Verschlüselungstrojaner Dateiname.[amagnus@india.com]

Akcent · 03.12.2016, 07:15

Hallo,

ich bin neu hier und habe ein System das von einer Malware befallen ist.
Es geht um zwei Server.

Im Explorer wurden viele Datendateien einer Freigabe mit der Endung [amagnus@india.com].Wallet verschlüsselt. Datensicherung ist vorhanden.

Ich habe mit allen bekannten Scanner die Server gescannt und keiner hat etwas gefunden
- Malwarebyte
- ESET
- Sophos
- Spyhunter
- TrendMicro Online-Scanner
- EMISOFT Emsisoft Emergency Kit
- AdwCleaner

Die Systeme laufen selbst ohne Fehler und starten auch ohne irgendwelche Fenster oder Popups.

Wenn ich aber aus der Acronis-Sicherung Daten wieder herstelle, werden diese erneut mit zufälligen Endungen abgelegt / verschlüsselt.
Im Backup-Container sind aber alle Daten ohne verschlüsselte Endung / Dateinamen.

Hier die OTL-Logs

Code:

ATTFilter

OTL logfile created on: 03.12.2016 06:34:52 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\administrator.Domainname\Downloads
64bit- Server Standard Edition (full installation) Service Pack 1 (Version = 6.1.7601) - Type = NTDomainController
Internet Explorer (Version = 9.11.9600.18524)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,99 Gb Total Physical Memory | 2,17 Gb Available Physical Memory | 54,36% Memory free
7,98 Gb Paging File | 5,87 Gb Available in Paging File | 73,60% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,01 Gb Total Space | 7,12 Gb Free Space | 14,83% Space Free | Partition Type: NTFS
Drive D: | 184,84 Gb Total Space | 108,37 Gb Free Space | 58,63% Space Free | Partition Type: NTFS
 
