dat:12eba967-5f97-4840-b8b1-753a0d018d1c" is sparse (flags = 32768)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.1" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.10" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.2" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.3" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.4" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.5" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.6" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.7" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.8" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup.log.9" is compressed (flags = 1)
File "C:\Windows\System32\config\systemprofile\AppData\Local\AvgSetupLog\setup_worker.log.1" is compressed (flags = 1)
Scan finished
         

Dann ist das Thema erledigt? Brauche wohl doch einfach nur einen neuen Laptop

Thanx

Alt 14.02.2016, 20:17   #7
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Servus,



wir sind noch nicht fertig.



Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.


Alt 16.02.2016, 20:17   #8
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Hiiiilfeeee



Hallo Matthias,

jetzt geht gar nix mehr und bevor ich irgendetwas mache schreibe ich dir lieber mal.

Hab Combofix laufen lassen heute nachmittag und hab nebenher was anderes gemacht, also auch woanders, nicht am Computer.
Als ich das nächste Mal rüberguckte war das Notebook im Ruhezustand, er zeigt das durch Blinken an. Hab wieder angemacht und da war immer noch das blaue Fenster von combofix, das Desktopbild war noch da, aber alle Symbole und die Taskleiste waren weg, es war nur noch eine Minileiste vom Firefox offen, den hatte ich auch offen gelassen um deine Anweisungen lesen zu können, aber Internet ausgemacht. Combofix war stehengeblieben bei "Fertiggestellt Stufe 48", auch nach warten tat sich nix. Also klickte ich auf Enter um dem Programm anzuzeigen es könne weiter machen und bewegte auch die Maus und machte das Fenster groß und klein. Daraufhin lief er weiter bis "Fertiggestellt Stufe 50", wieder ewig nix, also wieder Enter geklickt mehrere Male, auch Doppelklicks. Dann kam "Lösche Dateien" als Überschrift, was ich da gesehen habe waren wenn ichs richtig sah nur Temporäre Dateien an verschiedenen Orten.

Als ich das nächste Mal guckte hatte er sich runtergefahren und wieder hochgefahren und ich gab mein Passwort ein. Daraufhin schwarzer Bildschirm und das blaue Fenster von Combofix. Dieses Fenster ist jetzt nicht mehr wegzubekommen und es tut sich rein nichts. In der Leiste oben, steht "Administrator Combofix" und dort wo er aufzeigt was er tut steht "Bitte warten" in der nächsten Zeile "_" das blinkt. Aber es passiert auch nach Stunden nichts (obwohl da was von 10Minuten und wenns viel gäbe auch das doppelte stand), außer dass das Notebook wieder in den Ruhezustand geht.
Ich habs schon mit Enter versucht, mit Maus bewegen, mit Fenster klein und groß machen (das geht auch, das x zum Fenster schließen ist auch da), habe die Pfeiltasten alle mal gedrückt, ich hab sogar auf Esc gedrückt, weil das bei den früheren Computern immer der Ausgang war und mit der Maus an alle möglichen Orte in dem Fenster geklickt. Nix passiert. ... ich würde ja gerne ....

Wie gesagt, ich frag erstmal nach, bevor ich was mache, bin jetzt im Rechenzentrum in der Uni, das ist zum Glück nicht weit weg. Gehe morgen mittag/nachmittag wieder hin um deine Antwort zu lesen. Hoffentlich kannst du mir helfen ...

LG

Alt 17.02.2016, 16:09   #9
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Servus,



1.
Du hättest dich nicht enfernen sollen, während ComboFix läuft. Mit dem Ruhemodus, etc. gibt es nur Probleme.

2. Einfach den Rechner neu starten und berichten, ob wieder alles funktioniert.

Alt 17.02.2016, 19:18   #10
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo und yuchuuu,

es funktioniert wieder Danke für deine schnelle Antwort!
Bis jetzt hab ich nur festgestellt dass meine tabs im Browser alle weg sind, aber naja, schlimm ist was anderes.
Dass ich dabei bleibe und gucken soll hab ich nicht gewußt, sorry. Aber der Ruhemodus hätte sich ja so oder so angeschaltet, weil ich ja nix bewegen oder klicken sollte.

Code:
ATTFilter
ComboFix 16-02-15.01 - Sombo 16.02.2016  15:17:16.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.1013.216 [GMT 1:00]
ausgeführt von:: C:\Users\Sombo\Desktop\ComboFix.exe
AV: AVG AntiVirus Free Edition *Disabled/Updated* {4D41356F-32AD-7C42-C820-63775EE4F413}
SP: AVG AntiVirus Free Edition *Disabled/Updated* {F620D48B-1497-73CC-F290-58052563BEAE}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
         


Das kommt mir etwas wenig vor. An Textdateien gibt es noch OsId.txt, pend.txt und Resident.txt, falls ich die falsche Datei gesendet habe, aber diese heißt Combofix.txt.

Und was soll ich jetzt tun? Stehe schon in den Startlöchern ... Ansonsten bekommt das netbook halt und ich kauf nen neuen.

Alt 17.02.2016, 22:02   #11
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Servus,



Schritt 1
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).






Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.







Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.







Schritt 4
  • Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.






Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die Logdatei von JRT,
  • die beiden neuen Logdateien von FRST.

Alt 19.02.2016, 17:48   #12
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo,

leider hab ich mich gefragt wie ich die ganzen Programme wieder deinstallieren soll und beim ADWCleaner gabs so einen tollen Deinstallieren Button und den hab ich natürlich betätigt und jetzt finde ich die txt Datei dazu nicht mehr.... tja, nichts gefunden zwar, aber den Rest poste ich mal hier. Sag mir Bescheid wenn ich das wiederholen soll, ich komm mir so blöd vor, dass ich das direkt deinstalliert hab bevor ich das jetzt poste ...
Habe unter C:/Qoobox noch was gefunden, aber ich denke das ist eines der Programme, da es einen Quarantäne Bereich hat. Allerdinsg ist der Name irritierend.

Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 19.02.2016
Suchlaufzeit: 16:44
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.09.22.05
Rootkit-Datenbank: v2015.09.18.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: Sombo

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 300159
Abgelaufene Zeit: 17 Min., 38 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.3 (02.09.2016)
Operating System: Windows 7 Professional x86 
Ran by Sombo (Administrator) on 19.02.2016 at 17:15:05,87
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 17 

Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5ZMOJK3M (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EFQREYMI (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FDHAJ4WF (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FQ1SGBDW (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RPBQTRU0 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SHI60TET (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WVDT4P4Z (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Sombo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y6Q1CMTL (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\prefetch\FREEYOUTUBETOMP3CONVERTER.EXE-7449451B.pf (File) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5ZMOJK3M (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EFQREYMI (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FDHAJ4WF (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FQ1SGBDW (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RPBQTRU0 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SHI60TET (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WVDT4P4Z (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y6Q1CMTL (Temporary Internet Files Folder) 



Registry: 1 

Successfully deleted: HKLM\Software\Microsoft\Internet Explorer\Search\\SearchAssistant (Registry Value) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19.02.2016 at 17:18:24,18
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:17-02-2016
durchgeführt von Sombo (Administrator) auf SOMBO-PC (19-02-2016 17:28:14)
Gestartet von C:\Users\Sombo\Desktop
Geladene Profile: Sombo (Verfügbare Profile: Sombo)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 9 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avgsvcx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgwdsvcx.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [AVG_UI] => C:\Program Files\AVG\Av\avgui.exe [3873704 2016-02-01] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] => C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe [707472 2013-12-12] (Cisco Systems, Inc.)
HKLM\...\Run: [AvgUi] => C:\Program Files\AVG\Framework\Common\avguirnx.exe [179624 2016-01-12] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [594992 2016-01-29] (Oracle Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{DF8D9AF0-93A9-4F36-B86C-7B56BD5B50EA}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{E8D756EB-BCCC-4540-BEFE-8C059239876D}: [DhcpNameServer] 192.168.0.1

Internet Explorer:
==================
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll [2015-12-15] (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_73\bin\ssv.dll [2016-02-12] (Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-01-20] (Microsoft Corporation)
BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-01-20] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_73\bin\jp2ssv.dll [2016-02-12] (Oracle Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2015-02-03] (Microsoft Corporation)

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-02-07] ()
FF Plugin: @java.com/DTPlugin,version=11.73.2 -> C:\Program Files\Java\jre1.8.0_73\bin\dtplugin\npDeployJava1.dll [2016-02-12] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.73.2 -> C:\Program Files\Java\jre1.8.0_73\bin\plugin2\npjp2.dll [2016-02-12] (Oracle Corporation)
FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-11-03] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2015-03-05] (Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-12-18] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 AvgAMPS; C:\Program Files\AVG\Av\avgamps.exe [604144 2016-02-01] (AVG Technologies CZ, s.r.o.)
S2 AVGIDSAgent; C:\Program Files\AVG\Av\avgidsagent.exe [3881184 2016-02-01] (AVG Technologies CZ, s.r.o.)
R2 avgsvc; C:\Program Files\AVG\Framework\Common\avgsvcx.exe [865704 2016-01-12] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Program Files\AVG\Av\avgwdsvcx.exe [561104 2016-02-01] (AVG Technologies CZ, s.r.o.)
R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1887928 2015-12-22] (Microsoft Corporation)
S2 MBAMService; C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [1135416 2015-10-05] (Malwarebytes)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [560528 2013-12-12] (Cisco Systems, Inc.)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [92528 2013-12-12] (Cisco Systems, Inc.)
R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [149936 2015-11-06] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [257456 2016-01-05] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [207792 2016-01-08] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [31664 2015-11-20] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [229296 2015-10-21] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [308656 2015-08-14] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [198576 2016-01-22] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [37296 2015-12-04] (AVG Technologies CZ, s.r.o.)
R0 Avgunivx; C:\Windows\System32\DRIVERS\avgunivx.sys [23472 2016-01-08] (AVG Technologies CZ, s.r.o.)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2015-10-05] (Malwarebytes)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2015-10-05] (Malwarebytes Corporation)
S3 vpnva; C:\Windows\System32\DRIVERS\vpnva-6.sys [43376 2013-12-12] (Cisco Systems, Inc.)
S3 catchme; \??\C:\Users\Sombo\AppData\Local\Temp\catchme.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-19 17:27 - 2016-02-19 17:27 - 00000000 ____D C:\Users\Sombo\Desktop\FRST-OlderVersion
2016-02-19 17:18 - 2016-02-19 17:18 - 00003379 _____ C:\Users\Sombo\Desktop\JRT.txt
2016-02-19 17:13 - 2016-02-19 17:13 - 01609216 _____ (Malwarebytes) C:\Users\Sombo\Desktop\JRT.exe
2016-02-19 17:09 - 2016-02-19 17:09 - 00001210 _____ C:\Users\Sombo\Desktop\mbam.txt
2016-02-19 16:42 - 2016-02-19 16:42 - 00001060 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2016-02-19 16:41 - 2016-02-19 16:42 - 00000000 ____D C:\Program Files\ Malwarebytes Anti-Malware 
2016-02-19 16:41 - 2015-10-05 09:50 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-02-19 16:41 - 2015-10-05 09:50 - 00023256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-02-18 16:15 - 2016-02-18 17:02 - 00000000 ____D C:\Users\Sombo\Downloads\[Pure-Anime biz] Majimoji Rurumo 03 Ger Sub
2016-02-18 15:10 - 2016-02-18 15:11 - 00000000 ____D C:\Users\Sombo\Downloads\[Pure-Ani me]Yamada-kun to 7-nin no Majo 02v2 Ger Sub
2016-02-16 15:12 - 2016-02-16 16:53 - 00000000 __SDC C:\ComboFix
2016-02-16 15:12 - 2016-02-16 15:12 - 00000000 ___DC C:\Qoobox
2016-02-16 15:12 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2016-02-16 15:12 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2016-02-16 15:12 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2016-02-16 15:11 - 2016-02-16 16:50 - 00000000 ____D C:\Windows\erdnt
2016-02-16 14:51 - 2016-02-16 14:51 - 05657023 ____R (Swearware) C:\Users\Sombo\Desktop\ComboFix.exe
2016-02-15 15:16 - 2016-02-15 17:22 - 00000986 _____ C:\Users\Sombo\Desktop\Lippenbalsam.txt
2016-02-15 02:00 - 2016-02-15 02:00 - 00049366 _____ C:\Users\Sombo\Desktop\Speisenplan_Uniklinik_KW_07.pdf
2016-02-15 02:00 - 2016-02-15 02:00 - 00040811 _____ C:\Users\Sombo\Desktop\Speisenplan_Uniklinik_KW_08.pdf
2016-02-14 23:27 - 2016-02-18 21:02 - 00000000 ____D C:\Users\Sombo\Downloads\Mushishi S2 - 13 Ger Sub
2016-02-14 16:38 - 2016-02-14 16:39 - 00000518 _____ C:\Users\Sombo\Desktop\Haarroutine.txt
2016-02-13 22:12 - 2016-02-19 16:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-02-13 22:11 - 2016-02-19 16:43 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-02-13 22:11 - 2016-02-13 23:52 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2016-02-13 22:09 - 2015-10-05 09:50 - 00094936 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-02-13 22:08 - 2016-02-13 23:52 - 00000000 ____D C:\Users\Sombo\Desktop\mbar
2016-02-13 21:43 - 2016-02-19 17:27 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Mozilla
2016-02-12 01:02 - 2016-02-12 01:02 - 00000000 ____D C:\Program Files\Common Files\Java
2016-02-11 22:43 - 2016-02-11 22:44 - 16563352 _____ (Malwarebytes Corp.) C:\Users\Sombo\Desktop\mbar-1.09.3.1001.exe
2016-02-08 22:01 - 2016-02-08 22:06 - 00018421 _____ C:\Users\Sombo\Desktop\Addition.txt
2016-02-08 21:56 - 2016-02-19 17:28 - 00008745 _____ C:\Users\Sombo\Desktop\FRST.txt
2016-02-08 21:56 - 2016-02-19 17:28 - 00000000 ___DC C:\FRST
2016-02-08 21:55 - 2016-02-19 17:27 - 01722368 ____C (Farbar) C:\Users\Sombo\Desktop\FRST.exe
2016-02-08 17:49 - 2016-02-08 17:49 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Media Player Classic
2016-01-31 11:34 - 2016-01-31 11:34 - 00003405 _____ C:\Users\Sombo\Desktop\Giulia Enders - Darm mit Charme Verknüpfung.lnk
2016-01-22 15:13 - 2016-01-22 15:13 - 00198576 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgmfx86.sys

