| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Undelivererd Mails-Spam --- Account gehackt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.10.2016, 14:53
| #1 |
| |  Undelivererd Mails-Spam --- Account gehackt? Hallo zusammen. Meine Freundin bekommt seit ein paar Tagen laufend Nachrichten über nicht zustellbare Mails. Das sind überwiegend Empfänger, die sie nicht kennt und sicher nie eine Mail geschickt hat. Selbst meine Email-Adresse hab ich im Verteiler gefunden (korrekt geschrieben, sodass ich eigentlich einen Mail-Eingang hätte haben müssen) und kann sicher sagen, dass diese Email nie bei mir eingegangen ist (Sende-Datum geprüft). Es gibt hier bereits ein (ungelöstes) Thema, auf das mein Problem vielleicht ebenfalls zutrifft. Darauf kann ich aber nicht antworten. http://www.trojaner-board.de/180722-...-gekapert.html User deeprybka hat dort etwas angestossen, das ich gerne ausprobieren würde. Ich denke, ich benötige dringend fachkundige Hilfe und wäre dankbar für konkrete Anleitung wie in vorgenanntem Thread. Laptop: Betriebssystem Win 7 Security Software ist MS Security Esentials. Scan war ohne Ergebnis. Als erste Maßnahme wurde heute das Passwort geändert (nachdem der Spam sich dramatisch erhöht hat). Danke vorab + Grüße |
|
03.10.2016, 19:31
| #2 | |
| /// TB-Ausbilder /// Anleitungs-Guru  | Undelivererd Mails-Spam --- Account gehackt?Zitat:
  Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das... 
 Hinweis:Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean  bekommst.Los geht's: Schritt 1   Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Lesestoff Posten in CODE-Tags: So gehts... Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
|
03.10.2016, 21:44
| #3 |
| | Undelivererd Mails-Spam --- Account gehackt? FRST.txt
__________________Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 03-10-2016
durchgeführt von LAPTOP (Administrator) auf LAPTOP-PC (03-10-2016 22:32:51)
Gestartet von C:\Users\Laptop\Desktop
Geladene Profile: LAPTOP (Verfügbare Profile: LAPTOP)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(AMD) C:\Windows\System32\atiesrxx.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(AMD) C:\Windows\System32\atieclxx.exe
() C:\hegitwzvz\gqmkizwow.exe
() C:\hegitwzvz\qfghlfnz3jvi.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\dsiwmis.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
(Acer Incorporated) C:\Program Files (x86)\Acer\Registration\GREGsvc.exe
(NewTech Infosystems, Inc.) C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
() C:\Windows\xvuswyixdczp.exe
() C:\Windows\basgnyx.exe
(Reimage®) C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
() C:\Users\Bine\AppData\Local\RGMService\RGMUpdater.exe
(Reimage®) C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe
(Acer Group) C:\Program Files\Acer\Acer Updater\UpdaterService.exe
() C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
() C:\Users\Bine\AppData\Roaming\WHService\wh.exe
(Alcor Micro Corp.) C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LManager.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerEvent.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\MMDx64Fx.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LMworker.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
==================== Registry (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [AmIcoSinglun64] => C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [323584 2009-09-23] (Alcor Micro Corp.)
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9996320 2010-01-20] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1842472 2009-09-18] (Synaptics Incorporated)
HKLM\...\Run: [Acer ePower Management] => C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [861216 2010-04-23] (Acer Incorporated)
HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [0 2016-05-16] ()
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [102400 2010-04-26] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [LManager] => C:\Program Files (x86)\Launch Manager\LManager.exe [908368 2010-04-08] (Dritek System Inc.)
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2010-11-29] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2013-05-02] (Microsoft Corporation)
HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
AppInit_DLLs: C:\ProgramData\SecurityUtility\SecurityUtility64.dll => Keine Datei
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => Keine Datei
AppInit_DLLs-x32: C:\ProgramData\SecurityUtility\SecurityUtility32.dll => Keine Datei
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <======= ACHTUNG
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{E62528C1-8EFB-48A1-A8BC-21BC528DB216}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{FB5F3A0E-494A-4F02-AE5A-86FCABC9710D}: [DhcpNameServer] 192.168.178.1
Internet Explorer:
==================
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.facebook.com/?stype=lo&jlou=Afd82oZgmS5JpHSzhFhiCnsUNmz_gSLrSjkxuknsEFxRp1EKoYbw7KPj_R1EaWaggXX7XagRyb353d9g39oN2K49-w5WFZhn4ma1LFD3QrydAQ&smuh=4977&lh=Ac9g2AfEkF93grPU
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7551&r=27361110k816l0438z1l5t4741o182
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> DefaultScope {8F6719E0-79ED-49C2-A7D2-84F121FF2B6F} URL = hxxp://de.search.yahoo.com/search?fr=mcafee&type=A011DE0&p={SearchTerms}
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?pc=COSP&ptag=D072415-A6B219395BABB4E59ADF&form=CONBDF&conlogo=CT3332005&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_deDE404DE404
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {8F6719E0-79ED-49C2-A7D2-84F121FF2B6F} URL = hxxp://de.search.yahoo.com/search?fr=mcafee&type=A011DE0&p={SearchTerms}
BHO: Kein Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Keine Datei
BHO: Delta SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\Windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
BHO-x32: Kein Name -> {0025320D-4D37-4C73-9A5C-0C28F04068A3} -> C:\Users\Bine\AppData\LocalLow\IE-BHO\bho.dll [2014-12-06] ()
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => Keine Datei
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2012-09-23] (Adobe Systems Incorporated)
BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Keine Datei
BHO-x32: Kein Name -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> Keine Datei
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
BHO-x32: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22] (Microsoft Corporation)
Toolbar: HKLM - Delta Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
Toolbar: HKLM-x32 - Kein Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - Keine Datei
Toolbar: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
FireFox:
========
FF ProfilePath: C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default [2016-10-03]
FF NewTab: Mozilla\Firefox\Profiles\fk0dzijz.default -> hxxp://www.bing.com/?pc=COSP&ptag=D072415-A6B219395BABB4E59ADF&form=CONMHP&conlogo=CT3332005
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\fk0dzijz.default -> Sichere Suche
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\fk0dzijz.default -> Sichere Suche
FF Homepage: Mozilla\Firefox\Profiles\fk0dzijz.default -> google.de
FF Keyword.URL: Mozilla\Firefox\Profiles\fk0dzijz.default -> hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,hxxp://de.search.yahoo.com/search?fr=mcafee&type=A111DE0&p=
FF NetworkProxy: Mozilla\Firefox\Profiles\fk0dzijz.default -> type", 0
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\contact@youtube2mp3.to.xpi [2016-04-28] [ist nicht signiert]
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\jid0-SQnwtgW1b8BsMB5PLV5WScEDWOw@jetpack.xpi [2016-04-27] [ist nicht signiert]
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\nostmp [2012-03-05] [ist nicht signiert]
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\YoutubeDownloader@PeterOlayev.com.xpi [2016-08-24] [ist nicht signiert]
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2016-08-10] [ist nicht signiert]
FF Extension: (Kein Name) - C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-04-29] [ist nicht signiert]
FF HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nicht gefunden
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_162.dll [2016-09-13] ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40416.0\npctrl.dll [2015-04-16] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_162.dll [2016-09-13] ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll [2011-02-22] ()
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40416.0\npctrl.dll [2015-04-15] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8081.0709 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2009-07-10] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-31] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-31] (Google Inc.)
FF Plugin-x32: @videolan.org/vlc,version=2.0.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2012-10-15] (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2012-09-23] (Adobe Systems Inc.)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-common.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-sync.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-branding.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-l10n.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\webide-prefs.js [2016-02-01]
Chrome:
=======
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 Counter Config Information Play WebClient; C:\hegitwzvz\gqmkizwow.exe [218112 2016-05-16] () [Datei ist nicht signiert]
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [0 2016-05-16] () <==== ACHTUNG (Null Byte Datei/Ordner)
S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [0 2016-05-16] () <==== ACHTUNG (Null Byte Datei/Ordner)
R2 NTI IScheduleSvc; C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [250368 2010-03-09] (NewTech Infosystems, Inc.) [Datei ist nicht signiert]
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7953776 2016-09-01] (Reimage®)
R2 RGMUpdater; C:\Users\Bine\AppData\Local\RGMService\RGMUpdater.exe [28160 2014-10-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Bine\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S4 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [0 2016-05-07] () <==== ACHTUNG (Null Byte Datei/Ordner)
S4 wuauserv; C:\Windows\system32\wuaueng.dll [0 2016-05-07] () <==== ACHTUNG (Null Byte Datei/Ordner)
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S3 ebdrv; C:\Windows\system32\DRIVERS\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S3 cpuz134; \??\C:\Users\Bine\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S0 MpFilter; system32\DRIVERS\MpFilter.sys [X]
S2 NisDrv; system32\DRIVERS\NisDrvWFP.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-10-03 22:32 - 2016-10-03 22:33 - 00017954 _____ C:\Users\Bine\Desktop\FRST.txt
2016-10-03 22:32 - 2016-10-03 22:32 - 00000000 ____D C:\FRST
2016-10-03 22:31 - 2016-10-03 22:30 - 02404864 _____ (Farbar) C:\Users\Bine\Desktop\FRST64.exe
2016-10-03 22:30 - 2016-10-03 22:30 - 02404864 _____ (Farbar) C:\Users\Bine\Downloads\FRST64.exe
2016-09-27 09:30 - 2016-09-27 09:30 - 00239776 _____ C:\Users\Bine\Downloads\kohlhoff.pdf
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-10-03 22:24 - 2009-07-14 06:45 - 00025616 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-10-03 22:24 - 2009-07-14 06:45 - 00025616 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-10-03 22:20 - 2013-03-15 02:37 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-10-03 22:19 - 2016-05-16 07:36 - 00000000 ____D C:\Windows\hegitwzvz
2016-10-03 22:19 - 2016-02-01 20:53 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job
2016-10-03 22:19 - 2015-08-30 09:07 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-10-03 22:19 - 2014-12-16 16:26 - 00000000 ____D C:\Users\Bine\AppData\Local\RGMService
2016-10-03 22:19 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-10-03 21:04 - 2014-03-10 03:04 - 00000288 _____ C:\Windows\Tasks\SaveSense.job
2016-10-03 13:49 - 2015-08-30 09:07 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-09-28 12:58 - 2013-03-02 17:50 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2016-09-27 10:00 - 2016-05-07 17:32 - 00000000 ___HD C:\recyclebin
2016-09-13 23:20 - 2016-03-16 22:22 - 06502080 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2016-09-13 23:20 - 2013-03-15 02:37 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-09-13 23:20 - 2013-03-15 02:37 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-09-13 23:20 - 2013-03-15 02:37 - 00000000 ____D C:\Windows\system32\Macromed
2016-09-13 23:20 - 2011-12-26 00:12 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-09-13 23:20 - 2010-05-08 01:53 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2016-09-10 20:13 - 2009-07-14 07:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-09-04 15:30 - 2015-05-28 15:34 - 00000000 ____D C:\ProgramData\Reimage Protector
2016-09-04 15:29 - 2015-08-24 21:27 - 00000056 _____ C:\Windows\Reimage.ini
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2010-11-11 23:40 - 2010-11-11 23:40 - 0033134 _____ () C:\Users\Bine\AppData\Roaming\UserTile.png
2014-03-10 03:04 - 2014-09-21 19:04 - 0000146 _____ () C:\Users\Bine\AppData\Roaming\WB.CFG
2014-03-14 17:20 - 2014-03-30 18:46 - 0004096 ____H () C:\Users\Bine\AppData\Local\keyfile3.drm
2010-05-08 02:06 - 2010-01-27 16:40 - 0131472 _____ () C:\ProgramData\FullRemove.exe
Einige mit null Byte Größe Dateien/Ordner:
==========================
C:\Windows\System32\wuauclt.exe
C:\Windows\System32\wuaueng.dll
C:\Windows\System32\wups2.dll
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-09-25 17:18
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2016
durchgeführt von LAPTOP (03-10-2016 22:33:48)
Gestartet von C:\Users\Laptop\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2010-11-04 14:40:53)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-4174298957-1578369079-2285695161-500 - Administrator - Disabled)
Bine (S-1-5-21-4174298957-1578369079-2285695161-1000 - Administrator - Enabled) => C:\Users\Bine
Gast (S-1-5-21-4174298957-1578369079-2285695161-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-4174298957-1578369079-2285695161-1002 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Acer Backup Manager (HKLM-x32\...\InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.60 - NewTech Infosystems)
Acer Crystal Eye webcam (HKLM-x32\...\{51F026FA-5146-4232-A8BA-1364740BD053}) (Version: 1.0.3.5 - Liteon)
Acer ePower Management (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.00.3004 - Acer Incorporated)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3011 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3003 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0423.2010 - Acer Incorporated)
Acer Updater (HKLM-x32\...\{EE171732-BEB4-4576-887D-CB62727F01CA}) (Version: 1.02.3001 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated)
Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)
Adobe Reader XI - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{6030FCD7-8F1A-427D-AF05-8DD1A2EA2ABA}) (Version: 1.5.17.05094 - Alcor Micro Corp.)