Computer Name: SERVER2 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\administrator.Domainname\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Norman\ngs\bin\nprosec.exe (AVG Technologies Norway AS)
PRC - c:\AMS\appserver\AMSAppServer.EXE ()
PRC - C:\Programme\Norman\Npm\Bin\zanda.exe (Norman Safeground AS)
PRC - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Desktop.exe (TeamViewer GmbH)
PRC - c:\program files (x86)\teamviewer\version8\TeamViewer.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\TeamViewer\Version8\tv_w32.exe (TeamViewer GmbH)
PRC - C:\Programme\Norman\Npm\Bin\nfservice.exe (Norman Safeground AS)
PRC - C:\Programme\Norman\Npm\Bin\njeeves2.exe ()
PRC - C:\Programme\Norman\Npm\Bin\zlh.exe (Norman Safeground AS)
PRC - C:\Programme\Norman\Npm\Bin\zlhh.exe (Norman Safeground AS)
PRC - C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProTray.exe (Symantec Corporation)
PRC - C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe (Symantec Corporation)
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (NormanZfr) -- C:\Program Files\Norman\Npm\Bin\zfr.exe File not found
SRV:64bit: - (IEEtwCollectorService) -- C:\Windows\SysNative\IEEtwCollector.exe (Microsoft Corporation)
SRV:64bit: - (DiagTrack) -- C:\Windows\SysNative\diagtrack.dll (Microsoft Corporation)
SRV:64bit: - (DNS) -- C:\Windows\SysNative\dns.exe (Microsoft Corporation)
SRV:64bit: - (SNMP) -- C:\Windows\SysNative\snmp.exe (Microsoft Corporation)
SRV:64bit: - (NtFrs) -- C:\Windows\SysNative\ntfrs.exe (Microsoft Corporation)
SRV:64bit: - (IsmServ) -- C:\Windows\SysNative\ismserv.exe (Microsoft Corporation)
SRV:64bit: - (DFSR) -- C:\Windows\SysNative\dfsrs.exe (Microsoft Corporation)
SRV:64bit: - (Dfs) -- C:\Windows\SysNative\dfssvc.exe (Microsoft Corporation)
SRV:64bit: - (sysdown) -- C:\Windows\SysNative\sysdown.exe (Hewlett-Packard Company)
SRV:64bit: - (CqMgServ) -- C:\Windows\SysNative\CpqMgmt\cqmgserv\cqmgserv.exe (Hewlett-Packard Company)
SRV:64bit: - (CIMnotify) -- C:\Windows\SysNative\CIMntfy\cimntfy.exe (Hewlett-Packard Company)
SRV:64bit: - (CqMgHost) -- C:\Windows\SysNative\CpqMgmt\cqmghost\cqmghost.exe (Hewlett-Packard Company)
SRV:64bit: - (CpqNicMgmt) -- C:\Windows\SysNative\CPQNiMgt\cpqnimgt.exe (Hewlett-Packard Company)
SRV:64bit: - (CqMgStor) -- C:\Windows\SysNative\CpqMgmt\cqmgstor\cqmgstor.exe (Hewlett-Packard Company)
SRV:64bit: - (sacsvr) -- C:\Windows\SysNative\sacsvr.dll (Microsoft Corporation)
SRV:64bit: - (FCRegSvc) -- C:\Windows\SysNative\FCRegSvc.dll (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV:64bit: - (RSoPProv) -- C:\Windows\SysNative\rsopprov.exe (Microsoft Corporation)
SRV - (NPROSECSVC) -- C:\Programme\Norman\ngs\bin\nprosec.exe (AVG Technologies Norway AS)
SRV - (nseupdatesvc) -- C:\Programme\Norman\nse\bin\nseupdatesvc.exe (AVG Technologies Norway AS)
SRV - (AMS Application Server) -- c:\AMS\appserver\AMSAppServer.EXE ()
SRV - (Norman ZANDA) -- C:\Programme\Norman\Npm\Bin\zanda.exe (Norman Safeground AS)
SRV - (TeamViewer8) -- C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (nvcsvc) -- C:\Programme\Norman\nvc\bin\nvcsvc.exe (Norman Safeground AS)
SRV - (nfservice) -- C:\Programme\Norman\Npm\Bin\nfservice.exe (Norman Safeground AS)
SRV - (NJeeves2) -- C:\Programme\Norman\Npm\Bin\njeeves2.exe ()
SRV - (NVOY) -- C:\Programme\Norman\Npm\Bin\nvoy.exe (Norman Safeground AS)
SRV - (Scheduler) -- C:\Programme\Norman\Npm\Bin\scheduler.exe (Norman Safeground AS)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (ADWS) -- C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe (Microsoft Corporation)
SRV - (Norman NJeeves) -- C:\Programme\Norman\Npm\Bin\njeeves.exe ()
SRV - (PDVFSService) -- C:\Programme\Symantec\Backup Exec\RAWS\PDVFSService.exe ()
SRV - (BackupExecAgentAccelerator) -- C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe (Symantec Corporation)
SRV - (bedbg) -- C:\Programme\Symantec\Backup Exec\RAWS\bedbg.exe (Symantec Corporation)
SRV - (SNMP) -- C:\Windows\SysWOW64\snmp.exe (Microsoft Corporation)
SRV - (Backup Exec System Recovery) -- C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe (Symantec Corporation)
SRV - (SymSnapService) -- C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Shared\Drivers\SymSnapServicex64.exe (Symantec)
SRV - (GenericMount Helper Service) -- C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Shared\Drivers\GenericMountHelperx64.exe (Symantec)
SRV - (SysMgmtHp) -- C:\hp\hpsmh\bin\smhstart.exe (Hewlett-Packard Company)
SRV - (Cissesrv) -- C:\Programme\HP\Cissesrv\cissesrv.exe (Hewlett-Packard Company)
SRV - (LiveUpdate) -- C:\PROGRA~2\Symantec\LIVEUP~1\LUCOMS~1.EXE (Symantec Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (Trufos) -- C:\Windows\SysNative\drivers\Trufos.sys (BitDefender S.R.L.)
DRV:64bit: - (PDVFSNP) -- C:\Windows\SysNative\PDVFSNP.dll ()
DRV:64bit: - (PDVFSDriver) -- C:\Windows\SysNative\drivers\pdfsd.sys (Symantec Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (VirtFile) -- C:\Windows\SysNative\drivers\VirtFile.sys (Symantec Corporation)
DRV:64bit: - (NNetSecL) -- C:\Windows\SysNative\drivers\nnetsecl64.sys (Norman ASA)
DRV:64bit: - (vstor2-mntapi10-shared) -- C:\Windows\SysNative\drivers\vstor2-mntapi10-shared.sys (VMware, Inc.)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (DfsrRo) -- C:\Windows\SysNative\drivers\dfsrro.sys (Microsoft Corporation)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (storvsp) -- C:\Windows\SysNative\drivers\storvsp.sys (Microsoft Corporation)
DRV:64bit: - (Vid) -- C:\Windows\SysNative\drivers\Vid.sys (Microsoft Corporation)
DRV:64bit: - (WimFltr) -- C:\Windows\SysNative\drivers\WimFltr.sys (Microsoft Corporation)
DRV:64bit: - (symsnap) -- C:\Windows\SysNative\drivers\symsnap.sys (StorageCraft)
DRV:64bit: - (hpqmgmt) -- C:\Windows\SysNative\drivers\hpqmgmt.sys (Hewlett-Packard Company)
DRV:64bit: - (GenericMount) -- C:\Windows\SysNative\drivers\GenericMount.sys (Symantec Corporation)
DRV:64bit: - (q57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (HpAHCIsr) -- C:\Windows\SysNative\drivers\HpAHCIsr.sys (Hewlett-Packard Company)
DRV:64bit: - (VProEventMonitor) -- C:\Windows\SysNative\drivers\vproeventmonitor.sys (Symantec Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (DfsDriver) -- C:\Windows\SysNative\drivers\dfs.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (sacdrv) -- C:\Windows\SysNative\drivers\sacdrv.sys (Microsoft Corporation)
DRV:64bit: - (ioatdma) -- C:\Windows\SysNative\drivers\qd260x64.sys (Intel Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV - (NGS) -- c:\Programme\Norman\ngs\bin\ngs64.sys (Norman Safeground AS)
DRV - (NPROSEC) -- C:\Programme\Norman\ngs\bin\nprosec64.sys (AVG Technologies Norway AS)
DRV - (nregsec) -- C:\Programme\Norman\ngs\bin\nregsec64.sys (AVG Technologies Norway AS)
DRV - (gzflt) -- C:\Programme\Norman\nvc\bin\gzflt.sys (BitDefender LLC)
DRV - (NNetSecC) -- C:\Programme\Norman\ngs\bin\nnetsecc64.sys (Norman Safeground AS)
DRV - (PDVFSNP) -- C:\Windows\SysWow64\PDVFSNP.dll ()
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = 
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\..\SearchScopes,DefaultScope = {C4239649-52D1-4D2A-9AB2-294B32E9D6B3}
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\..\SearchScopes\{C4239649-52D1-4D2A-9AB2-294B32E9D6B3}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4 - HKLM..\Run: [Norman ZANDA] C:\Program Files\Norman\Npm\Bin\ZLH.EXE (Norman Safeground AS)
O4 - HKLM..\Run: [Symantec Backup Exec System Recovery 2010] C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProTray.exe (Symantec Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Domainname.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{02A12D16-8603-4888-9335-7074A7FA7036}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O29:64bit: - HKLM SecurityProviders - (pwdssp.dll) -  File not found
O29 - HKLM SecurityProviders - (pwdssp.dll) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2016.12.02 22:47:30 | 000,000,000 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2016.12.02 22:47:12 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\Start Menu
[2016.12.02 22:21:30 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2016.12.02 22:09:28 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\appmgmt
[2016.12.02 21:42:43 | 000,000,000 | ---D | C] -- C:\EEK
[2016.12.02 17:01:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Sophos
[2016.12.02 16:34:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2016.12.02 16:34:23 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\AppData\Local\Programs
[2016.11.09 12:26:40 | 006,047,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2016.11.09 12:26:39 | 005,547,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2016.11.09 12:26:39 | 001,462,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\lsasrv.dll
[2016.11.09 12:26:39 | 001,386,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\diagtrack.dll
[2016.11.09 12:26:39 | 000,041,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\UtcResources.dll
[2016.11.09 12:26:38 | 003,944,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntoskrnl.exe
[2016.11.09 12:26:38 | 002,055,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2016.11.09 12:26:38 | 001,732,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdll.dll
[2016.11.09 12:26:38 | 001,359,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmlmedia.dll
[2016.11.09 12:26:38 | 001,155,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmlmedia.dll
[2016.11.09 12:26:38 | 000,756,736 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\win32spl.dll
[2016.11.09 12:26:38 | 000,706,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winload.efi
[2016.11.09 12:26:38 | 000,631,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winresume.efi
[2016.11.09 12:26:38 | 000,382,696 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysNative\atmfd.dll
[2016.11.09 12:26:38 | 000,221,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\UIAnimation.dll
[2016.11.09 12:26:38 | 000,187,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\UIAnimation.dll
[2016.11.09 12:26:37 | 004,000,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntkrnlpa.exe
[2016.11.09 12:26:37 | 002,131,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2016.11.09 12:26:37 | 001,148,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\IMJP10.IME
[2016.11.09 12:26:37 | 001,068,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msctf.dll
[2016.11.09 12:26:37 | 000,968,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MsSpellCheckingFacility.exe
[2016.11.09 12:26:37 | 000,878,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\IMJP10K.DLL
[2016.11.09 12:26:37 | 000,806,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2016.11.09 12:26:37 | 000,725,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe
[2016.11.09 12:26:37 | 000,497,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\win32spl.dll
[2016.11.09 12:26:37 | 000,308,456 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\atmfd.dll
[2016.11.09 12:26:37 | 000,176,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\tintlgnt.ime
[2016.11.09 12:26:37 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\quick.ime
[2016.11.09 12:26:37 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\qintlgnt.ime
[2016.11.09 12:26:37 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\phon.ime
[2016.11.09 12:26:37 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cintlgnt.ime