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-19 17:27 - 2014-05-09 17:34 - 00000000 ____D C:\Users\Sombo\AppData\Local\Mozilla
2016-02-19 16:27 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-02-19 16:27 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-02-19 16:18 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-02-19 16:02 - 2014-04-12 13:40 - 00000000 ____D C:\ProgramData\MFAData
2016-02-18 21:31 - 2015-11-24 13:59 - 00007624 _____ C:\Users\Sombo\AppData\Local\Resmon.ResmonCfg
2016-02-18 18:08 - 2009-07-14 05:53 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-02-17 20:45 - 2015-05-16 16:52 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-02-15 23:18 - 2011-04-12 02:30 - 00698926 _____ C:\Windows\system32\perfh007.dat
2016-02-15 23:18 - 2011-04-12 02:30 - 00149034 _____ C:\Windows\system32\perfc007.dat
2016-02-15 23:18 - 2010-11-20 22:01 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2016-02-15 23:18 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\inf
2016-02-12 01:03 - 2014-08-07 13:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-02-12 01:03 - 2014-08-07 13:50 - 00000000 ____D C:\Program Files\Java
2016-02-12 01:01 - 2015-08-27 18:29 - 00000000 ____D C:\Users\Sombo\.oracle_jre_usage
2016-02-12 00:59 - 2014-08-07 13:50 - 00095840 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2016-02-11 17:09 - 2014-05-13 21:14 - 00000000 ____D C:\Users\Sombo\Documents\Kontoauszüge Postbank
2016-02-11 01:13 - 2014-04-12 14:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
2016-02-07 13:23 - 2014-05-04 21:03 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-02-07 13:23 - 2014-05-04 21:03 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-02-06 00:34 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\NDF
2016-01-20 11:28 - 2015-03-05 20:47 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2016-01-20 11:18 - 2015-03-05 20:29 - 00000000 ____D C:\Program Files\Microsoft Office 15

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2014-06-15 10:36 - 2014-06-15 10:36 - 0000235 _____ () C:\Users\Sombo\AppData\Roaming\devices.xml
2014-06-15 10:36 - 2014-06-15 10:36 - 0000012 _____ () C:\Users\Sombo\AppData\Roaming\settings.xml
2015-11-24 13:59 - 2016-02-18 21:31 - 0007624 _____ () C:\Users\Sombo\AppData\Local\Resmon.ResmonCfg
2014-06-15 10:14 - 2014-06-15 10:29 - 0000197 _____ () C:\ProgramData\hpzinstall.log

Einige Dateien in TEMP:
====================
C:\Users\Sombo\AppData\Local\Temp\proxy_vole5113307249168404176.dll
C:\Users\Sombo\AppData\Local\Temp\proxy_vole9061857024207564945.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-24 14:55

==================== Ende vom FRST.txt ============================
         
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:17-02-2016
durchgeführt von Sombo (2016-02-19 17:29:55)
Gestartet von C:\Users\Sombo\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2014-04-11 09:06:37)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-490317004-3028109670-3464718783-500 - Administrator - Disabled)
Gast (S-1-5-21-490317004-3028109670-3464718783-501 - Limited - Disabled)
Sombo (S-1-5-21-490317004-3028109670-3464718783-1000 - Administrator - Enabled) => C:\Users\Sombo

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: AVG AntiVirus Free Edition (Disabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG AntiVirus Free Edition (Disabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