Alcor Micro USB Card Reader (x32 Version: 1.5.17.05094 - Alcor Micro Corp.) Hidden
ATI Catalyst Install Manager (HKLM\...\{A0158415-15CA-B2A0-928D-E755DD506C0D}) (Version: 3.0.769.0 - ATI Technologies, Inc.)
Backup Manager Basic (x32 Version: 2.0.0.60 - NewTech Infosystems) Hidden
Broadcom Gigabit NetLink Controller (HKLM\...\{A84DB02B-9C2B-4272-9D2D-A80E00A56513}) (Version: 12.52.03 - Broadcom Corporation)
ccc-core-static (x32 Version: 2010.0426.2136.36953 - Ihr Firmenname) Hidden
FLV Player (HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\FLV Player) (Version: - )
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
Hydra 1.4 (HKLM-x32\...\Hydra_is1) (Version: - Synapse Audio Software)
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
iTunes (HKLM\...\{B24A47E5-F196-461E-A7A4-AADB72CB19DD}) (Version: 10.2.0.34 - Apple Inc.)
Junk Mail filter update (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 4.0.8 - Acer Inc.)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2010 (HKLM-x32\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{90110407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.8.204.0 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40416.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM-x32\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Mozilla Firefox 43.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.1 (x86 de)) (Version: 43.0.1 - Mozilla)
Mozilla Thunderbird 17.0.3 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 17.0.3 (x86 de)) (Version: 17.0.3 - Mozilla)
MyWinLocker (x32 Version: 3.1.206.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.206.0 - Egis Technology Inc.)
QuickTime (HKLM-x32\...\{57752979-A1C9-4C02-856B-FBB27AC4E02C}) (Version: 7.69.80.9 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6029 - Realtek Semiconductor Corp.)
Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee)
Shredder (Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Shredder (x32 Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 14.0.6.0 - Synaptics Incorporated)
VLC media player 2.0.4 (HKLM-x32\...\VLC media player) (Version: 2.0.4 - VideoLAN)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.01.3002 - Acer Incorporated)
Winamp (HKLM-x32\...\Winamp) (Version: 5.601 - Nullsoft, Inc)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{76618402-179D-4699-A66B-D351C59436BC}) (Version: 14.0.8089.726 - Microsoft Corporation)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {01F5E415-8A15-476A-B1B8-BE6DB0C42D25} - System32\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {18F58C5F-EBD5-41D5-BD0D-E044AE90034D} - System32\Tasks\{B3991000-353B-4118-8A0D-14E097D4DD5A} => pcalua.exe -a C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\extensions\DivXWebPlayer@divx.com\DivXWebPlayerInstaller.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {21BB799B-777D-403B-B112-283C3192E714} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {3F1CBD83-6210-4535-972D-DA1E3D797ED4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {6E02427B-8BCB-4740-BA1E-3649C2836346} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {6FEC7544-2893-4251-A09C-D92C2A58733E} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe <==== ACHTUNG
Task: {828CCCB1-AA9C-4FD8-AFDB-398859CB6332} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe [2016-05-16] ()
Task: {A0064F24-5675-4BA8-9A71-04D660228B9D} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {A3C85007-34A4-4B0C-B16B-22ECE44E7826} - System32\Tasks\SaveSense => C:\Users\Bine\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE <==== ACHTUNG
Task: {A8665BEC-2F89-4531-9A95-908E326885F9} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-01] (Reimage®) <==== ACHTUNG
Task: {AAA2756C-2F46-469F-AAA1-27E7887203D0} - System32\Tasks\BitGuard => Sc.exe start BitGuard <==== ACHTUNG
Task: {C5FD0886-2A2E-49E6-83BF-E92DCC695BA7} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-13] (Adobe Systems Incorporated)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\SaveSense.job => C:\Users\Bine\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE <==== ACHTUNG
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-05-16 07:36 - 2016-05-16 07:36 - 00218112 ____H () C:\hegitwzvz\gqmkizwow.exe
2016-05-16 07:36 - 2016-05-16 07:36 - 00218112 ____H () C:\hegitwzvz\qfghlfnz3jvi.exe
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\xvuswyixdczp.exe
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\basgnyx.exe
2014-10-27 17:04 - 2014-10-27 17:04 - 00028160 _____ () C:\Users\Bine\AppData\Local\RGMService\RGMUpdater.exe
2014-12-01 18:01 - 2014-12-01 18:01 - 00974848 _____ () C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
2014-12-06 10:36 - 2014-10-15 09:10 - 00628736 _____ () C:\Users\Bine\AppData\Roaming\WHService\wh.exe
2010-03-08 10:57 - 2010-03-08 10:57 - 00016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll
2010-09-12 13:39 - 2010-09-12 13:39 - 00270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2010-03-09 02:18 - 2010-03-09 02:18 - 00465576 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll
2010-03-09 02:13 - 2010-03-09 02:13 - 01081600 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\ACE.dll
2014-12-01 18:01 - 2014-12-01 18:01 - 01686016 _____ () C:\Users\Bine\AppData\Local\RGMService\RGMHost.dll
2014-12-01 18:01 - 2014-12-01 18:01 - 02745856 _____ () C:\Users\Bine\AppData\Local\RGMService\MonetizationToolsManager.dll
2014-12-01 18:02 - 2014-12-01 18:02 - 01592832 _____ () C:\Users\Bine\AppData\Local\RGMService\ProtectorsManager.dll
2014-12-06 10:36 - 2014-12-06 10:36 - 00374272 _____ () C:\Users\Bine\AppData\Roaming\WHService\sub\default.dll
2010-09-12 23:09 - 2009-05-21 00:02 - 00072200 _____ () C:\Program Files (x86)\Launch Manager\CdDirIo.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\webcompanion.com -> hxxp://webcompanion.com
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 04:34 - 2016-06-06 22:07 - 00000834 ____A C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Bine\AppData\Roaming\Mozilla\Firefox\Desktop-Hintergrund.bmp
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
MSCONFIG\startupreg: BackupManagerTray => "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
MSCONFIG\startupreg: mcpltui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
MSCONFIG\startupreg: mcui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{5C6238FC-C4AC-47A2-943A-A367683A2FF9}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{402D1647-B47F-4357-AC5E-DC55D4C716A1}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{6B9A0993-6F9F-4D04-B56B-A24963C79360}] => (Allow) svchost.exe
FirewallRules: [{D1FE413A-EE78-466E-ADBC-FB898C9DC947}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [TCP Query User{BB7F5F5A-3156-4EB2-AE57-E8C0633EF0EC}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [UDP Query User{2E92749C-F7E9-4ABC-878D-8EF867472DA7}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [{3FC416A7-651F-4B36-9431-79D659001C57}] => (Allow) C:\Program Files (x86)\iTunes\iTunes.exe
FirewallRules: [{967FC5B0-17BE-4E42-87C6-82C706C454B8}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{4007C745-BA45-4F08-8DA6-452E69419473}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{75BA56AC-E0C4-434E-9E86-439CF824D60D}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{A0A637D5-043E-42BC-BA6A-20147AE08618}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{F0F49C71-A597-446C-A29D-0A59AE9F4A43}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{2F603225-B51E-4981-A019-296CD3B8E379}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Wiederherstellungspunkte =========================
21-08-2016 20:48:27 Windows-Sicherung
28-08-2016 22:49:18 Windows-Sicherung
05-09-2016 13:44:31 Windows-Sicherung
12-09-2016 07:37:06 Windows-Sicherung
19-09-2016 06:58:58 Windows-Sicherung
26-09-2016 07:11:34 Windows-Sicherung
02-10-2016 19:23:04 Windows-Sicherung
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (09/04/2016 03:28:32 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x6fc
Startzeit der fehlerhaften Anwendung: 0x01d206b03666b2eb
Pfad der fehlerhaften Anwendung: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: 791180bd-72a3-11e6-82d3-206a8a13181f
Error: (08/22/2016 11:03:26 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.1, Zeitstempel: 0x57a9d0f4
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x78c
Startzeit der fehlerhaften Anwendung: 0x01d1fc4af02bcbe7
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 48faf230-6847-11e6-bc5f-206a8a13181f
Error: (07/28/2016 07:49:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x678
Startzeit der fehlerhaften Anwendung: 0x01d1e8f86a9a29aa
Pfad der fehlerhaften Anwendung: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: ae5b787c-54eb-11e6-a382-206a8a13181f
Error: (07/12/2016 11:34:07 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x7d0
Startzeit der fehlerhaften Anwendung: 0x01d1dc1a9567b2d8
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: c74cfd67-4813-11e6-aeb5-206a8a13181f
Error: (07/04/2016 09:11:42 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x788
Startzeit der fehlerhaften Anwendung: 0x01d1d5c14997cce0
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 8edcc2c6-41b6-11e6-9920-206a8a13181f
Error: (05/18/2016 11:44:08 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x1ac
Startzeit der fehlerhaften Anwendung: 0x01d1b0e9d1db687d
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 10bd8d51-1cdd-11e6-9beb-206a8a13181f
Error: (05/18/2016 11:16:12 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x990
Startzeit der fehlerhaften Anwendung: 0x01d1b0e5e9f0f285
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 29db5017-1cd9-11e6-9beb-206a8a13181f
Error: (05/05/2016 07:43:27 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0xa98
Startzeit der fehlerhaften Anwendung: 0x01d1a6f59ed8ab1f
Pfad der fehlerhaften Anwendung: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Bine\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: df1631cb-12e8-11e6-94d9-206a8a13181f
Error: (04/28/2016 04:43:04 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: energetics.exe, Version: 2.11.0.0, Zeitstempel: 0x4da19492
Name des fehlerhaften Moduls: ieframe.dll, Version: 11.0.9600.17924, Zeitstempel: 0x55959ca0
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00018e6b
ID des fehlerhaften Prozesses: 0xa08
Startzeit der fehlerhaften Anwendung: 0x01d1a15b707a892d
Pfad der fehlerhaften Anwendung: D:\energetics.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\ieframe.dll
Berichtskennung: 83375553-0d4f-11e6-9714-206a8a13181f
Error: (04/28/2016 04:41:59 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: energetics.exe, Version: 2.11.0.0, Zeitstempel: 0x4da19492
Name des fehlerhaften Moduls: QuickTime.qts_unloaded, Version: 0.0.0.0, Zeitstempel: 0x4cf4536a
Ausnahmecode: 0xc0000005
Fehleroffset: 0x6a42bb89
ID des fehlerhaften Prozesses: 0xd58
Startzeit der fehlerhaften Anwendung: 0x01d1a15c0b0d0141
Pfad der fehlerhaften Anwendung: D:\energetics.exe
Pfad des fehlerhaften Moduls: QuickTime.qts
Berichtskennung: 5c6cc632-0d4f-11e6-9714-206a8a13181f
Systemfehler:
=============
Error: (10/03/2016 10:19:07 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
MpFilter
Error: (10/03/2016 10:19:03 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Microsoft Network Inspection System" ist vom Dienst "Microsoft Malware Protection Driver" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Ein an das System angeschlossenes Gerät funktioniert nicht.