[2016.11.09 12:26:37 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\chajei.ime
[2016.11.09 12:26:37 | 000,132,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\pintlgnt.ime
[2016.11.09 12:26:37 | 000,126,976 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\tintlgnt.ime
[2016.11.09 12:26:37 | 000,125,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\cintlgnt.ime
[2016.11.09 12:26:37 | 000,090,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\pintlgnt.ime
[2016.11.09 12:26:36 | 001,027,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\IMJP10.IME
[2016.11.09 12:26:36 | 000,877,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\oleaut32.dll
[2016.11.09 12:26:36 | 000,701,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\IMJP10K.DLL
[2016.11.09 12:26:36 | 000,457,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\imkr80.ime
[2016.11.09 12:26:36 | 000,246,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\input.dll
[2016.11.09 12:26:36 | 000,202,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\input.dll
[2016.11.09 12:26:36 | 000,125,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\quick.ime
[2016.11.09 12:26:35 | 000,615,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2016.11.09 12:26:35 | 000,489,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtmsft.dll
[2016.11.09 12:26:35 | 000,463,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\certcli.dll
[2016.11.09 12:26:35 | 000,430,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\imkr80.ime
[2016.11.09 12:26:35 | 000,342,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\certcli.dll
[2016.11.09 12:26:35 | 000,315,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll
[2016.11.09 12:26:35 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msrating.dll
[2016.11.09 12:26:35 | 000,168,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msrating.dll
[2016.11.09 12:26:35 | 000,125,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\qintlgnt.ime
[2016.11.09 12:26:35 | 000,125,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\phon.ime
[2016.11.09 12:26:35 | 000,125,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\chajei.ime
[2016.11.09 12:26:35 | 000,092,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2016.11.09 12:26:35 | 000,076,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2016.11.09 12:26:35 | 000,066,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iesetup.dll
[2016.11.09 12:26:35 | 000,064,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MshtmlDac.dll
[2016.11.09 12:26:34 | 000,814,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9diag.dll
[2016.11.09 12:26:34 | 000,620,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript9diag.dll
[2016.11.09 12:26:34 | 000,476,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2016.11.09 12:26:34 | 000,417,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec
[2016.11.09 12:26:34 | 000,341,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec
[2016.11.09 12:26:34 | 000,152,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\occache.dll
[2016.11.09 12:26:34 | 000,144,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2016.11.09 12:26:34 | 000,130,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\occache.dll
[2016.11.09 12:26:34 | 000,115,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2016.11.09 12:26:34 | 000,107,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inseng.dll
[2016.11.09 12:26:34 | 000,062,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iesetup.dll
[2016.11.09 12:26:34 | 000,034,304 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iernonce.dll
[2016.11.09 12:26:33 | 001,212,928 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rpcrt4.dll
[2016.11.09 12:26:33 | 001,163,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\kernel32.dll
[2016.11.09 12:26:33 | 000,880,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\advapi32.dll
[2016.11.09 12:26:33 | 000,817,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2016.11.09 12:26:33 | 000,800,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll
[2016.11.09 12:26:33 | 000,710,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll
[2016.11.09 12:26:33 | 000,663,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2016.11.09 12:26:33 | 000,576,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2016.11.09 12:26:33 | 000,419,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\KernelBase.dll
[2016.11.09 12:26:33 | 000,362,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64win.dll
[2016.11.09 12:26:33 | 000,338,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\conhost.exe
[2016.11.09 12:26:33 | 000,312,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ncrypt.dll
[2016.11.09 12:26:33 | 000,243,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64.dll
[2016.11.09 12:26:33 | 000,215,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winsrv.dll
[2016.11.09 12:26:33 | 000,190,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rpchttp.dll
[2016.11.09 12:26:33 | 000,148,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\appidpolicyconverter.exe
[2016.11.09 12:26:33 | 000,141,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\rpchttp.dll
[2016.11.09 12:26:33 | 000,135,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\sspicli.dll
[2016.11.09 12:26:33 | 000,114,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieetwcollector.exe
[2016.11.09 12:26:33 | 000,112,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\smss.exe
[2016.11.09 12:26:33 | 000,100,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\fontsub.dll
[2016.11.09 12:26:33 | 000,091,136 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inseng.dll
[2016.11.09 12:26:33 | 000,088,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MshtmlDac.dll
[2016.11.09 12:26:33 | 000,084,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\INETRES.dll
[2016.11.09 12:26:33 | 000,077,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\JavaScriptCollectionAgent.dll
[2016.11.09 12:26:33 | 000,070,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\fontsub.dll
[2016.11.09 12:26:33 | 000,064,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\auditpol.exe
[2016.11.09 12:26:33 | 000,063,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\setbcdlocale.dll
[2016.11.09 12:26:33 | 000,060,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\JavaScriptCollectionAgent.dll
[2016.11.09 12:26:33 | 000,059,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\appidapi.dll
[2016.11.09 12:26:33 | 000,050,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\appidapi.dll
[2016.11.09 12:26:33 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieetwproxystub.dll
[2016.11.09 12:26:33 | 000,047,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieetwproxystub.dll
[2016.11.09 12:26:33 | 000,046,080 | ---- | C] (Adobe Systems) -- C:\Windows\SysNative\atmlib.dll
[2016.11.09 12:26:33 | 000,044,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\csrsrv.dll
[2016.11.09 12:26:33 | 000,043,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cryptbase.dll
[2016.11.09 12:26:33 | 000,041,472 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\lpk.dll
[2016.11.09 12:26:33 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\SysWow64\atmlib.dll
[2016.11.09 12:26:33 | 000,030,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iernonce.dll
[2016.11.09 12:26:33 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\sspisrv.dll
[2016.11.09 12:26:33 | 000,028,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secur32.dll
[2016.11.09 12:26:33 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntvdm64.dll
[2016.11.09 12:26:33 | 000,014,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dciman32.dll
[2016.11.09 12:26:33 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64cpu.dll
[2016.11.09 12:26:33 | 000,004,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieetwcollectorres.dll
[2016.11.09 12:26:32 | 000,690,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\adtschema.dll
[2016.11.09 12:26:32 | 000,690,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\adtschema.dll
[2016.11.09 12:26:32 | 000,146,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msaudite.dll
[2016.11.09 12:26:32 | 000,146,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msaudite.dll
[2016.11.09 12:26:32 | 000,060,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msobjs.dll
[2016.11.09 12:26:32 | 000,060,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msobjs.dll
[2016.11.09 12:26:32 | 000,050,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\auditpol.exe
[2016.11.09 12:26:32 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\setup16.exe
[2016.11.09 12:26:32 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\appidcertstorecheck.exe
[2016.11.09 12:26:32 | 000,014,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntvdm64.dll
[2016.11.09 12:26:32 | 000,007,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\instnm.exe
[2016.11.09 12:26:32 | 000,006,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\apisetschema.dll
[2016.11.09 12:26:32 | 000,006,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\apisetschema.dll
[2016.11.09 12:26:32 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
[2016.11.09 12:26:32 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-security-base-l1-1-0.dll
[2016.11.09 12:26:32 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
[2016.11.09 12:26:32 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-file-l1-1-0.dll
[2016.11.09 12:26:32 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wow32.dll
[2016.11.09 12:26:32 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-threadpool-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processthreads-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-sysinfo-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-synch-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localregistry-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
[2016.11.09 12:26:32 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localization-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-rtlsupport-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processenvironment-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-namedpipe-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-misc-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-memory-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-libraryloader-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-heap-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-xstate-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-util-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-string-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-profile-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-io-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-interlocked-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-handle-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-fibers-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-errorhandling-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-delayload-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-debug-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-datetime-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
[2016.11.09 12:26:32 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-console-l1-1-0.dll
[2016.11.09 12:26:32 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\user.exe
 