3skullsGold (HKLM\...\{8194E6BB-0BDA-485F-AD93-D0C35070417E}) (Version:  - )
Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.010.20059 - Adobe Systems Incorporated)
Adobe Flash Player 20 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 20.0.0.286 - Adobe Systems Incorporated)
AVG (Version: 16.41.7442 - AVG Technologies) Hidden
AVG 2016 (Version: 16.0.4533 - AVG Technologies) Hidden
AVG Protection (HKLM\...\AVG) (Version: 2016.41.7442 - AVG Technologies)
CCleaner (HKLM\...\CCleaner) (Version: 5.08 - Piriform)
Cisco AnyConnect Secure Mobility Client  (HKLM\...\Cisco AnyConnect Secure Mobility Client) (Version: 3.1.05152 - Cisco Systems, Inc.)
Cisco AnyConnect Secure Mobility Client (Version: 3.1.05152 - Cisco Systems, Inc.) Hidden
FMW 1 (Version: 1.52.1 - AVG Technologies) Hidden
Free YouTube to MP3 Converter version 3.12.59.415 (HKLM\...\Free YouTube to MP3 Converter_is1) (Version: 3.12.59.415 - DVDVideoSoft Ltd.)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Java 8 Update 73 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218073F0}) (Version: 8.0.730.2 - Oracle Corporation)
JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
Malwarebytes Anti-Malware Version 2.2.0.1024 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.0.1024 - Malwarebytes)
Microsoft .NET Framework 4.5 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft .NET Framework 4.5 DEU Language Pack (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft Office 365 ProPlus - de-de (HKLM\...\O365ProPlusRetail - de-de) (Version: 15.0.4787.1002 - Microsoft Corporation)
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4787.1002 - Microsoft Corporation) Hidden
Ralink RT2860 Wireless LAN Card (HKLM\...\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}) (Version: 1.2.0.1 - Ralink)
Visual Studio 2012 x86 Redistributables (HKLM\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0CEF8B3A-B003-43A0-95CD-86B73D8FB543} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-07-17] (Piriform Ltd)
Task: {14D9794C-9607-4270-9422-6E4AC9513774} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-12-22] (Microsoft Corporation)
Task: {33EF347D-E579-4BFA-92D1-22503E1E5483} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {407EB7BF-8D37-49FF-B170-95BE726242EB} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {4C15A708-F6EF-4ECF-B646-26032D80D88E} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-12-22] (Microsoft Corporation)
Task: {7FD3ECC7-4B3C-40BE-BC84-DD0815BBD8C7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {FD0C0FC3-6776-4D45-AC78-C3563A8BC242} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\OLicenseHeartbeat.exe [2016-01-20] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-12-12 23:36 - 2013-12-12 23:36 - 00063376 _____ () C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll
2015-03-05 20:29 - 2015-10-13 02:43 - 00080040 _____ () C:\Program Files\Microsoft Office 15\ClientX86\ApiClient.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:04 - 2016-02-16 16:50 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-490317004-3028109670-3464718783-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Sombo\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{71367E9C-41A1-4F57-B493-AC544BCAC1DD}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{5E47DD93-8143-4468-A35A-446AE73DFADE}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [TCP Query User{0741A169-A868-45EE-A390-EBE8481C9A0E}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [UDP Query User{DD8C0353-B9BB-4899-AF3A-CB05849D2F07}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [{D492334E-EE21-462B-BCE8-8686F027F47A}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{78DD987B-A241-4E81-8FAE-04F266C40E80}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [TCP Query User{265BDD0D-3564-48A4-8D63-1916020BBD73}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [UDP Query User{EFDC32F6-3ECD-4161-9ABE-ED0D0141C71B}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [{58804D0E-44AD-494C-B832-3D28161792E7}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\outlook.exe
FirewallRules: [TCP Query User{A605479D-24C1-4C60-9638-5F9A9150DA38}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [UDP Query User{7D2E72CF-0E0C-4803-A89E-9606CA52F253}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [{31F45619-4A39-48D9-8A8C-5ADBFBE5DEA3}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{5A8F080C-2871-48C3-9D70-92A70F9066B2}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{F35D115F-BA18-442A-80AE-9D61B71A4F0A}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{8A59994B-9B05-4411-A3DA-59B928E05F37}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{DEF3645F-827C-45FC-A54A-224EA2E9EC0B}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{02AD0D17-815E-41ED-B2D2-F9126BA4CA24}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{D3E34CA6-1A0F-4E53-A378-C2D3653B411D}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{DAF1163E-651F-47BE-AECD-732700F00160}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe
FirewallRules: [{F0964806-38A5-41DC-A6A7-D7D5EF17BFBA}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe

==================== Wiederherstellungspunkte =========================

16-02-2016 15:12:40 ComboFix created restore point
19-02-2016 17:15:09 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (02/19/2016 04:20:01 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/19/2016 03:57:16 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/18/2016 06:13:45 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/18/2016 04:30:40 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm JDownloader2.exe, Version 2.0.0.1 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: f44

Startzeit: 01d16a50973c0405

Endzeit: 0

Anwendungspfad: C:\Portable\JDownloader\JDownloader2.exe

Berichts-ID:

Error: (02/18/2016 04:28:15 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/18/2016 02:19:08 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/17/2016 08:44:07 PM) (Source: MsiInstaller) (EventID: 1024) (User: Sombo-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F0A4E5B00}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (02/17/2016 08:35:08 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/17/2016 08:23:36 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/17/2016 06:01:48 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (02/19/2016 04:19:09 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/19/2016 04:15:26 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows Search" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, ist fehlgeschlagen. Fehler: 
%%1056

Error: (02/19/2016 04:14:58 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/19/2016 04:14:56 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Search" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/19/2016 04:14:54 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Microsoft Office-Klick-und-Los-Dienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/19/2016 04:14:52 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "AVG Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/19/2016 04:14:51 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (02/19/2016 04:14:51 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/19/2016 03:56:26 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/18/2016 06:13:37 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, ist fehlgeschlagen. Fehler: 
%%1056


==================== Memory info =========================== 

Processor: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Prozentuale Nutzung des RAM: 57%
Installierter physikalischer RAM: 1013.31 MB
Verfügbarer physikalischer RAM: 431.07 MB
Summe virtueller Speicher: 2037.31 MB
Verfügbarer virtueller Speicher: 1212.04 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:148.95 GB) (Free:45.59 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149.1 GB) (Disk ID: EDAAEDAA)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================
         

Alt 19.02.2016, 18:13   #13
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Servus,


wir entfernen die letzten Reste und kontrollieren nochmal alles.