Error: (10/03/2016 10:18:55 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Microsoft Antimalware Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Zugriff verweigert
Error: (10/03/2016 08:50:09 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
MpFilter
Error: (10/03/2016 08:50:04 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Microsoft Network Inspection System" ist vom Dienst "Microsoft Malware Protection Driver" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Ein an das System angeschlossenes Gerät funktioniert nicht.
Error: (10/03/2016 08:49:56 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Microsoft Antimalware Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Zugriff verweigert
Error: (10/03/2016 05:16:47 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
MpFilter
Error: (10/03/2016 05:16:41 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Microsoft Network Inspection System" ist vom Dienst "Microsoft Malware Protection Driver" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Ein an das System angeschlossenes Gerät funktioniert nicht.
Error: (10/03/2016 05:16:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Microsoft Antimalware Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Zugriff verweigert
Error: (10/03/2016 01:19:48 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
MpFilter
==================== Speicherinformationen ===========================
Prozessor: AMD Athlon(tm) II P320 Dual-Core Processor
Prozentuale Nutzung des RAM: 38%
Installierter physikalischer RAM: 3838.17 MB
Verfügbarer physikalischer RAM: 2341.45 MB
Summe virtueller Speicher: 7674.55 MB
Verfügbarer virtueller Speicher: 5881.16 MB
==================== Laufwerke ================================
Drive c: (ACER) (Fixed) (Total:452.97 GB) (Free:179.92 GB) NTFS
Drive d: (BC_SWINGSTICK) (CDROM) (Total:1.98 GB) (Free:0 GB) CDFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: B0AFB0AF)
Partition 1: (Not Active) - (Size=12.7 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=453 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
Heute sind wieder ein paar hundert Emails dazugekommen und während meiner Verweildauer im Email-Postfach noch einige dazu. Das scheint zu schwanken (mal mehr, mal weniger). |
|
04.10.2016, 17:29
| #4 |
| /// TB-Ausbilder /// Anleitungs-Guru | Undelivererd Mails-Spam --- Account gehackt? Hi, Schritt 1 Downloade Dir bitte  AdwCleaner auf Deinen Desktop.
Schritt 2  Scan mit Combofix
__________________ Gruß deeprybka  Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
05.10.2016, 18:09
| #5 |
| | Undelivererd Mails-Spam --- Account gehackt? AdwCleaner[C0].txt Code:
ATTFilter # AdwCleaner v6.020 - Bericht erstellt am 05/10/2016 um 18:13:38
# Aktualisiert am 14/09/2016 von ToolsLib
# Datenbank : 2016-10-03.1 [Server]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (X64)
# Benutzername : Laptop - LAPTOP-PC
# Gestartet von : C:\Users\Laptop\Desktop\AdwCleaner_6.020.exe
# Modus: Löschen
# Unterstützung : https://toolslib.net/forum
***** [ Dienste ] *****
[-] Dienst gelöscht: ReimageRealTimeProtector
[-] Dienst gelöscht: RGMUpdater
***** [ Ordner ] *****
[-] Ordner gelöscht: C:\Users\Laptop\FlvPlayer
[#] Ordner mit Neustart gelöscht: C:\Users\Laptop\FLVPlayer
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Local\RGMService
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Local\SaveSense
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Local\SaveSenseLive
[-] Ordner gelöscht: C:\Users\Laptop\AppData\LocalLow\IE-BHO
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\Babylon
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\OpenCandy
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\SaveSense
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\Security Systems
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player
[-] Ordner gelöscht: C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense
[-] Ordner gelöscht: C:\Program Files\Reimage
[-] Ordner gelöscht: C:\rei
[-] Ordner gelöscht: C:\ProgramData\Babylon
[-] Ordner gelöscht: C:\ProgramData\Partner
[-] Ordner gelöscht: C:\ProgramData\Reimage Protector
[-] Ordner gelöscht: C:\ProgramData\SaveSenseLive
[-] Ordner gelöscht: C:\ProgramData\7b24ec7cc000461ebe26d116b88142c8
[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\Babylon
[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\Partner
[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\Reimage Protector
[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\SaveSenseLive
[#] Ordner mit Neustart gelöscht: C:\ProgramData\Application Data\7b24ec7cc000461ebe26d116b88142c8
[-] Ordner gelöscht: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reimage repair
***** [ Dateien ] *****
[-] Datei gelöscht: C:\Windows\SysNative\LavasoftTcpService64.dll
[-] Datei gelöscht: C:\Windows\SysNative\LavasoftTcpServiceOff.ini
[-] Datei gelöscht: C:\Windows\Reimage.ini
[-] Datei gelöscht: C:\Windows\SysWOW64\lavasofttcpservice.dll
[-] Datei gelöscht: C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini
[-] Datei gelöscht: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\bprotector_extensions.rdf
[-] Datei gelöscht: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\bprotector_extensions.sqlite
[-] Datei gelöscht: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\bprotector_prefs.js
[-] Datei gelöscht: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\invalidprefs.js
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Verknüpfungen ] *****
***** [ Aufgabenplanung ] *****
***** [ Registrierungsdatenbank ] *****
[-] Schlüssel gelöscht: HKCU\Software\59ededeb069bd45
[-] Schlüssel gelöscht: HKLM\SOFTWARE\59ededeb069bd45
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.BandObjectAttribute
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.BHO
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.DockingPanel
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.IESmartBar
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.IESmartBarBandObject
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.SmartbarDisplayState
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\IESmartBar.SmartbarMenuForm
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Prod.cap
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine.1
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.BandObjectAttribute
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.BHO
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.DockingPanel
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.IESmartBar
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.IESmartBarBandObject
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.SmartbarDisplayState
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\IESmartBar.SmartbarMenuForm
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\Prod.cap
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine
[#] Schlüssel mit Neustart gelöscht: [x64] HKLM\SOFTWARE\Classes\REI_AxControl.ReiEngine.1
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}
[-] Wert gelöscht: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\{3BDFD1D7-7A9B-4D29-80B3-D00E66E62885}
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\APN PIP
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\BABSOLUTION
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\DataMngr
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\filescout
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\InstallCore
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Reimage
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\reimagerepair
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\RGMService
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\SaveSense
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\SaveSenseLive
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Softonic
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Datamngr
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\SweetIM
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\{3BDFD1D7-7A9B-4D29-80B3-D00E66E62885}
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\APN PIP
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\BABSOLUTION
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\DataMngr
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\filescout
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\InstallCore
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Reimage
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\reimagerepair
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\RGMService
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\SaveSense
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\SaveSenseLive
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Softonic
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Datamngr
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Babylon
[-] Schlüssel gelöscht: HKLM\SOFTWARE\DataMngr
[-] Schlüssel gelöscht: HKLM\SOFTWARE\PIP
[-] Schlüssel gelöscht: HKLM\SOFTWARE\SecurityUtility
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Lavasoft\Web Companion
[#] Schlüssel mit Neustart gelöscht: HKLM\SOFTWARE\Datamngr
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\SweetIM
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\{3BDFD1D7-7A9B-4D29-80B3-D00E66E62885}
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\APN PIP
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\BABSOLUTION
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\DataMngr
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\filescout
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\InstallCore
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Reimage
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\reimagerepair
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\RGMService
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\SaveSense
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\SaveSenseLive
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Softonic
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Datamngr
[-] Schlüssel gelöscht: [x64] HKLM\SOFTWARE\Reimage
[-] Schlüssel gelöscht: [x64] HKLM\SOFTWARE\SecurityUtility
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player
[-] Schlüssel gelöscht: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3152E1F19977892449DC968802CE8964
[-] Schlüssel gelöscht: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
[-] Schlüssel gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
[-] Daten wiederhergestellt: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Daten wiederhergestellt: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Daten wiederhergestellt: [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll
[-] Daten wiederhergestellt: [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[-] Wert gelöscht: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Windows\CurrentVersion\Run [Web Companion]
[#] Wert mit Neustart gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Web Companion]
[#] Wert mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Web Companion]
[-] Wert gelöscht: HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{425E7597-03A2-338D-B72A-0E51FFE77A7E}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{915BB7D5-082E-3B91-B1E0-45B5FDE01F24}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{2009AF2F-5786-3067-8799-B97F7832FDD6}
[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\Record\{FB2E65F4-5687-33EF-9BBF-4E3C9C98D3B9}
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
***** [ Browser ] *****
[-] Firefox Einstellungen bereinigt: "browser.newtab.url" - "hxxp://www.bing.com/?pc=COSP&ptag=D072415-A6B219395BABB4E59ADF&form=CONMHP&conlogo=CT3332005"
*************************
:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: "Prefetch" Dateien gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht
*************************
C:\AdwCleaner\AdwCleaner[C0].txt - [14634 Bytes] - [05/10/2016 18:13:38]
C:\AdwCleaner\AdwCleaner[S0].txt - [13691 Bytes] - [05/10/2016 18:12:09]
########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [14782 Bytes] ##########
Das ist bei mir MS Securitiy Essentials. Dabei habe ich festgestellt, dass diese deaktiviert ist und sich von mir auch nicht starten lässt. Folgende Fehlermeldung erscheint, beim Versuch aus dem Win Explorer zu starten: "Auf das angegebene Gerät.... kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen..." ComboFix.txt Code:
ATTFilter ComboFix 16-09-28.01 - Laptop 05.10.2016 18:44:42.1.2 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3838.2717 [GMT 2:00]
ausgeführt von:: c:\users\Laptop\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Laptop\Desktop\Internet Explorer.lnk
c:\windows\wininit.ini
.