========== Files - Modified Within 30 Days ==========
 
[2016.12.03 06:10:29 | 000,014,816 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2016.12.03 06:10:29 | 000,014,816 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2016.12.03 06:09:21 | 001,775,448 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2016.12.03 06:09:21 | 000,759,138 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2016.12.03 06:09:21 | 000,711,290 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2016.12.03 06:09:21 | 000,168,328 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2016.12.03 06:09:21 | 000,139,252 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2016.12.03 06:02:41 | 000,008,492 | RHS- | M] () -- C:\ProgramData\ntuser.pol
[2016.12.03 06:01:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2016.12.03 05:59:31 | 000,004,096 | -HS- | M] () -- C:\VSNAP.IDX
[2016.12.03 00:13:50 | 000,198,275 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\census.cache
[2016.12.03 00:13:47 | 000,067,672 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\ars.cache
[2016.12.03 00:04:17 | 000,000,036 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\housecall.guid.cache
[2016.12.02 22:47:30 | 000,000,000 | ---- | M] () -- C:\autoexec.bat
[2016.11.10 08:52:09 | 000,007,607 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\Resmon.ResmonCfg
[2016.11.10 03:24:51 | 000,267,816 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
 
========== Files Created - No Company Name ==========
 
[2016.12.03 00:13:50 | 000,198,275 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\census.cache
[2016.12.03 00:13:47 | 000,067,672 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\ars.cache
[2016.12.03 00:04:17 | 000,000,036 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\housecall.guid.cache
[2016.12.02 22:47:30 | 000,000,000 | ---- | C] () -- C:\autoexec.bat
[2016.11.10 08:52:09 | 000,007,607 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\Resmon.ResmonCfg
[2016.02.10 17:08:43 | 000,000,777 | ---- | C] () -- C:\Windows\ODBCINST.INI
[2016.02.10 17:08:43 | 000,000,288 | ---- | C] () -- C:\Windows\ODBC.INI
[2010.12.06 18:46:51 | 000,008,492 | RHS- | C] () -- C:\ProgramData\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:58:08 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015.08.06 19:04:07 | 014,176,768 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015.08.06 18:44:51 | 012,875,776 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
 
========== Purity Check ==========
 
 

< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 03.12.2016 06:34:52 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\administrator.domainname\Downloads
64bit- Server Standard Edition (full installation) Service Pack 1 (Version = 6.1.7601) - Type = NTDomainController
Internet Explorer (Version = 9.11.9600.18524)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,99 Gb Total Physical Memory | 2,17 Gb Available Physical Memory | 54,36% Memory free
7,98 Gb Paging File | 5,87 Gb Available in Paging File | 73,60% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,01 Gb Total Space | 7,12 Gb Free Space | 14,83% Space Free | Partition Type: NTFS
Drive D: | 184,84 Gb Total Space | 108,37 Gb Free Space | 58,63% Space Free | Partition Type: NTFS
 
Computer Name: SERVER2 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Value error.
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 1
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{055663CE-6A15-4113-9B62-8245E99519C9}" = rport=138 | protocol=17 | dir=out | app=system | 
"{05635F95-D6F3-4ED4-903D-61DAC66FFC7D}" = lport=138 | protocol=17 | dir=in | app=system | 
"{124A6957-DC9C-4610-9CAF-C9094E479650}" = lport=445 | protocol=6 | dir=in | app=system | 
"{14C0AA13-3713-4EA1-8C75-1AD76CAD5FE0}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{1DBD288F-33F1-4139-8473-1B3B2F1CD0C3}" = lport=2868 | protocol=6 | dir=in | name=norman | 
"{20EC7E99-4042-4D5C-A77B-B34C6C75AD96}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{24F40DFC-1837-46C9-8B2B-5C3B257F9884}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{2B1A76D5-CDE2-4A38-9A18-3A19918FCFF0}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{2E56DC19-BE89-4E7B-A281-B606A2E6CF53}" = rport=137 | protocol=17 | dir=out | app=system | 
"{35FE905B-4393-424C-90A6-A557DDCEBE83}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{435DC337-AAFE-45F8-B26A-213A2A3FB84F}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{43CF385D-CD8B-48D7-8852-97142762FE83}" = lport=138 | protocol=17 | dir=in | app=system | 
"{442446ED-9E67-46E5-BBE8-5BA6F10F6D31}" = lport=137 | protocol=17 | dir=in | app=system | 
"{4CB0A81F-3208-4932-832B-A41C782A75E8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{53288DC6-47E5-4B1A-8DAB-B48F752F92FC}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{59C9D28B-B75A-4194-BABE-483112D33EFF}" = lport=2868 | protocol=6 | dir=in | name=norman | 
"{5C6CBF5D-B59E-4304-9B7E-9A59EF4D427A}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{5EE57F27-0B8B-41BB-AB4F-362A147A852D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{5FC10885-2B0A-4524-AE18-85E58917BB11}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{6BC9938D-BABC-4CEA-BC92-517466DEC849}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{6E41EF9C-A707-4C30-B728-67BC2331E960}" = lport=137 | protocol=17 | dir=in | app=system | 
"{6EC6EE50-EAA1-4680-8688-A5DF17B964F8}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{7006A105-139C-4B4D-AB9A-61ACC115FA42}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{78571D8A-7C9A-410C-85A6-FFF133E8ED3E}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{8562DABA-7DD5-435A-90E4-0B212DD0E8FB}" = rport=138 | protocol=17 | dir=out | app=system | 
"{86B04056-C4CD-4926-B612-9D3310ACA9D9}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{89EDA5AA-AB7F-4925-8AC8-361C0F9FFBB5}" = rport=445 | protocol=6 | dir=out | app=system | 
"{8AAC8674-F719-427E-B48B-736F24D11AD0}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{8B76BF62-852F-4F7B-8C95-DBBCEC65AB22}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{97BECBBE-7179-449B-8656-A3A13226DF4D}" = lport=445 | protocol=6 | dir=in | app=system | 
"{A5D963AC-0BE8-48E5-AFF5-2E348F0552C1}" = lport=138 | protocol=17 | dir=in | app=system | 
"{AB58F88C-0B59-41CD-AFE1-DA26248A8BB3}" = lport=139 | protocol=6 | dir=in | app=system | 
"{AF1C57C2-F992-4E2E-9E43-B60654F98EFB}" = rport=137 | protocol=17 | dir=out | app=system | 
"{B7C0B60F-4489-46DC-9144-C1C6969B62C8}" = rport=445 | protocol=6 | dir=out | app=system | 
"{BE84B849-23F4-4217-952E-5BB709FCA506}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{D813223B-7A30-4A2A-8203-E8FAF9E994EF}" = lport=137 | protocol=17 | dir=in | app=system | 
"{DBAA4ACB-AA9A-4373-BD7A-03C2AAB9EF58}" = lport=139 | protocol=6 | dir=in | app=system | 
"{DFE13A52-8CAC-4597-9CF0-FFEF1EB828B4}" = rport=138 | protocol=17 | dir=out | app=system | 
"{E6CBCCA2-0D60-43F8-8BAB-C526B951E208}" = rport=137 | protocol=17 | dir=out | app=system | 
"{E6DA9DEF-DEF3-4DAD-B64C-A701D2217F7C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{EFE33E95-8A03-48C6-AD29-05BDE1F7158F}" = rport=139 | protocol=6 | dir=out | app=system | 
"{F42EA63F-8C8A-46BE-A403-309A4CB3D38C}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{F9E607AF-FE0D-46DF-9BF9-C3BC67DFF062}" = rport=139 | protocol=6 | dir=out | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0949BA63-C09E-46F8-ADF7-F60C5416103B}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{1482A13E-1E35-4AD9-83F3-A0F1DB22AFCB}" = protocol=58 | dir=in | name=datei- und druckerfreigabe (echoanforderung - icmpv6 eingehend) | 
"{23EF98D6-A4C7-4C1A-A3A7-52A9CFD7A9CB}" = dir=in | app=c:\program files\symantec\backup exec\raws\beremote.exe | 
"{35F53878-6673-48D6-9C7D-0F5826604F84}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{3EBE2C96-29A0-486D-AF4C-D78AEC60A2AE}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{44FF142A-DE36-4F17-95D7-91C41F56EC36}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{4C729CED-D8B7-46E7-B3DE-216DC289F5CD}" = protocol=6 | dir=in | app=c:\ams\appserver\amsappserver.exe | 
"{A6D95F33-099B-4C26-BC24-0117BBB531EF}" = protocol=1 | dir=in | name=datei- und druckerfreigabe (echoanforderung - icmpv4 eingehend) | 
"{A818A811-214C-49DC-B8FF-99BB9CE33BA4}" = dir=in | app=c:\ams\appserver\amsappserver.exe | 
"{AEC7C39F-D044-47A3-B405-2DCD4AC864A7}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{B319C094-CFE9-44F1-8F13-F8F7EB9EFCC2}" = dir=in | app=c:\program files\symantec\backup exec\raws\beremote.exe | 
"{BEFB1FB5-0177-41A6-8ED8-C2D86F724A94}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{BFEF2BF1-54D0-4335-B3C1-97E05B7D346C}" = protocol=17 | dir=in | app=c:\ams\appserver\amsappserver.exe | 
"{C333AE5D-3313-46E0-AD69-398A4239C3F5}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{C761233C-619B-4CC3-91EA-234D15D1E667}" = protocol=58 | dir=in | name=datei- und druckerfreigabe (echoanforderung - icmpv6 eingehend) | 
"{D8358439-DA66-4FC6-9CDE-C083C4754795}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{DEA41119-AAEE-411F-B19A-FB45F609D521}" = protocol=6 | dir=out | app=system | 
"{E6538C2F-32CA-47E5-A6CF-73ED3D3011B1}" = protocol=1 | dir=in | name=datei- und druckerfreigabe (echoanforderung - icmpv4 eingehend) | 
"{F9619AE9-275E-442B-AB87-5773A9EA2FED}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{26784146-6E05-3FF9-9335-786C7C0FB5BE}" = Microsoft .NET Framework 4.5.2
"{52B066B2-F52B-40B2-A05D-C69F497ED4D0}" = Symantec Backup Exec Remote Agent for Windows
"{6E8E85E8-CE4B-4FF5-91F7-04999C9FAE6A}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{75C59D13-7745-4187-9128-51AFF8D6FECD}" = HP Insight Management Agents
"{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033" = Microsoft .NET Framework 4.5.2
"{EA83E5A9-5DDB-409F-AFE9-782376B9EC72}" = HP Smart Array SAS/SATA Event Notification Service
"Remote Agent for Windows Servers" = Symantec Backup Exec Remote Agent for Windows
"WinRAR archiver" = WinRAR 4.00 (64-Bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{351C6CC3-BBDD-4834-A1C1-4E6C8C268A7E}" = CosCom
"{3C4DF0FD-95CF-4F7B-A816-97CEF616948F}" = HP System Management Homepage
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{86FEEF96-13D5-464B-A1DE-BE717D31182C}" = Norman Endpoint Protection
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A8EA8A55-FDBE-4875-B598-DDC15B298290}" = Symantec Backup Exec System Recovery 2010
"{ECE14510-573D-42E9-AA7B-23BA001B1B35}" = AMS Arista Client
"LiveUpdate" = LiveUpdate 3.2 (Symantec Corporation)
"TeamViewer 8 Host" = TeamViewer 8 Host
 