Hinweis: Der Suchlauf mit ESET kann länger dauern.



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Code:
ATTFilter
start
CloseProcesses:
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.







Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.
  • Starte die HitmanPro.exe
  • Klicke auf
  • Entferne den Haken bei
  • Klicke auf
    und
  • Akzeptiere die Lizenzbedingungen und klicke auf
  • Klicke auf

    und auf
  • Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
    und speichere die Logdatei auf Deinem Desktop.
  • Schließe HitmanPro und poste mir das Log.

 







Schritt 3

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset







Schritt 4
  • Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von HitmanPro,
  • die Logdatei von ESET,
  • die beiden neuen Logdateien von FRST,
  • die Beantwortung der gestellten Fragen.

Alt 23.02.2016, 06:52   #14
M-K-D-B
/// TB-Ausbilder
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Alt 28.02.2016, 18:12   #15
Annys
 
Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Standard

Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor



Hallo,
ich hoffe das ist das richtige Fixlog.txt:

Code:
ATTFilter
Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:17-02-2016
durchgeführt von Sombo (2016-02-23 17:00:28) Run:1
Gestartet von C:\Users\Sombo\Desktop
Geladene Profile: Sombo (Verfügbare Profile: Sombo)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
         
*****************

Prozess erfolgreich geschlossen.
"HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Schlüssel erfolgreich entfernt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => Wert erfolgreich wiederhergestellt

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wert erfolgreich entfernt
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wert erfolgreich entfernt
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========  ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl�sungscache wurde geleert.

========= Ende von CMD: =========


=========  netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlie�en.


========= Ende von CMD: =========

EmptyTemp: => 19.3 MB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende vom Fixlog 17:01:18 ====
         
Von Hitman konnte ich keine Txt Datei finden, trotz mehrfachem Klicken glaube ich auch nicht dass er eine gespeichert hat, weil sich kein speichern unter Fenster öffnete

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=1caf28e49d084041a612d215a288495e
# end=init
# utc_time=2016-02-28 01:52:04
# local_time=2016-02-28 02:52:04 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 28341
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=1caf28e49d084041a612d215a288495e
# end=updated
# utc_time=2016-02-28 02:02:22
# local_time=2016-02-28 03:02:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=1caf28e49d084041a612d215a288495e
# engine=28341
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-02-28 04:03:03
# local_time=2016-02-28 05:03:03 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 59360012 208306574 0 0
# scanned=146219
# found=1
# cleaned=0
# scan_time=7239
sh=6DF695F364CF5FCDB9C4626D6CD9E9526AA87315 ft=1 fh=80891607c44a62cf vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Sombo\Documents\Downloads\FreeYouTubeToMp3Converter31.exe"
         
Esset hat eine Datei gefunden, aber so lange habe ich das Programm noch gar nicht installiert wie das Problem auftritt

Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:17-02-2016
durchgeführt von Sombo (Administrator) auf SOMBO-PC (28-02-2016 17:13:53)
Gestartet von C:\Users\Sombo\Desktop
Geladene Profile: Sombo (Verfügbare Profile: Sombo)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 9 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgcsrvx.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgidsagent.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avgsvcx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgwdsvcx.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgui.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avguix.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(PortableApps.com) C:\Portable\FirefoxPortableGer\FirefoxPortable.exe
(Mozilla Corporation) C:\Portable\FirefoxPortableGer\App\Firefox\firefox.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [AVG_UI] => C:\Program Files\AVG\Av\avgui.exe [3873704 2016-02-01] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] => C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe [707472 2013-12-12] (Cisco Systems, Inc.)
HKLM\...\Run: [AvgUi] => C:\Program Files\AVG\Framework\Common\avguirnx.exe [179624 2016-02-18] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [594992 2016-01-29] (Oracle Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-02-23] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-02-23] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-02-23] (Microsoft Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{DF8D9AF0-93A9-4F36-B86C-7B56BD5B50EA}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{E8D756EB-BCCC-4540-BEFE-8C059239876D}: [DhcpNameServer] 192.168.0.1

Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-490317004-3028109670-3464718783-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll [2016-02-23] (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_73\bin\ssv.dll [2016-02-12] (Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-02-23] (Microsoft Corporation)
BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL [2016-02-23] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_73\bin\jp2ssv.dll [2016-02-12] (Oracle Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2015-02-03] (Microsoft Corporation)