.
((((((((((((((((((((((( Dateien erstellt von 2016-09-05 bis 2016-10-05 ))))))))))))))))))))))))))))))
.
.
2016-10-05 16:52 . 2016-10-05 16:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2016-10-05 16:07 . 2016-10-05 16:13 -------- d-----w- C:\AdwCleaner
2016-10-03 20:32 . 2016-10-03 20:35 -------- d-----w- C:\FRST
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-09-13 21:20 . 2013-03-15 00:37 796352 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2016-09-13 21:20 . 2011-12-25 22:12 142528 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2016-09-13 21:20 . 2016-03-16 20:22 6502080 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe
2016-07-12 19:22 . 2016-07-07 15:57 568586 ----a-w- c:\windows\p2p_05.zip
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-26 102400]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-04-08 908368]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiscSpaceChecks"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiscSpaceChecks"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 Counter Config Information Play WebClient;Counter Config Information Play WebClient;c:\hegitwzvz\gqmkizwow.exe;c:\hegitwzvz\gqmkizwow.exe [x]
R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R2 Parental SNMP PC Update Driver Counter;Parental SNMP PC Update Driver Counter;c:\windows\xvuswyixdczp.exe;c:\windows\xvuswyixdczp.exe [x]
R2 Removal Class Background Engine Authentication;Removal Class Background Engine Authentication;c:\zfviidesoofsyc\hdimulucyorc.exe;c:\zfviidesoofsyc\hdimulucyorc.exe [x]
R2 WHService;WHService;c:\users\Laptop\AppData\Roaming\WHService\wh.exe;c:\users\Laptop\AppData\Roaming\WHService\wh.exe [x]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS;c:\windows\SYSNATIVE\drivers\AmUStor.SYS [x]
R3 cpuz134;cpuz134;c:\users\Laptop\AppData\Local\Temp\cpuz134\cpuz134_x64.sys;c:\users\Laptop\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 NisSrv;NisSrv;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 DiagTrack;Diagnostics Tracking Service;c:\windows\System32\svchost.exe;c:\windows\SYSNATIVE\svchost.exe [x]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe;c:\program files (x86)\Launch Manager\dsiwmis.exe [x]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe [x]
S2 GREGService;GREGService;c:\program files (x86)\Acer\Registration\GREGsvc.exe;c:\program files (x86)\Acer\Registration\GREGsvc.exe [x]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [x]
S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe;c:\program files\Acer\Acer Updater\UpdaterService.exe [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys;c:\windows\SYSNATIVE\DRIVERS\k57nd60a.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys;c:\windows\SYSNATIVE\DRIVERS\usbfilter.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2016-10-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-02-11 21:20]
.
2016-10-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-04 07:06]
.
2016-10-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-04 07:06]
.
2016-10-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-04 07:06]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}]
2010-11-05 01:57 444752 ----a-w- c:\windows\System32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-09-22 323584]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-01-20 9996320]
"Acer ePower Management"="c:\program files\Acer\Acer ePower Management\ePowerTray.exe" [2010-04-23 861216]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.facebook.com/?stype=lo&jlou=Afd82oZgmS5JpHSzhFhiCnsUNmz_gSLrSjkxuknsEFxRp1EKoYbw7KPj_R1EaWaggXX7XagRyb353d9g39oN2K49-w5WFZhn4ma1LFD3QrydAQ&smuh=4977&lh=Ac9g2AfEkF93grPU
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uSearchAssistant = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~4\OFFICE11\EXCEL.EXE/3000
Trusted Zone: localhost
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\
FF - prefs.js: browser.search.selectedEngine - Sichere Suche
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,hxxp://de.search.yahoo.com/search?fr=mcafee&type=A111DE0&p=
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{0025320D-4D37-4C73-9A5C-0C28F04068A3} - c:\users\Laptop\AppData\LocalLow\IE-BHO\bho.dll
Toolbar-Locked - (no file)
Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2016-10-05 18:57:07
ComboFix-quarantined-files.txt 2016-10-05 16:57
.
Vor Suchlauf: 19 Verzeichnis(se), 195.388.428.288 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 194.970.128.384 Bytes frei
.
- - End Of File - - 804D7172FC5C2F1661DD77F9D5FFF358
5C616939100B85E558DA92B899A0FC36
In der Systemsteuerung wird es angezeigt, jedoch ohne "Größe". |
|
05.10.2016, 19:04
| #6 |
| /// TB-Ausbilder /// Anleitungs-Guru | Undelivererd Mails-Spam --- Account gehackt? Schritt 1  
Und dann bitte frische FRST-Logs: Schritt 2 Bitte starte FRST erneut, markiere auch die checkbox  und drücke auf Untersuchen. Bitte poste mir den Inhalt der beiden Logs die erstellt werden.
__________________ --> Undelivererd Mails-Spam --- Account gehackt? |
|
06.10.2016, 10:32
| #7 |
| | Undelivererd Mails-Spam --- Account gehackt? MBAM-Log Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlaufdatum: 05.10.2016 Suchlaufzeit: 22:16 Protokolldatei: Malware-Log.txt Administrator: Ja Version: 2.2.1.1043 Malware-Datenbank: v2016.10.05.10 Rootkit-Datenbank: v2016.09.26.02 Lizenz: Kostenlose Version Malware-Schutz: Deaktiviert Schutz vor bösartigen Websites: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Laptop Suchlauftyp: Bedrohungssuchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 318918 Abgelaufene Zeit: 23 Min., 45 Sek. Speicher: Aktiviert Start: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 2 Trojan.Bayrob.Generic, C:\hegitwzvz\gqmkizwow.exe, 1620, Löschen bei Neustart, [cbd3e7aea9f193a31a06a339c23f758b] Trojan.Bayrob.Generic, C:\hegitwzvz\qfghlfnz3jvi.exe, 1664, Löschen bei Neustart, [ff9f078e584283b3c06017c5e120d030] Module: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 8 Trojan.Bayrob.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Counter Config Information Play WebClient, In Quarantäne, [cbd3e7aea9f193a31a06a339c23f758b], PUP.Optional.QuickShare, HKLM\SOFTWARE\CLASSES\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}, In Quarantäne, [adf12471d4c6d561ee87f69c13ef0ff1], PUP.Optional.QuickShare, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}, In Quarantäne, [adf12471d4c6d561ee87f69c13ef0ff1], PUP.Optional.IEBho, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{0025320D-4D37-4C73-9A5C-0C28F04068A3}, In Quarantäne, [237b82134b4f83b3af6afb95936f3ec2], PUP.Optional.IEBho, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{0025320D-4D37-4C73-9A5C-0C28F04068A3}, In Quarantäne, [237b82134b4f83b3af6afb95936f3ec2], PUP.Optional.IEBho, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{0025320D-4D37-4C73-9A5C-0C28F04068A3}, In Quarantäne, [237b82134b4f83b3af6afb95936f3ec2], PUP.Optional.OpenCandy, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OpenCandyHelperRunAsStandardUserB89F97FCDAEE400EBCD0C7D9202E64F3, Löschen bei Neustart, [adf1870e24763ff7301b01ad63a0c63a], PUP.Optional.OpenCandy, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OpenCandyHelperRunOnce66DF7B96F9004A4C87F5871265C0BE25, Löschen bei Neustart, [ced0c9ccc2d8eb4b54f7d0de18eb11ef], Registrierungswerte: 1 PUP.Optional.SmartBar, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{ae07101b-46d4-4a98-af68-0333ea26e113}, Smartbar, In Quarantäne, [8d1164316d2de254efba974dae54a957] Registrierungsdaten: 2 PUP.Optional.SnapDo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|Default, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}),Ersetzt,[bee0a4f1e7b3ac8a2c0c0d6b31d30000] PUP.Optional.SnapDo, HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|Default, hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,&q={searchTerms}),Ersetzt,[207e3d58603a7db9cf68a5d32adae11f] Ordner: 0 (keine bösartigen Elemente erkannt) Dateien: 17 Trojan.Bayrob.Generic, C:\hegitwzvz\gqmkizwow.exe, Löschen bei Neustart, [cbd3e7aea9f193a31a06a339c23f758b], Trojan.Bayrob.Generic, C:\hegitwzvz\qfghlfnz3jvi.exe, Löschen bei Neustart, [ff9f078e584283b3c06017c5e120d030], Trojan.Trustezeb, C:\Users\Laptop\Downloads\Rechnung stornierten Zahlung Ihrer Bestellung Online Pay GmbH.zip, In Quarantäne, [4856f3a28713092de804920e22dfaa56], PUP.Optional.SofTonic, C:\Users\Laptop\Downloads\SoftonicDownloader_fuer_turbo-floorplan-garten-und-landschaftsarchitekt.exe, In Quarantäne, [019d6e2761396bcb66de948cc53bae52], PUP.Optional.OpenCandy, C:\Users\Laptop\Downloads\winamp5601_full_emusic-7plus_de-de.exe, In Quarantäne, [acf223723862be784b62701920e428d8], PUP.Optional.Ilivid, C:\Users\Laptop\Downloads\iLividSetupV1(1).exe, In Quarantäne, [edb16530dfbb45f1586fad2dee1212ee], PUP.Optional.Ilivid, C:\Users\Laptop\Downloads\iLividSetupV1.exe, In Quarantäne, [a7f79500f2a8fc3acdfab5257f81e719], PUP.Optional.IBryte, C:\Users\Laptop\Downloads\Groovestream.exe, In Quarantäne, [b1eddcb99a002115dddee048d52cb44c], PUP.Optional.BundleInstaller, C:\Users\Laptop\Downloads\zipper_V.4681082.exe, In Quarantäne, [8e10167f059587af377fdeb805ff45bb], PUP.Optional.BundleInstaller, C:\Users\Laptop\Downloads\zipper_V.4681140.exe, In Quarantäne, [0c92fe97bae0ba7c407620766f95d52b], PUP.Optional.BundleInstaller, C:\Users\Laptop\Downloads\zipper_V.4690235.exe, In Quarantäne, [0c921f76debca98dd0e6badcb94bf30d], PUP.Optional.InstallCore, C:\Users\Laptop\Downloads\FLVPlayerSetup.exe, In Quarantäne, [a1fdeca9d8c20036de2e5ece47bad42c], PUP.Optional.Inbox, C:\Users\Laptop\Downloads\MusicSetup.exe, In Quarantäne, [07975441b6e4e84e1a854f54bc44768a], PUP.Optional.RegCleanerPro, C:\Users\Laptop\Downloads\sysrc_trial_9407(1).exe, In Quarantäne, [e9b5d6bfeab0f3431712871dfc04a15f], PUP.Optional.RegCleanerPro, C:\Users\Laptop\Downloads\sysrc_trial_9407.exe, In Quarantäne, [dbc3464f52486bcbc1689410798701ff], Adware.Agent, C:\Users\Laptop\Downloads\ccsetup508_CB-DL-Manager.exe, In Quarantäne, [fca29005336733035000af83818055ab], PUP.Optional.SnapDo, C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,hxxp://de.search.yahoo.com/search?fr=mcafee&type=A111DE0&p=");), Ersetzt,[564853420199072f4202f9a031d36f91] Physische Sektoren: 0 (keine bösartigen Elemente erkannt) (end) Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2016
durchgeführt von Laptop (05-10-2016 23:02:45)
Gestartet von C:\Users\Laptop\Desktop\Virenscan Trojanerboard
Windows 7 Home Premium Service Pack 1 (X64) (2010-11-04 14:40:53)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-4174298957-1578369079-2285695161-500 - Administrator - Disabled)
Laptop (S-1-5-21-4174298957-1578369079-2285695161-1000 - Administrator - Enabled) => C:\Users\Laptop
Gast (S-1-5-21-4174298957-1578369079-2285695161-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-4174298957-1578369079-2285695161-1002 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Microsoft Security Essentials (Enabled - Up to date) {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}
AS: Microsoft Security Essentials (Enabled - Up to date) {CDE0C533-D3CD-62A1-E772-AFADDF863628}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Acer Backup Manager (HKLM-x32\...\InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.60 - NewTech Infosystems)
Acer Crystal Eye webcam (HKLM-x32\...\{51F026FA-5146-4232-A8BA-1364740BD053}) (Version: 1.0.3.5 - Liteon)
Acer ePower Management (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.00.3004 - Acer Incorporated)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3011 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3003 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0423.2010 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated)
Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)
Adobe Reader XI - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{6030FCD7-8F1A-427D-AF05-8DD1A2EA2ABA}) (Version: 1.5.17.05094 - Alcor Micro Corp.)