========== Last 20 Event Log Errors ==========
 
[ Active Directory Web Services Events ]
Error - 14.11.2013 05:30:31 | Computer Name = Server2.domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 14.11.2013 05:31:43 | Computer Name = Server2.domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 14.11.2013 05:52:22 | Computer Name = Server2.domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 14.11.2013 05:53:35 | Computer Name = Server2.domainname.de | Source = ADWS | ID = 1202
Description = 
 
[ Application Events ]
Error - 28.12.2014 00:20:31 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 04.01.2015 00:20:35 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 11.01.2015 00:20:30 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 18.01.2015 00:20:31 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 25.01.2015 00:20:30 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 01.02.2015 00:20:31 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 08.02.2015 00:20:35 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 15.02.2015 00:20:31 | Computer Name = Server2.domainname.de | Source = Backup Exec System Recovery | ID = 100
Description = Fehler EC8F17B7: Wiederherstellungspunkte können nicht erstellt werden
 für Auftrag: System auf Server1.  Fehler EC8F03ED: Wiederherstellungspunkt kann nicht
 erstellt werden.   Fehler E7D10041: Netwerkverbindung zu \\server\images nicht möglich.
			Fehler
 EBAB03F1: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
 (UMI:V-281-3215-6071)    Details:   Quelle: Backup Exec System Recovery
 
Error - 22.03.2015 08:36:27 | Computer Name = Server2.domainname.de | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: VProSvc.exe, Version: 9.0.2.37914,
 Zeitstempel: 0x4c8f245a  Name des fehlerhaften Moduls: VProSvc.exe, Version: 9.0.2.37914,
 Zeitstempel: 0x4c8f245a  Ausnahmecode: 0x40000015  Fehleroffset: 0x002aee26  ID des fehlerhaften
 Prozesses: 0x7c0  Startzeit der fehlerhaften Anwendung: 0x01d05c6bf55f7526  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
Pfad
 des fehlerhaften Moduls: C:\Program Files (x86)\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
Berichtskennung:
 0ea16a16-d090-11e4-b5a3-68b599e36dab
 
Error - 02.12.2016 12:08:01 | Computer Name = Server2.domainname.de | Source = NormanNPT | ID = 131073
Description = Norman Message [2016/12/02 17:08:01]  --------------------------------------------------------
Application:
 NVC On-access Scanner  Node address: 192.168.115.2  --------------------------------------------------------

Warning
 message:   Virus scanned:   Virus name: 'Gen'    Virus scanned:   Virus name: 'Variant.Graftor.8856'

File
 infected: C:/Users/Administrator/AppData/Local/Microsoft/Windows/Temporary Internet
 Files/Content.IE5/J9RGGRJU/SoftonicDownloader_fuer_foxit-pdf-reader[1].exe
 
[ DFS Replication Events ]
Error - 16.02.2012 03:11:12 | Computer Name = Server2.domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
Error - 02.03.2012 07:39:59 | Computer Name = Server2.domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
Error - 10.05.2012 01:39:45 | Computer Name = Server2.domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
Error - 14.11.2013 05:31:40 | Computer Name = Server2.domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
Error - 14.11.2013 05:53:37 | Computer Name = Server2.domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
[ Directory Service Events ]
Error - 11.03.2015 22:23:00 | Computer Name = Server2.domainname.de | Source = NTDS Replication | ID = 2513
Description = Fehler beim Versuch, das gewünschte Authentifizierungsprotokoll für
 eine Verbindung zum folgenden DSA festzulegen.      DSA:     445abb3c-d97c-4aab-a1f3-b30273a8bd76._msdcs.domainname.de



Zusätzliche
 Daten:    Fehler:    1747 Der Authentifizierungsdienst ist unbekannt.  
 
Error - 22.08.2015 23:20:41 | Computer Name = Server2.domainname.de | Source = NTDS General | ID = 1168
Description = Internal error: An Active Directory Domain Services error has occurred.



Additional
 Data    Error value (decimal):  -1032    Error value (hex):  fffffbf8    Internal ID:  160207d1
 
[ DNS Server Events ]
Error - 11.08.2012 21:18:56 | Computer Name = Server2.domainname.de | Source = DNS | ID = 4015
Description = Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt.
 Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten
 Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten
 enthalten den Fehlercode.
 
Error - 11.08.2012 21:18:56 | Computer Name = Server2.domainname.de | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "." nicht vollständig durchführen. Dieser DNS-Server ist zum Verwenden von Informationen
 konfiguriert, die für diese Zone aus Active Directory abgerufen werden, und kann
 die Zone ohne diese Informationen nicht laden. Stellen Sie sicher, dass Active 
Directory richtig funktioniert, und wiederholen Sie die Aufzählung der Zone. Die
 erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten
 enthalten den Fehlercode.
 
Error - 11.08.2012 21:18:56 | Computer Name = Server2.domainname.de | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "115.168.192.in-addr.arpa" nicht vollständig durchführen. Dieser DNS-Server ist
 zum Verwenden von Informationen konfiguriert, die für diese Zone aus Active Directory
 abgerufen werden, und kann die Zone ohne diese Informationen nicht laden. Stellen
 Sie sicher, dass Active Directory richtig funktioniert, und wiederholen Sie die
 Aufzählung der Zone. Die erweiterten Fehlerdebuginformationen (die eventuell leer
 sind) lauten "". Die Ereignisdaten enthalten den Fehlercode.
 