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_20_0_0_306.dll [2016-02-25] ()
FF Plugin: @java.com/DTPlugin,version=11.73.2 -> C:\Program Files\Java\jre1.8.0_73\bin\dtplugin\npDeployJava1.dll [2016-02-12] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.73.2 -> C:\Program Files\Java\jre1.8.0_73\bin\plugin2\npjp2.dll [2016-02-12] (Oracle Corporation)
FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-11-03] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2015-03-05] (Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-12-18] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 AvgAMPS; C:\Program Files\AVG\Av\avgamps.exe [604144 2016-02-01] (AVG Technologies CZ, s.r.o.)
R2 AVGIDSAgent; C:\Program Files\AVG\Av\avgidsagent.exe [3881184 2016-02-01] (AVG Technologies CZ, s.r.o.)
R2 avgsvc; C:\Program Files\AVG\Framework\Common\avgsvcx.exe [865704 2016-02-18] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Program Files\AVG\Av\avgwdsvcx.exe [561104 2016-02-01] (AVG Technologies CZ, s.r.o.)
R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1904368 2016-01-20] (Microsoft Corporation)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [560528 2013-12-12] (Cisco Systems, Inc.)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [92528 2013-12-12] (Cisco Systems, Inc.)
R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [149936 2015-11-06] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [257456 2016-01-05] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [207792 2016-01-08] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [31664 2015-11-20] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [229296 2015-10-21] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [308656 2015-08-14] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [198576 2016-01-22] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [37296 2015-12-04] (AVG Technologies CZ, s.r.o.)
R0 Avgunivx; C:\Windows\System32\DRIVERS\avgunivx.sys [23472 2016-01-08] (AVG Technologies CZ, s.r.o.)
R3 eapihdrv; C:\Users\Sombo\AppData\Local\Temp\ehdrv.sys [135760 2016-02-28] (ESET)
S3 vpnva; C:\Windows\System32\DRIVERS\vpnva-6.sys [43376 2013-12-12] (Cisco Systems, Inc.)
S3 catchme; \??\C:\Users\Sombo\AppData\Local\Temp\catchme.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-23 17:31 - 2016-02-23 17:43 - 00000000 ____D C:\ProgramData\HitmanPro
2016-02-23 17:00 - 2016-02-23 17:01 - 00002131 _____ C:\Users\Sombo\Desktop\Fixlog.txt
2016-02-23 15:28 - 2016-02-23 15:28 - 10459376 _____ (SurfRight B.V.) C:\Users\Sombo\Desktop\HitmanPro.exe
2016-02-19 17:27 - 2016-02-19 17:27 - 00000000 ____D C:\Users\Sombo\Desktop\FRST-OlderVersion
2016-02-19 17:18 - 2016-02-19 17:18 - 00003379 _____ C:\Users\Sombo\Desktop\JRT.txt
2016-02-19 17:13 - 2016-02-19 17:13 - 01609216 _____ (Malwarebytes) C:\Users\Sombo\Desktop\JRT.exe
2016-02-19 17:09 - 2016-02-19 17:09 - 00001210 _____ C:\Users\Sombo\Desktop\mbam.txt
2016-02-16 15:12 - 2016-02-16 16:53 - 00000000 __SDC C:\ComboFix
2016-02-16 15:12 - 2016-02-16 15:12 - 00000000 ___DC C:\Qoobox
2016-02-16 15:12 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2016-02-16 15:12 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2016-02-16 15:12 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2016-02-16 15:12 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2016-02-16 15:11 - 2016-02-16 16:50 - 00000000 ____D C:\Windows\erdnt
2016-02-16 14:51 - 2016-02-16 14:51 - 05657023 ____R (Swearware) C:\Users\Sombo\Desktop\ComboFix.exe
2016-02-15 15:16 - 2016-02-15 17:22 - 00000986 _____ C:\Users\Sombo\Desktop\Lippenbalsam.txt
2016-02-14 23:27 - 2016-02-27 23:27 - 00000000 ____D C:\Users\Sombo\Downloads\Mushishi S2 - 13 Ger Sub
2016-02-14 16:38 - 2016-02-23 23:08 - 00000950 _____ C:\Users\Sombo\Desktop\Haarroutine.txt
2016-02-13 22:12 - 2016-02-19 16:41 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-02-13 22:11 - 2016-02-13 23:52 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2016-02-13 22:08 - 2016-02-13 23:52 - 00000000 ____D C:\Users\Sombo\Desktop\mbar
2016-02-13 21:43 - 2016-02-28 17:14 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Mozilla
2016-02-12 01:02 - 2016-02-12 01:02 - 00000000 ____D C:\Program Files\Common Files\Java
2016-02-11 22:43 - 2016-02-11 22:44 - 16563352 _____ (Malwarebytes Corp.) C:\Users\Sombo\Desktop\mbar-1.09.3.1001.exe
2016-02-08 22:01 - 2016-02-19 17:49 - 00019009 _____ C:\Users\Sombo\Desktop\Addition.txt
2016-02-08 21:56 - 2016-02-28 17:14 - 00009070 _____ C:\Users\Sombo\Desktop\FRST.txt
2016-02-08 21:56 - 2016-02-28 17:13 - 00000000 ___DC C:\FRST
2016-02-08 21:55 - 2016-02-19 17:27 - 01722368 ____C (Farbar) C:\Users\Sombo\Desktop\FRST.exe
2016-02-08 17:49 - 2016-02-08 17:49 - 00000000 ____D C:\Users\Sombo\AppData\Roaming\Media Player Classic
2016-01-31 11:34 - 2016-01-31 11:34 - 00003405 _____ C:\Users\Sombo\Desktop\Giulia Enders - Darm mit Charme Verknüpfung.lnk

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-28 17:14 - 2014-05-09 17:34 - 00000000 ____D C:\Users\Sombo\AppData\Local\Mozilla
2016-02-28 13:44 - 2014-04-12 13:40 - 00000000 ____D C:\ProgramData\MFAData
2016-02-28 09:32 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-02-28 09:32 - 2009-07-14 05:34 - 00021680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-02-28 09:24 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-02-26 23:19 - 2011-04-12 02:30 - 00698926 _____ C:\Windows\system32\perfh007.dat
2016-02-26 23:19 - 2011-04-12 02:30 - 00149034 _____ C:\Windows\system32\perfc007.dat
2016-02-26 23:19 - 2010-11-20 22:01 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2016-02-26 23:19 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\inf
2016-02-25 17:49 - 2014-08-26 08:57 - 00000000 ____D C:\Users\Sombo\AppData\Local\Adobe
2016-02-25 17:44 - 2014-05-04 21:03 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-02-25 17:44 - 2014-05-04 21:03 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-02-25 00:12 - 2015-11-24 13:59 - 00007624 _____ C:\Users\Sombo\AppData\Local\Resmon.ResmonCfg
2016-02-24 22:04 - 2009-07-14 05:53 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-02-23 19:30 - 2015-03-05 20:47 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2016-02-23 19:24 - 2015-03-05 20:29 - 00000000 ____D C:\Program Files\Microsoft Office 15
2016-02-23 17:01 - 2014-08-28 13:51 - 00000000 ____D C:\Users\Sombo\AppData\LocalLow\Temp
2016-02-17 20:45 - 2015-05-16 16:52 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-02-12 01:03 - 2014-08-07 13:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-02-12 01:03 - 2014-08-07 13:50 - 00000000 ____D C:\Program Files\Java
2016-02-12 01:01 - 2015-08-27 18:29 - 00000000 ____D C:\Users\Sombo\.oracle_jre_usage
2016-02-12 00:59 - 2014-08-07 13:50 - 00095840 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2016-02-11 17:09 - 2014-05-13 21:14 - 00000000 ____D C:\Users\Sombo\Documents\Kontoauszüge Postbank
2016-02-11 01:13 - 2014-04-12 14:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
2016-02-06 00:34 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\NDF