Alcor Micro USB Card Reader (x32 Version: 1.5.17.05094 - Alcor Micro Corp.) Hidden
ATI Catalyst Install Manager (HKLM\...\{A0158415-15CA-B2A0-928D-E755DD506C0D}) (Version: 3.0.769.0 - ATI Technologies, Inc.)
Backup Manager Basic (x32 Version: 2.0.0.60 - NewTech Infosystems) Hidden
Broadcom Gigabit NetLink Controller (HKLM\...\{A84DB02B-9C2B-4272-9D2D-A80E00A56513}) (Version: 12.52.03 - Broadcom Corporation)
ccc-core-static (x32 Version: 2010.0426.2136.36953 - Ihr Firmenname) Hidden
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
Hydra 1.4 (HKLM-x32\...\Hydra_is1) (Version: - Synapse Audio Software)
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
iTunes (HKLM\...\{B24A47E5-F196-461E-A7A4-AADB72CB19DD}) (Version: 10.2.0.34 - Apple Inc.)
Junk Mail filter update (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 4.0.8 - Acer Inc.)
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2010 (HKLM-x32\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{90110407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.9.218.0 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40416.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM-x32\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Mozilla Firefox 43.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.1 (x86 de)) (Version: 43.0.1 - Mozilla)
Mozilla Thunderbird 17.0.3 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 17.0.3 (x86 de)) (Version: 17.0.3 - Mozilla)
MyWinLocker (x32 Version: 3.1.206.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.206.0 - Egis Technology Inc.)
QuickTime (HKLM-x32\...\{57752979-A1C9-4C02-856B-FBB27AC4E02C}) (Version: 7.69.80.9 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6029 - Realtek Semiconductor Corp.)
Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee)
Shredder (Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Shredder (x32 Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 14.0.6.0 - Synaptics Incorporated)
VLC media player 2.0.4 (HKLM-x32\...\VLC media player) (Version: 2.0.4 - VideoLAN)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.01.3002 - Acer Incorporated)
Winamp (HKLM-x32\...\Winamp) (Version: 5.601 - Nullsoft, Inc)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{76618402-179D-4699-A66B-D351C59436BC}) (Version: 14.0.8089.726 - Microsoft Corporation)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {01F5E415-8A15-476A-B1B8-BE6DB0C42D25} - System32\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {18F58C5F-EBD5-41D5-BD0D-E044AE90034D} - System32\Tasks\{B3991000-353B-4118-8A0D-14E097D4DD5A} => pcalua.exe -a C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\extensions\DivXWebPlayer@divx.com\DivXWebPlayerInstaller.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {21BB799B-777D-403B-B112-283C3192E714} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {3F1CBD83-6210-4535-972D-DA1E3D797ED4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {6E02427B-8BCB-4740-BA1E-3649C2836346} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {A0064F24-5675-4BA8-9A71-04D660228B9D} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {C5FD0886-2A2E-49E6-83BF-E92DCC695BA7} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-13] (Adobe Systems Incorporated)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\xvuswyixdczp.exe
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\basgnyx.exe
2014-12-06 10:36 - 2014-10-15 09:10 - 00628736 _____ () C:\Users\Laptop\AppData\Roaming\WHService\wh.exe
2010-03-08 10:57 - 2010-03-08 10:57 - 00016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll
2010-09-12 13:39 - 2010-09-12 13:39 - 00270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2010-03-09 02:18 - 2010-03-09 02:18 - 00465576 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll
2010-03-09 02:13 - 2010-03-09 02:13 - 01081600 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\ACE.dll
2014-12-06 10:36 - 2014-12-06 10:36 - 00374272 _____ () C:\Users\Laptop\AppData\Roaming\WHService\sub\default.dll
2010-09-12 23:09 - 2009-05-21 00:02 - 00072200 _____ () C:\Program Files (x86)\Launch Manager\CdDirIo.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\localhost -> localhost
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 04:34 - 2016-10-05 18:52 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Desktop-Hintergrund.bmp
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
MSCONFIG\startupreg: BackupManagerTray => "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
MSCONFIG\startupreg: mcpltui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
MSCONFIG\startupreg: mcui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{5C6238FC-C4AC-47A2-943A-A367683A2FF9}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{402D1647-B47F-4357-AC5E-DC55D4C716A1}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{6B9A0993-6F9F-4D04-B56B-A24963C79360}] => (Allow) svchost.exe
FirewallRules: [{D1FE413A-EE78-466E-ADBC-FB898C9DC947}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [TCP Query User{BB7F5F5A-3156-4EB2-AE57-E8C0633EF0EC}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [UDP Query User{2E92749C-F7E9-4ABC-878D-8EF867472DA7}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [{3FC416A7-651F-4B36-9431-79D659001C57}] => (Allow) C:\Program Files (x86)\iTunes\iTunes.exe
FirewallRules: [{967FC5B0-17BE-4E42-87C6-82C706C454B8}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{4007C745-BA45-4F08-8DA6-452E69419473}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{75BA56AC-E0C4-434E-9E86-439CF824D60D}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{A0A637D5-043E-42BC-BA6A-20147AE08618}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{F0F49C71-A597-446C-A29D-0A59AE9F4A43}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{2F603225-B51E-4981-A019-296CD3B8E379}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Wiederherstellungspunkte =========================
28-08-2016 22:49:18 Windows-Sicherung
05-09-2016 13:44:31 Windows-Sicherung
12-09-2016 07:37:06 Windows-Sicherung
19-09-2016 06:58:58 Windows-Sicherung
26-09-2016 07:11:34 Windows-Sicherung
02-10-2016 19:23:04 Windows-Sicherung
05-10-2016 18:42:14 ComboFix created restore point
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (10/05/2016 07:18:59 PM) (Source: Microsoft Security Client Setup) (EventID: 100) (User: Laptop-PC)
Description: HRESULT:0x80070643
Description:Cannot complete the Security Essentials installation. An error has prevented the Security Essentials setup wizard from completing successfully. Please restart your computer and try again. Error code:0x80070643. (null)
Error: (10/05/2016 07:18:24 PM) (Source: MsiInstaller) (EventID: 11301) (User: Laptop-PC)
Description: Product: Microsoft Security Client -- Error 1301. Cannot create the file 'c:\Program Files\Microsoft Security Client\MsMpEng.exe'. A directory with this name already exists. Cancel the install and try installing to a different location.
Error: (10/05/2016 06:06:19 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Users\Laptop\Downloads\SoftonicDownloader_fuer_turbo-floorplan-garten-und-landschaftsarchitekt.exe". Fehler in
Manifest- oder Richtliniendatei "" in Zeile .