Error - 11.08.2012 21:18:56 | Computer Name = Server2.domainname.de | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "domainname.de" nicht vollständig durchführen. Dieser DNS-Server ist zum Verwenden
 von Informationen konfiguriert, die für diese Zone aus Active Directory abgerufen
 werden, und kann die Zone ohne diese Informationen nicht laden. Stellen Sie sicher,
 dass Active Directory richtig funktioniert, und wiederholen Sie die Aufzählung 
der Zone. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten
 "". Die Ereignisdaten enthalten den Fehlercode.
 
[ System Events ]
Error - 03.12.2016 01:02:20 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.BadSobernheim._sites.dc._msdcs.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:20 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_kerberos._tcp.BadSobernheim._sites.domainname.de.
 600 IN SRV 0 100 88 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_gc._tcp.BadSobernheim._sites.domainname.de.
 600 IN SRV 0 100 3268 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "DomainDnsZones.domainname.de.
 600 IN A 192.168.115.2" auf folgendem DNS-Server  ist ein Fehler aufgetreten:        IP-Adresse
 des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener Statuscode:
 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender diesen
 Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen Fehler 
verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.DomainDnsZones.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.BadSobernheim._sites.DomainDnsZones.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "ForestDnsZones.domainname.de.
 600 IN A 192.168.115.2" auf folgendem DNS-Server  ist ein Fehler aufgetreten:        IP-Adresse
 des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener Statuscode:
 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender diesen
 Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen Fehler 
verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.ForestDnsZones.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.BadSobernheim._sites.ForestDnsZones.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 01:02:21 | Computer Name = Server2.domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.pdc._msdcs.domainname.de.
 600 IN SRV 0 100 389 Server2.domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
 
< End of report >

Vorab Danke für die Unterstützung und viele Grüße
Herry

Akcent · 03.12.2016, 13:52

Hier noch die OTL's Dateien eines anderen Rechners

Code:

ATTFilter

OTL Extras logfile created on: 03.12.2016 10:17:12 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\administrator.Domainname\Downloads
64bit- Server Standard Edition (full installation)  (Version = 6.2.9200) - Type = NTDomainController
Internet Explorer (Version = 9.11.9600.18525)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
11,95 Gb Total Physical Memory | 7,76 Gb Available Physical Memory | 64,89% Memory free
13,77 Gb Paging File | 9,63 Gb Available in Paging File | 69,94% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 247,05 Gb Total Space | 205,90 Gb Free Space | 83,34% Space Free | Partition Type: NTFS
Drive D: | 426,59 Gb Total Space | 250,51 Gb Free Space | 58,72% Space Free | Partition Type: NTFS
Drive I: | 930,86 Gb Total Space | 114,26 Gb Free Space | 12,27% Space Free | Partition Type: NTFS
Drive R: | 931,51 Gb Total Space | 931,36 Gb Free Space | 99,98% Space Free | Partition Type: NTFS
 
Computer Name: SERVER | User Name: administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\OpenWith.exe "%1" (Microsoft Corporation)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "%systemroot%\system32\rundll32.exe" "%systemroot%\system32\mshtml.dll",PrintHTML "%1"
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\OpenWith.exe "%1" (Microsoft Corporation)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Value error.
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DisableNotifications" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 0
"DisableNotifications" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{002EA8D9-BA18-4E23-9CBE-671BA1B2C32B}" = lport=137 | protocol=17 | dir=in | app=system | 
"{0B60C4B6-EE00-4ECA-A599-CB331294F198}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{1B3A64AC-D71B-456A-B8EC-3E7C2BCE2D2E}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{261E753B-4EA6-4DE7-B16C-CBD4E7E2749A}" = lport=138 | protocol=17 | dir=in | app=system | 
"{2CB66EE7-5FB8-4C8D-9C85-85538AF829E4}" = lport=6160 | protocol=6 | dir=in | name=seagull driver networking | 
"{431E90A0-0E24-42CA-A34B-3F4FC234219B}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{517B823E-C5A7-4591-809A-46004A47EEA4}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{59752ECA-440D-4126-89DD-4EF37AECB018}" = lport=3389 | protocol=6 | dir=in | svc=termservice | app=%systemroot%\system32\svchost.exe | 
"{5F22497C-A5F8-42C3-B579-F56E65BAD16E}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{6014CC4C-0AC9-4A76-9E15-3664D0FC0BF6}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{8398F80F-3C35-491B-835D-AB58E9716C79}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{83F6EEC4-2A51-44C5-A04B-16E7E02615BC}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{8497E051-9D7C-4F7D-BC15-37DC6076294C}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{8FEBEF17-898D-436F-8BBB-995C1D83A43C}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{91273DE1-A909-41D3-807E-28718797D2E3}" = rport=2869 | protocol=6 | dir=out | app=system | 
"{B17B89AC-CB23-4A8A-968C-1075641C5A85}" = lport=3389 | protocol=17 | dir=in | svc=termservice | app=%systemroot%\system32\svchost.exe | 
"{BFCCD193-6A67-44F6-A9DE-D4615D10D429}" = lport=2868 | protocol=6 | dir=in | name=norman | 
"{C9B90DC0-CB7B-4A6A-B5F1-45329782FDE5}" = rport=137 | protocol=17 | dir=out | app=system | 
"{CCCC6E1E-CB77-4B49-AB4E-0AC73B9B52FA}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{D370E6C5-8BAF-4CE2-85EA-0541D8882245}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{D919D929-C1ED-4588-99D6-9FB5E35B112C}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{E911BAA3-5535-4D13-B681-1A0AAD596034}" = rport=138 | protocol=17 | dir=out | app=system | 
"{F9624C59-B275-47C0-8C86-B7DEFEFEA001}" = rport=2869 | protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{05906466-B82F-41B1-8C73-B5C990FDA42F}" = protocol=17 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{07C996C8-6E27-4E6D-AF16-070288DC119B}" = protocol=17 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{09900706-7C94-4FE2-BC54-947841AC91F4}" = protocol=6 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{17064F0A-6411-4477-95F7-CD14865AA345}" = protocol=6 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{1EAB0EBD-7E1C-4167-9DB7-7C2AE9FCF79A}" = protocol=6 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{1F733BAA-76C2-489E-A8F7-E3BAFDAB0BE6}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{2BDB7F90-E388-4D17-BF4C-2CC8716D24AC}" = protocol=6 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{2E785BF7-4947-444E-802A-4153331A7517}" = protocol=17 | dir=in | app=d:\david\code\sl.exe | 
"{305BF55C-F409-423F-B646-35D0C58A04D5}" = protocol=17 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{46C90022-C22E-44E0-8452-1FBB1A796AAE}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{52EA07AD-0701-4F61-B0AD-0CD45ACA5072}" = protocol=6 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{73C243A4-2C80-4095-AB21-10A355796299}" = protocol=6 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{7DF846B0-DA12-4C0E-8A54-27052085300A}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{86CB85B4-649B-4BDC-BF83-D5903F8DC308}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{8EDDF627-9E9E-49A9-BEC6-E3A23BB29EDF}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{ABC57EC4-C626-4A2F-9231-55301B29F738}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{B0A4449B-E936-42F2-81FE-57A64C974D3E}" = protocol=17 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{B5FCC4E6-83C9-4887-A245-7207BE6ED65D}" = protocol=17 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer_service.exe | 
"{BA3E15C6-613B-42E1-8A1B-2EC40168C6AA}" = protocol=6 | dir=in | app=d:\david\code\sl.exe | 
"{CDCC773E-D51B-436F-8E9B-D344B484C0FD}" = protocol=6 | dir=in | app=c:\program files (x86)\teamviewer\version8\teamviewer.exe | 
"{D3CA77F9-BE8A-41AE-B94E-A2E070B8518A}" = protocol=17 | dir=in | app=c:\program files (x86)\common files\acronis\agent\agent.exe | 
"{E41DEF58-136E-4A48-96B4-71585C9EE3D3}" = protocol=17 | dir=in | app=c:\program files (x86)\acronis\backupandrecovery\mms.exe | 
"{EADC196B-82B2-444A-BBFD-773EE4D01281}" = protocol=6 | dir=in | app=%systemroot%\system32\rdpsa.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{2180B33F-3225-423E-BBC1-7798CFD3CD1F}" = Microsoft SQL Server 2008 R2 Native Client
"{234F6B0D-10AE-4BB7-B2F3-E48D4861952D}" = SQL Server 2008 R2 Common Files
"{288D79EE-A2D1-42AF-9597-B0ADCC23A8ED}" = Microsoft SQL Server VSS Writer
"{36F70DEE-1EBF-4707-AFA2-E035EEAEBAA1}" = SQL Server 2008 R2 Common Files
"{6292D514-17A4-403F-98F9-E150F10C043D}" = Microsoft SQL Server 2008 Setup Support Files 
"{6D10FB2C-82A9-40F2-91D0-7BE64CF0DAF2}" = Microsoft SQL Server 2008 R2 Setup (English)
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9DFA5914-C275-42E0-810E-C88E46A7F9EA}" = SQL Server 2008 R2 Full text search
"{A2122A9C-A699-4365-ADF8-68FEAC125D61}" = SQL Server 2008 R2 Database Engine Shared
"{BB57A765-FFFE-498B-8C1E-6C9CE2AB92BA}" = Microsoft SQL Server 2008 R2 RsFx Driver
"{C942A025-A840-4BF2-8987-849C0DD44574}" = SQL Server 2008 R2 Database Engine Shared
"{DFE1C960-FFFA-40C6-8417-6FA5B299A371}" = Norman Endpoint Protection
"{F31183CF-E10F-4DE1-BB59-6C0FF38E481E}" = Sql Server Customer Experience Improvement Program
"{FA7394B8-CE65-4F9E-AC99-F372AD365424}" = SQL Server 2008 R2 Database Engine Services
"{FBD367D1-642F-47CF-B79B-9BE48FB34007}" = SQL Server 2008 R2 Database Engine Services
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 R2 (64-bit)
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 (64-bit)
"WinRAR archiver" = WinRAR 5.00 (64-Bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{5A32A6BB-6965-4C58-AF14-7152514AF101}" = Acronis Backup 11.5 Agent für Windows
"{649B37C0-DFD4-4C61-BD1C-A75827D52D00}" = Acronis Backup 11.5 Tray Monitor
"{68C8EFC6-0140-4BA2-891A-623A72203390}" = Acronis Backup 11.5 Management Console
"{6DB24FF3-09E1-4B2E-B43A-C111C38D4701}" = Acronis Backup 11.5 Bootable Media Builder
"{74E7811C-3E7D-429C-BEEB-2EDC3D08EF65}" = Acronis Backup 11.5 Command-Line Tool
"{91BA03B3-4EB6-4852-814C-8359236818A2}" = PartsManagerPro
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B829E117-D072-41EA-9606-9826A38D34C1}" = Sophos Virus Removal Tool
"{BF9BF038-FE03-429D-9B26-2FA0FD756052}" = Microsoft SQL Server Browser
"{F23F1C05-B9E2-4756-9F2A-E97C6F3AB501}" = Acronis Backup 11.5 Agent Core
"David" = david® 
"david® Client" = david® Client 
"Foxit Reader_is1" = Foxit Reader
"Google Chrome" = Google Chrome
"GPL Ghostscript 9.14" = GPL Ghostscript
"PrimuX ISDN" = CAPI Treiber deinstallieren
"SpyHunter" = SpyHunter 4
"TeamViewer 8 Host" = TeamViewer 8 Host
 