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2014-06-15 10:36 - 2014-06-15 10:36 - 0000235 _____ () C:\Users\Sombo\AppData\Roaming\devices.xml
2014-06-15 10:36 - 2014-06-15 10:36 - 0000012 _____ () C:\Users\Sombo\AppData\Roaming\settings.xml
2015-11-24 13:59 - 2016-02-25 00:12 - 0007624 _____ () C:\Users\Sombo\AppData\Local\Resmon.ResmonCfg
2014-06-15 10:14 - 2014-06-15 10:29 - 0000197 _____ () C:\ProgramData\hpzinstall.log

Einige Dateien in TEMP:
====================
C:\Users\Sombo\AppData\Local\Temp\avguirn_08198151317.exe
C:\Users\Sombo\AppData\Local\Temp\proxy_vole2657589998226112728.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-24 14:55

==================== Ende vom FRST.txt ============================
         
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:17-02-2016
durchgeführt von Sombo (2016-02-28 17:15:19)
Gestartet von C:\Users\Sombo\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2014-04-11 09:06:37)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-490317004-3028109670-3464718783-500 - Administrator - Disabled)
Gast (S-1-5-21-490317004-3028109670-3464718783-501 - Limited - Disabled)
Sombo (S-1-5-21-490317004-3028109670-3464718783-1000 - Administrator - Enabled) => C:\Users\Sombo

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: AVG AntiVirus Free Edition (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG AntiVirus Free Edition (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

3skullsGold (HKLM\...\{8194E6BB-0BDA-485F-AD93-D0C35070417E}) (Version:  - )
Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.010.20059 - Adobe Systems Incorporated)
Adobe Flash Player 20 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 20.0.0.306 - Adobe Systems Incorporated)
AVG (Version: 16.41.7442 - AVG Technologies) Hidden
AVG 2016 (Version: 16.0.4537 - AVG Technologies) Hidden
AVG Protection (HKLM\...\AVG) (Version: 2016.41.7442 - AVG Technologies)
CCleaner (HKLM\...\CCleaner) (Version: 5.08 - Piriform)
Cisco AnyConnect Secure Mobility Client  (HKLM\...\Cisco AnyConnect Secure Mobility Client) (Version: 3.1.05152 - Cisco Systems, Inc.)
Cisco AnyConnect Secure Mobility Client (Version: 3.1.05152 - Cisco Systems, Inc.) Hidden
FMW 1 (Version: 1.62.2 - AVG Technologies) Hidden
Free YouTube to MP3 Converter version 3.12.59.415 (HKLM\...\Free YouTube to MP3 Converter_is1) (Version: 3.12.59.415 - DVDVideoSoft Ltd.)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Java 8 Update 73 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218073F0}) (Version: 8.0.730.2 - Oracle Corporation)
JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
Microsoft .NET Framework 4.5 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft .NET Framework 4.5 DEU Language Pack (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft Office 365 ProPlus - de-de (HKLM\...\O365ProPlusRetail - de-de) (Version: 15.0.4797.1003 - Microsoft Corporation)
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4797.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4797.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4797.1003 - Microsoft Corporation) Hidden
Ralink RT2860 Wireless LAN Card (HKLM\...\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}) (Version: 1.2.0.1 - Ralink)
Visual Studio 2012 x86 Redistributables (HKLM\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0CEF8B3A-B003-43A0-95CD-86B73D8FB543} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-07-17] (Piriform Ltd)
Task: {10DCA97E-BE81-429B-8AAC-630D89C1E9AF} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2016-01-12] (Microsoft Corporation)
Task: {5C0F353D-7810-4A58-9B30-42E5247463E0} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {7FD3ECC7-4B3C-40BE-BC84-DD0815BBD8C7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {A14B1299-9059-4641-B040-6ECE427E2408} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office 15\root\Office15\msoia.exe [2015-10-28] (Microsoft Corporation)
Task: {C57BCDA8-4FB1-4574-A351-9536A17F14E7} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2016-01-12] (Microsoft Corporation)
Task: {FD0C0FC3-6776-4D45-AC78-C3563A8BC242} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\OLicenseHeartbeat.exe [2016-02-23] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-12-12 23:36 - 2013-12-12 23:36 - 00063376 _____ () C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll
2015-03-05 20:29 - 2015-10-13 02:43 - 00080040 _____ () C:\Program Files\Microsoft Office 15\ClientX86\ApiClient.dll
2015-10-21 10:01 - 2015-10-21 09:58 - 40500224 _____ () C:\Program Files\AVG\UiDll\2171\libcef.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:04 - 2016-02-16 16:50 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-490317004-3028109670-3464718783-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Sombo\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{71367E9C-41A1-4F57-B493-AC544BCAC1DD}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{5E47DD93-8143-4468-A35A-446AE73DFADE}] => (Allow) C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [TCP Query User{0741A169-A868-45EE-A390-EBE8481C9A0E}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [UDP Query User{DD8C0353-B9BB-4899-AF3A-CB05849D2F07}C:\program files\java\jre8\bin\javaw.exe] => (Allow) C:\program files\java\jre8\bin\javaw.exe
FirewallRules: [{D492334E-EE21-462B-BCE8-8686F027F47A}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{78DD987B-A241-4E81-8FAE-04F266C40E80}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [TCP Query User{265BDD0D-3564-48A4-8D63-1916020BBD73}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [UDP Query User{EFDC32F6-3ECD-4161-9ABE-ED0D0141C71B}C:\portable\firefoxportableger\app\firefox\firefox.exe] => (Block) C:\portable\firefoxportableger\app\firefox\firefox.exe
FirewallRules: [{58804D0E-44AD-494C-B832-3D28161792E7}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\outlook.exe
FirewallRules: [TCP Query User{A605479D-24C1-4C60-9638-5F9A9150DA38}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [UDP Query User{7D2E72CF-0E0C-4803-A89E-9606CA52F253}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_51\bin\javaw.exe
FirewallRules: [{31F45619-4A39-48D9-8A8C-5ADBFBE5DEA3}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{5A8F080C-2871-48C3-9D70-92A70F9066B2}] => (Allow) C:\Program Files\AVG\Av\avgmfapx.exe
FirewallRules: [{F35D115F-BA18-442A-80AE-9D61B71A4F0A}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{8A59994B-9B05-4411-A3DA-59B928E05F37}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{DEF3645F-827C-45FC-A54A-224EA2E9EC0B}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\Lync.exe
FirewallRules: [{02AD0D17-815E-41ED-B2D2-F9126BA4CA24}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{D3E34CA6-1A0F-4E53-A378-C2D3653B411D}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\UcMapi.exe
FirewallRules: [{DAF1163E-651F-47BE-AECD-732700F00160}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe
FirewallRules: [{F0964806-38A5-41DC-A6A7-D7D5EF17BFBA}] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe

==================== Wiederherstellungspunkte =========================

16-02-2016 15:12:40 ComboFix created restore point
19-02-2016 17:15:09 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (02/28/2016 09:25:44 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/27/2016 03:16:17 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/26/2016 02:18:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/26/2016 01:53:37 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1511) (User: Sombo-PC)
Description: Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.

Error: (02/26/2016 01:53:37 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1515) (User: Sombo-PC)
Description: Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.

Error: (02/26/2016 01:53:37 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1502) (User: Sombo-PC)
Description: Das lokal gespeicherte Profil kann nicht geladen werden. Mögliche Fehlerursachen sind nicht ausreichende Sicherheitsrechte oder ein beschädigtes lokales Profil. 

 Details - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Error: (02/26/2016 01:53:37 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: NT-AUTORITÄT)
Description: Die Registrierung konnte nicht geladen werden. Dieses Problem wird oft durch zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht. 

 Details - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
 for C:\Users\Sombo\ntuser.dat

Error: (02/26/2016 01:37:21 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/25/2016 11:37:06 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/24/2016 10:10:04 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (02/28/2016 01:39:22 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst ClickToRunSvc erreicht.

Error: (02/28/2016 09:24:46 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/27/2016 03:15:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/26/2016 02:17:24 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/26/2016 01:36:49 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/25/2016 04:39:40 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst ShellHWDetection erreicht.

Error: (02/25/2016 11:36:22 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (02/24/2016 10:09:55 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, ist fehlgeschlagen. Fehler: 
%%1056

Error: (02/24/2016 10:09:54 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Multimediaklassenplaner" Korrekturmaßnahmen (Neustart des Diensts) durchzuführen, ist fehlgeschlagen. Fehler: 
%%1056

Error: (02/24/2016 10:04:54 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Windows Update" wurde unerwartet beendet. Dies ist bereits 2 Mal passiert.


==================== Memory info =========================== 

Processor: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Prozentuale Nutzung des RAM: 65%
Installierter physikalischer RAM: 1013.31 MB
Verfügbarer physikalischer RAM: 346.73 MB
Summe virtueller Speicher: 2037.31 MB
Verfügbarer virtueller Speicher: 1117.79 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:148.95 GB) (Free:37.17 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149.1 GB) (Disk ID: EDAAEDAA)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================
         

Ob noch Probleme auftauchen schau ich gleich mal ...

Noch eine Frage: Wie deinstalliere ich Combofix, Hitman, FRST, MBAR und JRT? Die sind ja nicht unter Programme.

Übrigens ist was anders am Netbook seit Combofix. Weiß grad nicht mehr was genau, fällt mir bis zur nächsten Antwort wegen Probleme ja/nein vielleicht wieder ein. Poste das nur schonmal, wo es grad schon so schön da ist

Antwort

Themen zu Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor
antivirus, auslastung, avg, computer, converter, cpu, defender, dnsapi.dll, flash player, helper, langsam, logfile, monitor, mozilla, mp3, office 365, pixel, proxy, prozesse, registry, ressourcenmonitor, scan, services.exe, software, svchost.exe, udp, viren, windows




Ähnliche Themen: Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor


  1. Windows 7: svchost netsvcs verursacht hohe CPU auslastung
    Log-Analyse und Auswertung - 10.09.2015 (21)
  2. svchost.exe (netsvcs) verursacht hohe CPU-Auslastung (windows 7)
    Plagegeister aller Art und deren Bekämpfung - 02.09.2015 (21)
  3. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  4. c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.03.2015 (11)
  5. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  6. Windows XP | svchost.exe -k netsvcs auf 100% CPU
    Plagegeister aller Art und deren Bekämpfung - 02.03.2014 (1)
  7. Windows XP - Die Ausnahme "Unbekannter Softwarefehler" von Avira-Scan, Windowas Firewall geht und svchost.exe verursacht hohe CPU Auslastung
    Log-Analyse und Auswertung - 20.12.2013 (9)
  8. Windows XP | svchost.exe -k netsvcs auf 100% CPU => Verhindert LAN und WLAN
    Log-Analyse und Auswertung - 19.11.2013 (23)
  9. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  10. Komische Zeichen tauchen von selbst als Verknüpfungen unter "Zuletzt Verwendet" auf
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (25)
  11. Windows Vista - "settings.ini wird von einem anderen Prozess verwendet"
    Alles rund um Windows - 31.08.2012 (9)
  12. Windows Vista - "settings.ini wird von einem anderen Prozess verwendet"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2012 (1)
  13. Virus "Daurso.A" in Datei "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (15)
  14. Fehlermeldung beim Start von Windows "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 04.02.2010 (1)
  15. FF-Fehler: "Diese Datei wird von einem anderen Programm verwendet" (Scans vorhanden)
    Plagegeister aller Art und deren Bekämpfung - 26.09.2009 (2)
  16. Firefox.exe "wird gerade verwendet" - HiJackThis Log-File und AntiVir Log-File
    Log-Analyse und Auswertung - 23.07.2009 (2)
  17. svchost.exe in "system32/windows update"
    Log-Analyse und Auswertung - 16.02.2009 (11)

Zum Thema Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor - Hallo, da ihr dieses Thema schon öfters bearbeitet habt, könnt ihr mir sicher schnell helfen. Code: Alles auswählen Aufklappen ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:07-02-2016 durchgeführt - Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor...
Archiv
Du betrachtest: Windows 7: "svchost.exe (netsvcs)" verwendet 50% CPU, nur sichtbar im Ressourcenmonitor auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.