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
Error: (09/04/2016 03:28:32 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x6fc
Startzeit der fehlerhaften Anwendung: 0x01d206b03666b2eb
Pfad der fehlerhaften Anwendung: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: 791180bd-72a3-11e6-82d3-206a8a13181f
Error: (08/22/2016 11:03:26 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.1, Zeitstempel: 0x57a9d0f4
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x78c
Startzeit der fehlerhaften Anwendung: 0x01d1fc4af02bcbe7
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 48faf230-6847-11e6-bc5f-206a8a13181f
Error: (07/28/2016 07:49:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x678
Startzeit der fehlerhaften Anwendung: 0x01d1e8f86a9a29aa
Pfad der fehlerhaften Anwendung: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: ae5b787c-54eb-11e6-a382-206a8a13181f
Error: (07/12/2016 11:34:07 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x7d0
Startzeit der fehlerhaften Anwendung: 0x01d1dc1a9567b2d8
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: c74cfd67-4813-11e6-aeb5-206a8a13181f
Error: (07/04/2016 09:11:42 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x788
Startzeit der fehlerhaften Anwendung: 0x01d1d5c14997cce0
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 8edcc2c6-41b6-11e6-9920-206a8a13181f
Error: (05/18/2016 11:44:08 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x1ac
Startzeit der fehlerhaften Anwendung: 0x01d1b0e9d1db687d
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 10bd8d51-1cdd-11e6-9beb-206a8a13181f
Error: (05/18/2016 11:16:12 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x990
Startzeit der fehlerhaften Anwendung: 0x01d1b0e5e9f0f285
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 29db5017-1cd9-11e6-9beb-206a8a13181f
Systemfehler:
=============
Error: (10/05/2016 10:54:19 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 10:52:02 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "WinDefend" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 09:29:49 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 09:27:28 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "WinDefend" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 07:26:16 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
Neue Signaturversion:
Vorherige Signaturversion: 0.0.0.0
Aktualisierungsquelle: Microsoft Update Server
Aktualisierungsphase: Suchen
Quellpfad: Default URL
Signaturtyp: AntiVirus
Aktualisierungstyp: Vollständig
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion:
Vorherige Modulversion: 0.0.0.0
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen
Error: (10/05/2016 07:25:46 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 07:25:16 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 07:24:56 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
Neue Signaturversion:
Vorherige Signaturversion: 0.0.0.0
Aktualisierungsquelle: Microsoft Update Server
Aktualisierungsphase: Suchen
Quellpfad: Default URL
Signaturtyp: AntiVirus
Aktualisierungstyp: Vollständig
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion:
Vorherige Modulversion: 0.0.0.0
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen
Error: (10/05/2016 07:24:25 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/05/2016 07:24:25 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: Der Server "{E60687F7-01A1-40AA-86AC-DB1CBF673334}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
CodeIntegrity:
===================================
Date: 2016-10-05 18:51:46.976
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2016-10-05 18:51:46.711
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
==================== Speicherinformationen ===========================
Prozessor: AMD Athlon(tm) II P320 Dual-Core Processor
Prozentuale Nutzung des RAM: 41%
Installierter physikalischer RAM: 3838.17 MB
Verfügbarer physikalischer RAM: 2229.8 MB
Summe virtueller Speicher: 7674.55 MB
Verfügbarer virtueller Speicher: 5805.93 MB
==================== Laufwerke ================================
Drive c: (ACER) (Fixed) (Total:452.97 GB) (Free:181.35 GB) NTFS
Drive d: (BC_SWINGSTICK) (CDROM) (Total:1.98 GB) (Free:0 GB) CDFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: B0AFB0AF)
Partition 1: (Not Active) - (Size=12.7 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=453 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
Zurzeit so um die 1.000 am Tag. |
|
06.10.2016, 10:49
| #8 |
| /// TB-Ausbilder /// Anleitungs-Guru | Undelivererd Mails-Spam --- Account gehackt? MBAM wurde nicht mit Rootkit-Suche durchgeführt, FRST fehlt ganz. Anweisungen bitte lesen.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
06.10.2016, 20:07
| #9 |
| | Undelivererd Mails-Spam --- Account gehackt? MBAM-Log Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlaufdatum: 06.10.2016 Suchlaufzeit: 20:28 Protokolldatei: Administrator: Ja Version: 2.2.1.1043 Malware-Datenbank: v2016.10.06.11 Rootkit-Datenbank: v2016.09.26.02 Lizenz: Kostenlose Version Malware-Schutz: Deaktiviert Schutz vor bösartigen Websites: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Laptop Suchlauftyp: Benutzerdefinierter Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 300131 Abgelaufene Zeit: 5 Min., 7 Sek. Speicher: Aktiviert Start: Aktiviert Dateisystem: Deaktiviert Archive: Aktiviert Rootkits: Aktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (keine bösartigen Elemente erkannt) Module: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 0 (keine bösartigen Elemente erkannt) Registrierungswerte: 0 (keine bösartigen Elemente erkannt) Registrierungsdaten: 0 (keine bösartigen Elemente erkannt) Ordner: 0 (keine bösartigen Elemente erkannt) Dateien: 1 PUP.Optional.SnapDo, C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRZtakQ4j8nRC9pSLLJR98GAGvZ--sx9HMMckaq-YAVaKiMC-AT0YqxyNbRcu6pdJXTyovxO69Ero9v-m4pBErWZ_X2KxNLt-W65vjxuiT1WB1_cqxOwQfKavJsZwUt1t3V59ZdwyJHboAAW9AcLxvZN3wXtykuNp9ufMKRCfDX6SePwzJlmnY2ztx7lu2uLxUiKR9Q,,hxxp://de.search.yahoo.com/search?fr=mcafee&type=A111DE0&p=");), Ersetzt,[53b081157d1dee4878c70198d034cd33] Physische Sektoren: 0 (keine bösartigen Elemente erkannt) (end) Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 03-10-2016
durchgeführt von Laptop (Administrator) auf LAPTOP-PC (06-10-2016 21:02:21)
Gestartet von C:\Users\Laptop\Desktop\Virenscan Trojanerboard
Geladene Profile: Laptop (Verfügbare Profile: Laptop)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(AMD) C:\Windows\System32\atiesrxx.exe
(Microsoft Corporation) C:\Windows\System32\wlanext.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\dsiwmis.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
(Acer Incorporated) C:\Program Files (x86)\Acer\Registration\GREGsvc.exe
(NewTech Infosystems, Inc.) C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
() C:\Windows\xvuswyixdczp.exe
() C:\Windows\basgnyx.exe
(Acer Group) C:\Program Files\Acer\Acer Updater\UpdaterService.exe
() C:\Users\Laptop\AppData\Roaming\WHService\wh.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Alcor Micro Corp.) C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LManager.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\MMDx64Fx.exe
(Dritek System Inc.) C:\Program Files (x86)\Launch Manager\LMworker.exe
(Acer Incorporated) C:\Program Files\Acer\Acer ePower Management\ePowerEvent.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\OFFICE11\WINWORD.EXE
(Microsoft Corporation) C:\Windows\splwow64.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Registry (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [AmIcoSinglun64] => C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [323584 2009-09-23] (Alcor Micro Corp.)
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9996320 2010-01-20] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1842472 2009-09-18] (Synaptics Incorporated)
HKLM\...\Run: [Acer ePower Management] => C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [861216 2010-04-23] (Acer Incorporated)
HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1340192 2016-01-29] (Microsoft Corporation)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [102400 2010-04-26] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [LManager] => C:\Program Files (x86)\Launch Manager\LManager.exe [908368 2010-04-08] (Dritek System Inc.)
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2010-11-29] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiscSpaceChecks] 1
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{E62528C1-8EFB-48A1-A8BC-21BC528DB216}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{FB5F3A0E-494A-4F02-AE5A-86FCABC9710D}: [DhcpNameServer] 192.168.178.1
Internet Explorer:
==================
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <======= ACHTUNG
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.facebook.com/?stype=lo&jlou=Afd82oZgmS5JpHSzhFhiCnsUNmz_gSLrSjkxuknsEFxRp1EKoYbw7KPj_R1EaWaggXX7XagRyb353d9g39oN2K49-w5WFZhn4ma1LFD3QrydAQ&smuh=4977&lh=Ac9g2AfEkF93grPU
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> DefaultScope {8F6719E0-79ED-49C2-A7D2-84F121FF2B6F} URL = hxxp://de.search.yahoo.com/search?fr=mcafee&type=A011DE0&p={SearchTerms}
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_deDE404DE404
SearchScopes: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> {8F6719E0-79ED-49C2-A7D2-84F121FF2B6F} URL = hxxp://de.search.yahoo.com/search?fr=mcafee&type=A011DE0&p={SearchTerms}
BHO: Kein Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Keine Datei
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => Keine Datei
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2012-09-23] (Adobe Systems Incorporated)
BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Keine Datei
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
BHO-x32: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22] (Microsoft Corporation)
Toolbar: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
FireFox:
========
FF ProfilePath: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default [2016-10-06]
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\fk0dzijz.default -> Sichere Suche
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\fk0dzijz.default -> Sichere Suche
FF Homepage: Mozilla\Firefox\Profiles\fk0dzijz.default -> google.de
FF NetworkProxy: Mozilla\Firefox\Profiles\fk0dzijz.default -> type", 0
FF Extension: (YouTube2mp3.to: Convert YouTube Video to MP3) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\contact@youtube2mp3.to.xpi [2016-04-28]
FF Extension: (Easy YouTube to MP3 Converter) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\jid0-SQnwtgW1b8BsMB5PLV5WScEDWOw@jetpack.xpi [2016-04-27]
FF Extension: (Kein Name) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\nostmp [2012-03-05] [ist nicht signiert]
FF Extension: (1-Click YouTube Video Downloader) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\YoutubeDownloader@PeterOlayev.com.xpi [2016-08-24]
FF Extension: (NoScript) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2016-08-10]
FF Extension: (Adblock Plus) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-04-29]
FF HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nicht gefunden
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_162.dll [2016-09-13] ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.40416.0\npctrl.dll [2015-04-16] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_162.dll [2016-09-13] ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll [2011-02-22] ()
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.40416.0\npctrl.dll [2015-04-15] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8081.0709 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2009-07-10] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-31] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-31] (Google Inc.)
FF Plugin-x32: @videolan.org/vlc,version=2.0.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2012-10-15] (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2012-09-23] (Adobe Systems Inc.)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-common.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-sync.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-branding.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-l10n.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\webide-prefs.js [2016-02-01]
Chrome:
=======
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation)
R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation)
R2 NTI IScheduleSvc; C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [250368 2010-03-09] (NewTech Infosystems, Inc.) [Datei ist nicht signiert]
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Laptop\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [0 2016-05-07] () <==== ACHTUNG (Null Byte Datei/Ordner)
S2 wuauserv; C:\Windows\system32\wuaueng.dll [0 2016-05-07] () <==== ACHTUNG (Null Byte Datei/Ordner)
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 ebdrv; C:\Windows\system32\DRIVERS\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [289120 2015-11-13] (Microsoft Corporation)
R3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [133816 2015-11-13] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 cpuz134; \??\C:\Users\Laptop\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-10-05 22:58 - 2016-10-05 22:58 - 00006845 _____ C:\Users\Laptop\Downloads\Malware-Log.txt
2016-10-05 22:15 - 2016-10-06 20:28 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-10-05 22:14 - 2016-10-05 22:14 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware
2016-10-05 22:13 - 2016-10-05 22:14 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware
2016-10-05 22:13 - 2016-10-05 22:13 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-10-05 22:13 - 2016-03-10 14:09 - 00064896 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-10-05 22:13 - 2016-03-10 14:08 - 00140672 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-10-05 22:13 - 2016-03-10 14:08 - 00027008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-10-05 22:09 - 2016-10-05 22:10 - 22851472 _____ (Malwarebytes ) C:\Users\Laptop\Downloads\mbam-setup-2.2.1.1043.exe
2016-10-05 19:23 - 2016-10-05 19:23 - 00002121 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Security Essentials.lnk
2016-10-05 19:23 - 2016-10-05 19:23 - 00000000 ____D C:\Program Files (x86)\Microsoft Security Client
2016-10-05 19:22 - 2016-10-05 19:23 - 00000000 ____D C:\Program Files\Microsoft Security Client
2016-10-05 19:13 - 2016-10-05 22:53 - 00000000 ____D C:\Users\Laptop\Desktop\Virenscan Trojanerboard
2016-10-05 19:12 - 2016-10-05 19:14 - 14345408 _____ (Microsoft Corporation) C:\Users\Laptop\Downloads\MSEInstall(1).exe
2016-10-05 18:57 - 2016-10-05 18:57 - 00013446 _____ C:\ComboFix.txt
2016-10-05 18:42 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2016-10-05 18:42 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2016-10-05 18:42 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2016-10-05 18:42 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-10-05 18:42 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-10-05 18:42 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2016-10-05 18:42 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2016-10-05 18:42 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2016-10-05 18:41 - 2016-10-05 18:57 - 00000000 ____D C:\Qoobox
2016-10-05 18:41 - 2016-10-05 18:53 - 00000000 ____D C:\Windows\erdnt
2016-10-05 18:27 - 2016-10-05 18:27 - 05659993 _____ (Swearware) C:\Users\Laptop\Downloads\ComboFix.exe
2016-10-05 18:07 - 2016-10-05 18:13 - 00000000 ____D C:\AdwCleaner
2016-10-05 18:05 - 2016-10-05 18:06 - 03861056 _____ C:\Users\Laptop\Downloads\AdwCleaner_6.020.exe
2016-10-03 22:32 - 2016-10-06 21:02 - 00000000 ____D C:\FRST
2016-10-03 22:30 - 2016-10-03 22:30 - 02404864 _____ (Farbar) C:\Users\Laptop\Downloads\FRST64.exe
2016-09-27 09:30 - 2016-09-27 09:30 - 00239776 _____ C:\Users\Laptop\Downloads\kohlhoff.pdf
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-10-06 20:49 - 2015-08-30 09:07 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-10-06 20:35 - 2009-07-14 06:45 - 00025616 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-10-06 20:35 - 2009-07-14 06:45 - 00025616 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-10-06 20:25 - 2016-02-01 20:53 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job
2016-10-06 20:25 - 2015-08-30 09:07 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-10-06 20:25 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-10-06 10:20 - 2013-03-15 02:37 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-10-05 22:51 - 2016-05-16 07:36 - 00000000 ___HD C:\hegitwzvz
2016-10-05 22:51 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\security
2016-10-05 21:27 - 2016-05-16 07:36 - 00000000 ____D C:\Windows\hegitwzvz
2016-10-05 19:23 - 2015-11-14 11:56 - 00001912 _____ C:\Windows\epplauncher.mif
2016-10-05 19:06 - 2011-10-19 19:58 - 00267776 ___SH C:\Users\Laptop\Desktop\Thumbs.db
2016-10-05 18:52 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2016-10-05 18:12 - 2010-11-04 16:40 - 00000000 ____D C:\Users\Laptop
2016-09-28 12:58 - 2013-03-02 17:50 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2016-09-27 10:00 - 2016-05-07 17:32 - 00000000 ____D C:\recyclebin
2016-09-13 23:20 - 2016-03-16 22:22 - 06502080 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2016-09-13 23:20 - 2013-03-15 02:37 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-09-13 23:20 - 2013-03-15 02:37 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-09-13 23:20 - 2013-03-15 02:37 - 00000000 ____D C:\Windows\system32\Macromed
2016-09-13 23:20 - 2011-12-26 00:12 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-09-13 23:20 - 2010-05-08 01:53 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2016-09-10 20:13 - 2009-07-14 07:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2010-11-11 23:40 - 2010-11-11 23:40 - 0033134 _____ () C:\Users\Laptop\AppData\Roaming\UserTile.png
2014-03-10 03:04 - 2014-09-21 19:04 - 0000146 _____ () C:\Users\Laptop\AppData\Roaming\WB.CFG
2014-03-14 17:20 - 2014-03-30 18:46 - 0004096 ____H () C:\Users\Laptop\AppData\Local\keyfile3.drm
2010-05-08 02:06 - 2010-01-27 16:40 - 0131472 _____ () C:\ProgramData\FullRemove.exe
Einige mit null Byte Größe Dateien/Ordner:
==========================
C:\Windows\System32\wuauclt.exe
C:\Windows\System32\wuaueng.dll
C:\Windows\System32\wups2.dll
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-09-25 17:18
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2016
durchgeführt von Laptop (06-10-2016 21:03:11)
Gestartet von C:\Users\Laptop\Desktop\Virenscan Trojanerboard
Windows 7 Home Premium Service Pack 1 (X64) (2010-11-04 14:40:53)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-4174298957-1578369079-2285695161-500 - Administrator - Disabled)
Laptop (S-1-5-21-4174298957-1578369079-2285695161-1000 - Administrator - Enabled) => C:\Users\Laptop
Gast (S-1-5-21-4174298957-1578369079-2285695161-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-4174298957-1578369079-2285695161-1002 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Microsoft Security Essentials (Enabled - Up to date) {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}
AS: Microsoft Security Essentials (Enabled - Up to date) {CDE0C533-D3CD-62A1-E772-AFADDF863628}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Acer Backup Manager (HKLM-x32\...\InstallShield_{72B776E5-4530-4C4B-9453-751DF87D9D93}) (Version: 2.0.0.60 - NewTech Infosystems)
Acer Crystal Eye webcam (HKLM-x32\...\{51F026FA-5146-4232-A8BA-1364740BD053}) (Version: 1.0.3.5 - Liteon)
Acer ePower Management (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.00.3004 - Acer Incorporated)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3011 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3003 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0423.2010 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated)
Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)
Adobe Reader XI - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{6030FCD7-8F1A-427D-AF05-8DD1A2EA2ABA}) (Version: 1.5.17.05094 - Alcor Micro Corp.)
Alcor Micro USB Card Reader (x32 Version: 1.5.17.05094 - Alcor Micro Corp.) Hidden
ATI Catalyst Install Manager (HKLM\...\{A0158415-15CA-B2A0-928D-E755DD506C0D}) (Version: 3.0.769.0 - ATI Technologies, Inc.)
Backup Manager Basic (x32 Version: 2.0.0.60 - NewTech Infosystems) Hidden
Broadcom Gigabit NetLink Controller (HKLM\...\{A84DB02B-9C2B-4272-9D2D-A80E00A56513}) (Version: 12.52.03 - Broadcom Corporation)
ccc-core-static (x32 Version: 2010.0426.2136.36953 - Ihr Firmenname) Hidden
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
Hydra 1.4 (HKLM-x32\...\Hydra_is1) (Version: - Synapse Audio Software)
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
iTunes (HKLM\...\{B24A47E5-F196-461E-A7A4-AADB72CB19DD}) (Version: 10.2.0.34 - Apple Inc.)
Junk Mail filter update (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 4.0.8 - Acer Inc.)
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2010 (HKLM-x32\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{90110407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.9.218.0 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.40416.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (HKLM-x32\...\{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Mozilla Firefox 43.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.1 (x86 de)) (Version: 43.0.1 - Mozilla)
Mozilla Thunderbird 17.0.3 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 17.0.3 (x86 de)) (Version: 17.0.3 - Mozilla)
MyWinLocker (x32 Version: 3.1.206.0 - Egis Technology Inc.) Hidden
MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.206.0 - Egis Technology Inc.)
QuickTime (HKLM-x32\...\{57752979-A1C9-4C02-856B-FBB27AC4E02C}) (Version: 7.69.80.9 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6029 - Realtek Semiconductor Corp.)
Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee)
Shredder (Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Shredder (x32 Version: 2.0.5.0 - Egis Technology Inc.) Hidden
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 14.0.6.0 - Synaptics Incorporated)
VLC media player 2.0.4 (HKLM-x32\...\VLC media player) (Version: 2.0.4 - VideoLAN)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.01.3002 - Acer Incorporated)
Winamp (HKLM-x32\...\Winamp) (Version: 5.601 - Nullsoft, Inc)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{76618402-179D-4699-A66B-D351C59436BC}) (Version: 14.0.8089.726 - Microsoft Corporation)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {01F5E415-8A15-476A-B1B8-BE6DB0C42D25} - System32\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {18F58C5F-EBD5-41D5-BD0D-E044AE90034D} - System32\Tasks\{B3991000-353B-4118-8A0D-14E097D4DD5A} => pcalua.exe -a C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\extensions\DivXWebPlayer@divx.com\DivXWebPlayerInstaller.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {21BB799B-777D-403B-B112-283C3192E714} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {3F1CBD83-6210-4535-972D-DA1E3D797ED4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {6E02427B-8BCB-4740-BA1E-3649C2836346} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
Task: {A0064F24-5675-4BA8-9A71-04D660228B9D} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {C5FD0886-2A2E-49E6-83BF-E92DCC695BA7} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-13] (Adobe Systems Incorporated)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d21c60fd462.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\xvuswyixdczp.exe
2016-05-06 21:02 - 2016-05-27 12:33 - 01089536 ____H () C:\Windows\basgnyx.exe
2014-12-06 10:36 - 2014-10-15 09:10 - 00628736 _____ () C:\Users\Laptop\AppData\Roaming\WHService\wh.exe
2010-03-08 10:57 - 2010-03-08 10:57 - 00016384 ____R () C:\Program Files (x86)\ATI Technologies\ATI.ACE\Branding\Branding.dll
2010-09-12 13:39 - 2010-09-12 13:39 - 00270336 _____ () C:\Windows\assembly\GAC_MSIL\CLI.Aspect.CrossDisplay.Graphics.Dashboard\1.0.0.0__90ba9c70f846762e\CLI.Aspect.CrossDisplay.Graphics.Dashboard.dll
2010-03-09 02:18 - 2010-03-09 02:18 - 00465576 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\sqlite3.dll
2010-03-09 02:13 - 2010-03-09 02:13 - 01081600 _____ () C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\ACE.dll
2014-12-06 10:36 - 2014-12-06 10:36 - 00374272 _____ () C:\Users\Laptop\AppData\Roaming\WHService\sub\default.dll
2010-09-12 23:09 - 2009-05-21 00:02 - 00072200 _____ () C:\Program Files (x86)\Launch Manager\CdDirIo.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\...\localhost -> localhost
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 04:34 - 2016-10-05 18:52 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Desktop-Hintergrund.bmp
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
MSCONFIG\startupreg: BackupManagerTray => "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
MSCONFIG\startupreg: mcpltui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
MSCONFIG\startupreg: mcui_exe => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{5C6238FC-C4AC-47A2-943A-A367683A2FF9}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{402D1647-B47F-4357-AC5E-DC55D4C716A1}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{6B9A0993-6F9F-4D04-B56B-A24963C79360}] => (Allow) svchost.exe
FirewallRules: [{D1FE413A-EE78-466E-ADBC-FB898C9DC947}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [TCP Query User{BB7F5F5A-3156-4EB2-AE57-E8C0633EF0EC}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [UDP Query User{2E92749C-F7E9-4ABC-878D-8EF867472DA7}C:\program files (x86)\winamp\winamp.exe] => (Allow) C:\program files (x86)\winamp\winamp.exe
FirewallRules: [{3FC416A7-651F-4B36-9431-79D659001C57}] => (Allow) C:\Program Files (x86)\iTunes\iTunes.exe
FirewallRules: [{967FC5B0-17BE-4E42-87C6-82C706C454B8}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{4007C745-BA45-4F08-8DA6-452E69419473}] => (Allow) C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
FirewallRules: [{75BA56AC-E0C4-434E-9E86-439CF824D60D}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{A0A637D5-043E-42BC-BA6A-20147AE08618}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
FirewallRules: [{F0F49C71-A597-446C-A29D-0A59AE9F4A43}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{2F603225-B51E-4981-A019-296CD3B8E379}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Wiederherstellungspunkte =========================
28-08-2016 22:49:18 Windows-Sicherung
05-09-2016 13:44:31 Windows-Sicherung
12-09-2016 07:37:06 Windows-Sicherung
19-09-2016 06:58:58 Windows-Sicherung
26-09-2016 07:11:34 Windows-Sicherung
02-10-2016 19:23:04 Windows-Sicherung
05-10-2016 18:42:14 ComboFix created restore point
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (10/05/2016 07:18:59 PM) (Source: Microsoft Security Client Setup) (EventID: 100) (User: Laptop-PC)
Description: HRESULT:0x80070643
Description:Cannot complete the Security Essentials installation. An error has prevented the Security Essentials setup wizard from completing successfully. Please restart your computer and try again. Error code:0x80070643. (null)
Error: (10/05/2016 07:18:24 PM) (Source: MsiInstaller) (EventID: 11301) (User: Laptop-PC)
Description: Product: Microsoft Security Client -- Error 1301. Cannot create the file 'c:\Program Files\Microsoft Security Client\MsMpEng.exe'. A directory with this name already exists. Cancel the install and try installing to a different location.
Error: (10/05/2016 06:06:19 PM) (Source: SideBySide) (EventID: 80) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Users\Laptop\Downloads\SoftonicDownloader_fuer_turbo-floorplan-garten-und-landschaftsarchitekt.exe". Fehler in
Manifest- oder Richtliniendatei "" in Zeile .