========== Last 20 Event Log Errors ==========
 
[ Active Directory Web Services Events ]
Error - 28.11.2015 04:38:19 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1206
Description = 
 
Error - 06.01.2016 16:31:39 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1206
Description = 
 
Error - 19.02.2016 08:16:00 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1206
Description = 
 
Error - 21.03.2016 12:33:08 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1206
Description = 
 
Error - 05.11.2016 12:05:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 05.11.2016 12:06:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 05.11.2016 12:07:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 05.11.2016 12:08:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 05.11.2016 12:09:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
Error - 05.11.2016 12:10:43 | Computer Name = Server.Domainname.de | Source = ADWS | ID = 1202
Description = 
 
[ Application Events ]
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
Error - 02.12.2016 18:51:34 | Computer Name = Server.Domainname.de | Source = Winlogon | ID = 4005
Description = Der Windows-Anmeldeprozess wurde unerwartet beendet.
 
[ DFS Replication Events ]
Error - 05.11.2016 12:07:06 | Computer Name = Server.Domainname.de | Source = DFSR | ID = 1202
Description = Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller
 "" zum Zugriff  auf die Konfigurationsinformationen herstellen. Die Replikation wurde
 beendet. Der Dienst wiederholt den Vorgang  beim nächsten Konfigurationsabfragezyklus,
 der in 60 Minuten eintritt.  Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-,
 Active Directory-Domänendienste- oder  DNS-Probleme verursacht werden.        Weitere Informationen:
     Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)
 
[ Directory Service Events ]
Error - 17.01.2016 01:06:24 | Computer Name = Server.Domainname.de | Source = NTDS General | ID = 2974
Description = Der angegebene Attributwert ist in der Gesamtstruktur oder Partition
 nicht eindeutig.  Attribut: servicePrincipalName  Value=MSSQLSvc/Server.Domainname.de:DAVID
CN=DiensteKonto,OU=Admins,DC=Domainname,DC=de
Winerror:
 8647      Weitere Details zu dieser Richtlinie finden Sie unter "hxxp://go.microsoft.com/fwlink/?LinkID=279782".
 
[ DNS Server Events ]
Error - 03.12.2016 04:40:59 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 04:46:04 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 04:51:09 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 04:56:14 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:01:19 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:06:24 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:11:30 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:16:35 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:21:40 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
Error - 03.12.2016 05:26:45 | Computer Name = Server.Domainname.de | Source = Microsoft-Windows-DNS-Server-Service | ID = 4015
Description = 
 
[ System Events ]
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_gc._tcp.BadSobernheim._sites.Domainname.de.
 600 IN SRV 0 100 3268 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_kerberos._udp.Domainname.de.
 600 IN SRV 0 100 88 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_kpasswd._tcp.Domainname.de.
 600 IN SRV 0 100 464 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_kpasswd._udp.Domainname.de.
 600 IN SRV 0 100 464 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "DomainDnsZones.Domainname.de.
 600 IN A 192.168.115.1" auf folgendem DNS-Server  ist ein Fehler aufgetreten:        IP-Adresse
 des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener Statuscode:
 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender diesen
 Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen Fehler 
verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.DomainDnsZones.Domainname.de.
 600 IN SRV 0 100 389 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.BadSobernheim._sites.DomainDnsZones.Domainname.de.
 600 IN SRV 0 100 389 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "ForestDnsZones.Domainname.de.
 600 IN A 192.168.115.1" auf folgendem DNS-Server  ist ein Fehler aufgetreten:        IP-Adresse
 des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener Statuscode:
 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender diesen
 Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen Fehler 
verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.ForestDnsZones.Domainname.de.
 600 IN SRV 0 100 389 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
Error - 03.12.2016 05:15:56 | Computer Name = Server.Domainname.de | Source = NETLOGON | ID = 5774
Description = Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.BadSobernheim._sites.ForestDnsZones.Domainname.de.
 600 IN SRV 0 100 389 Server.Domainname.de." auf folgendem DNS-Server  ist ein Fehler
 aufgetreten:        IP-Adresse des DNS-Servers: ::    Verbindungsantwortcode (RCODE): 0    Zurückgegebener
 Statuscode: 0        Dieser Eintrag muss in DNS registriert sein, damit Computer und  Anwender
 diesen Domänencontroller finden können.        BENUTZERAKTION      Ermitteln Sie, was diesen 
Fehler verursacht hat. Beheben Sie das Problem,  und initialisieren Sie die Registrierung
 der DNS-Einträge durch den  Domänencontroller. Um festzustellen, was diesen Fehler
 verursacht hat,  führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe"
 finden  Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die
Eingabeaufforderung
 des Domänencontrollers aus, oder starten Sie den  Anmeldedienst neu, um die Registrierung
 der DNS-Einträge durch diesen  Domänencontroller zu initialisieren.    Alternativ können
 Sie den Eintrag  manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.