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
Error: (09/04/2016 03:28:32 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x6fc
Startzeit der fehlerhaften Anwendung: 0x01d206b03666b2eb
Pfad der fehlerhaften Anwendung: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: 791180bd-72a3-11e6-82d3-206a8a13181f
Error: (08/22/2016 11:03:26 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.1, Zeitstempel: 0x57a9d0f4
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x78c
Startzeit der fehlerhaften Anwendung: 0x01d1fc4af02bcbe7
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 48faf230-6847-11e6-bc5f-206a8a13181f
Error: (07/28/2016 07:49:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Name des fehlerhaften Moduls: RGMLoader.exe, Version: 3.0.0.0, Zeitstempel: 0x547c90cc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000027d7
ID des fehlerhaften Prozesses: 0x678
Startzeit der fehlerhaften Anwendung: 0x01d1e8f86a9a29aa
Pfad der fehlerhaften Anwendung: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Pfad des fehlerhaften Moduls: C:\Users\Laptop\AppData\Local\RGMService\RGMLoader.exe
Berichtskennung: ae5b787c-54eb-11e6-a382-206a8a13181f
Error: (07/12/2016 11:34:07 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x7d0
Startzeit der fehlerhaften Anwendung: 0x01d1dc1a9567b2d8
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: c74cfd67-4813-11e6-aeb5-206a8a13181f
Error: (07/04/2016 09:11:42 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: ReiGuard.exe, Version: 2.0.1.0, Zeitstempel: 0x57483b4b
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18869, Zeitstempel: 0x556366f2
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bfc22
ID des fehlerhaften Prozesses: 0x788
Startzeit der fehlerhaften Anwendung: 0x01d1d5c14997cce0
Pfad der fehlerhaften Anwendung: C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 8edcc2c6-41b6-11e6-9920-206a8a13181f
Error: (05/18/2016 11:44:08 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x1ac
Startzeit der fehlerhaften Anwendung: 0x01d1b0e9d1db687d
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 10bd8d51-1cdd-11e6-9beb-206a8a13181f
Error: (05/18/2016 11:16:12 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: thunderbird.exe, Version: 17.0.3.4794, Zeitstempel: 0x511ecd0a
Name des fehlerhaften Moduls: xul.dll, Version: 17.0.3.4794, Zeitstempel: 0x511ecc4c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x009c4677
ID des fehlerhaften Prozesses: 0x990
Startzeit der fehlerhaften Anwendung: 0x01d1b0e5e9f0f285
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Mozilla Thunderbird\xul.dll
Berichtskennung: 29db5017-1cd9-11e6-9beb-206a8a13181f
Systemfehler:
=============
Error: (10/06/2016 08:36:26 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
Neue Signaturversion:
Vorherige Signaturversion: 1.229.937.0
Aktualisierungsquelle: Microsoft Update Server
Aktualisierungsphase: Suchen
Quellpfad: Default URL
Signaturtyp: AntiVirus
Aktualisierungstyp: Vollständig
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion:
Vorherige Modulversion: 1.1.13103.0
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen
Error: (10/06/2016 08:35:56 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/06/2016 08:35:56 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: Der Server "{E60687F7-01A1-40AA-86AC-DB1CBF673334}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
Error: (10/06/2016 08:35:26 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/06/2016 08:27:28 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/06/2016 08:25:16 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "WinDefend" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/06/2016 08:01:02 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )
Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
Neue Signaturversion:
Vorherige Signaturversion: 1.229.937.0
Aktualisierungsquelle: Microsoft Update Server
Aktualisierungsphase: Suchen
Quellpfad: Default URL
Signaturtyp: AntiVirus
Aktualisierungstyp: Vollständig
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion:
Vorherige Modulversion: 1.1.13103.0
Fehlercode: 0x80080005
Fehlerbeschreibung: Starten des Servers fehlgeschlagen
Error: (10/06/2016 08:00:32 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Error: (10/06/2016 08:00:32 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: Der Server "{E60687F7-01A1-40AA-86AC-DB1CBF673334}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
Error: (10/06/2016 08:00:02 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "wuauserv" wurde mit folgendem Fehler beendet:
Zugriff verweigert
CodeIntegrity:
===================================
Date: 2016-10-05 18:51:46.976
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
Date: 2016-10-05 18:51:46.711
Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
==================== Speicherinformationen ===========================
Prozessor: AMD Athlon(tm) II P320 Dual-Core Processor
Prozentuale Nutzung des RAM: 41%
Installierter physikalischer RAM: 3838.17 MB
Verfügbarer physikalischer RAM: 2255.86 MB
Summe virtueller Speicher: 7674.55 MB
Verfügbarer virtueller Speicher: 5866.32 MB
==================== Laufwerke ================================
Drive c: (ACER) (Fixed) (Total:452.97 GB) (Free:181.35 GB) NTFS
Drive d: (BC_SWINGSTICK) (CDROM) (Total:1.98 GB) (Free:0 GB) CDFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: B0AFB0AF)
Partition 1: (Not Active) - (Size=12.7 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=453 GB) - (Type=07 NTFS)
==================== Ende von Addition.txt ============================
|
|
07.10.2016, 14:48
| #10 | |
| /// TB-Ausbilder /// Anleitungs-Guru | Undelivererd Mails-Spam --- Account gehackt?Zitat:
Schritt 1  Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code:
ATTFilter CloseProcesses:
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Laptop\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
File: C:\Windows\xvuswyixdczp.exe
File: C:\Windows\basgnyx.exe
C:\Windows\xvuswyixdczp.exe
C:\Windows\basgnyx.exe
C:\zfviidesoofsyc
File: "C:\Users\Laptop\AppData\Roaming\WHService\wh.exe"
C:\Users\Laptop\AppData\Roaming\WHService\
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung
BHO: Kein Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Keine Datei
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => Keine Datei
BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Keine Datei
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
Toolbar: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
FF Extension: (Kein Name) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\nostmp [2012-03-05] [ist nicht signiert]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-common.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-sync.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-branding.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-l10n.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\webide-prefs.js [2016-02-01]
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Laptop\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
Nach dem Reboot: Schritt 2 Bitte starte FRST erneut, und drücke auf Untersuchen. Bitte poste mir den Inhalt des Logs.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
08.10.2016, 12:36
| #11 |
| | Undelivererd Mails-Spam --- Account gehackt? FRST Fixlog.txt Code:
ATTFilter Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 03-10-2016
durchgeführt von Laptop (08-10-2016 13:10:27) Run:1
Gestartet von C:\Users\Laptop\Desktop\Virenscan Trojanerboard
Geladene Profile: Laptop (Verfügbare Profile: Laptop)
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
CloseProcesses:
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Laptop\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
File: C:\Windows\xvuswyixdczp.exe
File: C:\Windows\basgnyx.exe
C:\Windows\xvuswyixdczp.exe
C:\Windows\basgnyx.exe
C:\zfviidesoofsyc
File: "C:\Users\Laptop\AppData\Roaming\WHService\wh.exe"
C:\Users\Laptop\AppData\Roaming\WHService\
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung
BHO: Kein Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Keine Datei
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => Keine Datei
BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Keine Datei
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
Toolbar: HKU\S-1-5-21-4174298957-1578369079-2285695161-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
FF Extension: (Kein Name) - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\nostmp [2012-03-05] [ist nicht signiert]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-common.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\services-sync.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-branding.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-l10n.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js [2016-02-01]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\webide-prefs.js [2016-02-01]
R2 Parental SNMP PC Update Driver Counter; C:\Windows\xvuswyixdczp.exe [1089536 2016-05-27] () [Datei ist nicht signiert]
R2 WHService; C:\Users\Laptop\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [Datei ist nicht signiert]
S2 Removal Class Background Engine Authentication; C:\zfviidesoofsyc\hdimulucyorc.exe [X]
*****************
Prozess erfolgreich geschlossen.
Parental SNMP PC Update Driver Counter => Dienst erfolgreich entfernt
WHService => Dienst erfolgreich entfernt
Removal Class Background Engine Authentication => Dienst erfolgreich entfernt
========================= File: C:\Windows\xvuswyixdczp.exe ========================
Datei ist nicht signiert
MD5: BF742915A224F766892FF0A181B42513
Erstellungs- und Änderungsdatum: 2016-05-06 21:02 - 2016-05-27 12:33
Größe: 1089536
Attribute: ----H
Firmenname:
Interne Name:
Original Name:
Produkt:
Beschreibung:
Datei Version:
Produkt Version:
Urheberrecht:
====== Ende von File: ======
========================= File: C:\Windows\basgnyx.exe ========================
Datei ist nicht signiert
MD5: BF742915A224F766892FF0A181B42513
Erstellungs- und Änderungsdatum: 2016-05-06 21:02 - 2016-05-27 12:33
Größe: 1089536
Attribute: ----H
Firmenname:
Interne Name:
Original Name:
Produkt:
Beschreibung:
Datei Version:
Produkt Version:
Urheberrecht:
====== Ende von File: ======
C:\Windows\xvuswyixdczp.exe => erfolgreich verschoben
C:\Windows\basgnyx.exe => erfolgreich verschoben
C:\zfviidesoofsyc => erfolgreich verschoben
========================= File: "C:\Users\Laptop\AppData\Roaming\WHService\wh.exe" ========================
Datei ist nicht signiert
MD5: 681605A644D93853B6DCAD2FB0B759C0
Erstellungs- und Änderungsdatum: 2014-12-06 10:36 - 2014-10-15 09:10
Größe: 0628736
Attribute: ----A
Firmenname:
Interne Name:
Original Name:
Produkt:
Beschreibung: TX
Datei Version: 5.0.0.0
Produkt Version: 1.0.0.0
Urheberrecht:
====== Ende von File: ======
C:\Users\Laptop\AppData\Roaming\WHService => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Schlüssel erfolgreich entfernt
"HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB} => Schlüssel nicht gefunden.
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0E8A89AD-95D7-40EB-8D9D-083EF7066A01}" => Schlüssel erfolgreich entfernt
"HKCR\Wow6432Node\CLSID\{0E8A89AD-95D7-40EB-8D9D-083EF7066A01}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}" => Schlüssel erfolgreich entfernt
"HKCR\Wow6432Node\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}" => Schlüssel erfolgreich entfernt
HKCR\Wow6432Node\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB} => Schlüssel nicht gefunden.
HKU\S-1-5-21-4174298957-1578369079-2285695161-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Wert erfolgreich entfernt
HKCR\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Schlüssel nicht gefunden.
C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\fk0dzijz.default\Extensions\nostmp => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\defaults\pref\services-common.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\defaults\pref\services-sync.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-branding.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox-l10n.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\firefox.js => erfolgreich verschoben
C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\webide-prefs.js => erfolgreich verschoben
Parental SNMP PC Update Driver Counter => Dienst nicht gefunden.
WHService => Dienst nicht gefunden.
Removal Class Background Engine Authentication => Dienst nicht gefunden.
Das System musste neu gestartet werden.
==== Ende von Fixlog 13:11:22 ====
|
|
08.10.2016, 14:14
| #12 |
| /// TB-Ausbilder /// Anleitungs-Guru | Undelivererd Mails-Spam --- Account gehackt? Tja, hätte gerne weiter gemacht. Aber ohne Schritt 2...
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
| Themen zu Undelivererd Mails-Spam --- Account gehackt? |
| account, anleitung, benötige, bereits, dankbar, dringend, ebenfalls, empfänger, freundin, gehackt, geschickt, geändert, heute, korrekt, laufend, leitung, nachrichten, passwort, problem, software, spam, tagen, thema, win, worte |
Linear-Darstellung