ZUSÄTZLICHE
 DATEN    Fehlerwert: %%9003
 
 
< End of report >

Code:

ATTFilter

OTL logfile created on: 03.12.2016 10:17:12 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\administrator.Domainname\Downloads
64bit- Server Standard Edition (full installation)  (Version = 6.2.9200) - Type = NTDomainController
Internet Explorer (Version = 9.11.9600.18525)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
11,95 Gb Total Physical Memory | 7,76 Gb Available Physical Memory | 64,89% Memory free
13,77 Gb Paging File | 9,63 Gb Available in Paging File | 69,94% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 247,05 Gb Total Space | 205,90 Gb Free Space | 83,34% Space Free | Partition Type: NTFS
Drive D: | 426,59 Gb Total Space | 250,51 Gb Free Space | 58,72% Space Free | Partition Type: NTFS
Drive I: | 930,86 Gb Total Space | 114,26 Gb Free Space | 12,27% Space Free | Partition Type: NTFS
Drive R: | 931,51 Gb Total Space | 931,36 Gb Free Space | 99,98% Space Free | Partition Type: NTFS
 
Computer Name: SERVER | User Name: administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\administrator.Domainname\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Users\administrator.Domainname\Downloads\ESETOnlineScanner_DEU.exe (ESET spol. s r.o.)
PRC - d:\David\Code\sl.exe (Tobit Software)
PRC - C:\Programme\Norman\Ngs\bin\nprosec.exe (AVG Technologies Norway AS)
PRC - d:\David\Apps\Dvgrab\Code\dvgrab.exe (Tobit Software)
PRC - d:\David\Apps\Postman\Code\postman.exe (Tobit Software)
PRC - C:\Programme\Norman\Npm\Bin\zanda.exe (Norman Safeground AS)
PRC - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\Norman\Npm\Bin\nfservice.exe (Norman Safeground AS)
PRC - C:\Programme\Norman\Npm\Bin\njeeves2.exe ()
PRC - C:\Program Files (x86)\Acronis\BackupAndRecoveryConsole\ManagementConsole.exe (Acronis)
PRC - C:\Program Files (x86)\Acronis\BackupAndRecovery\mms.exe (Acronis)
PRC - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.)
PRC - d:\David\Tld\CODE\CAPI\tld.exe (Tobit Software)
PRC - d:\David\Tld\CODE\Extended\tld.exe (Tobit Software)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Program Files (x86)\Google\Chrome\Application\32.0.1700.107\ppgooglenaclpluginchrome.dll ()
MOD - C:\Program Files (x86)\Google\Chrome\Application\32.0.1700.107\pdf.dll ()
MOD - C:\Program Files (x86)\Google\Chrome\Application\32.0.1700.107\libglesv2.dll ()
MOD - C:\Program Files (x86)\Google\Chrome\Application\32.0.1700.107\libegl.dll ()
MOD - C:\Program Files (x86)\Google\Chrome\Application\32.0.1700.107\ffmpegsumo.dll ()
MOD - C:\Program Files (x86)\Acronis\BackupAndRecoveryConsole\libcef.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (Netlogon) -- C:\Windows\SysNative\netlogon.dll (Microsoft Corporation)
SRV:64bit: - (DHCPServer) -- C:\Windows\SysNative\dhcpssvc.dll (Microsoft Corporation)
SRV:64bit: - (DNS) -- C:\Windows\SysNative\dns.exe (Microsoft Corporation)
SRV:64bit: - (DiagTrack) -- C:\Windows\SysNative\diagtrack.dll (Microsoft Corporation)
SRV:64bit: - (Kdc) -- C:\Windows\SysNative\kdcsvc.dll (Microsoft Corporation)
SRV:64bit: - (DFSR) -- C:\Windows\SysNative\dfsrs.exe (Microsoft Corporation)
SRV:64bit: - (AppXSvc) -- C:\Windows\SysNative\AppXDeploymentServer.dll (Microsoft Corporation)
SRV:64bit: - (AudioEndpointBuilder) -- C:\Windows\SysNative\AudioEndpointBuilder.dll (Microsoft Corporation)
SRV:64bit: - (SystemEventsBroker) -- C:\Windows\SysNative\SystemEventsBrokerServer.dll (Microsoft Corporation)
SRV:64bit: - (LSM) -- C:\Windows\SysNative\lsm.dll (Microsoft Corporation)
SRV:64bit: - (IEEtwCollectorService) -- C:\Windows\SysNative\IEEtwCollector.exe (Microsoft Corporation)
SRV:64bit: - (WSService) -- C:\Windows\SysNative\WSService.dll (Microsoft Corporation)
SRV:64bit: - (PrintNotify) -- C:\Windows\SysNative\spool\drivers\x64\3\PrintConfig.dll (Microsoft Corporation)
SRV:64bit: - (WEPHOSTSVC) -- C:\Windows\SysNative\wephostsvc.dll (Microsoft Corporation)
SRV:64bit: - (EFS) -- C:\Windows\SysNative\efssvc.dll (Microsoft Corporation)
SRV:64bit: - (svsvc) -- C:\Windows\SysNative\svsvc.dll (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV:64bit: - (NcaSvc) -- C:\Windows\SysNative\NcaSvc.dll (Microsoft Corporation)
SRV:64bit: - (vmicvss) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmictimesync) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmicshutdown) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmicrdv) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmickvpexchange) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmicheartbeat) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (vmicguestinterface) -- C:\Windows\SysNative\icsvc.dll (Microsoft Corporation)
SRV:64bit: - (smphost) -- C:\Windows\SysNative\smphost.dll (Microsoft Corporation)
SRV:64bit: - (ScDeviceEnum) -- C:\Windows\SysNative\ScDeviceEnum.dll (Microsoft Corporation)
SRV:64bit: - (KeyIso) -- C:\Windows\SysNative\keyiso.dll (Microsoft Corporation)
SRV:64bit: - (netprofm) -- C:\Windows\SysNative\netprofmsvc.dll (Microsoft Corporation)
SRV:64bit: - (Wcmsvc) -- C:\Windows\SysNative\wcmsvc.dll (Microsoft Corporation)
SRV:64bit: - (VaultSvc) -- C:\Windows\SysNative\vaultsvc.dll (Microsoft Corporation)
SRV:64bit: - (DeviceAssociationService) -- C:\Windows\SysNative\das.dll (Microsoft Corporation)
SRV:64bit: - (BrokerInfrastructure) -- C:\Windows\SysNative\bisrv.dll (Microsoft Corporation)
SRV:64bit: - (DsmSvc) -- C:\Windows\SysNative\DeviceSetupManager.dll (Microsoft Corporation)
SRV:64bit: - (AppReadiness) -- C:\Windows\SysNative\AppReadiness.dll (Microsoft Corporation)
SRV:64bit: - (TieringEngineService) -- C:\Windows\SysNative\TieringEngineService.exe (Microsoft Corporation)
SRV:64bit: - (UALSVC) -- C:\Windows\SysNative\ualsvc.dll (Microsoft Corporation)
SRV:64bit: - (w3logsvc) -- C:\Windows\SysNative\inetsrv\w3logsvc.dll (Microsoft Corporation)
SRV:64bit: - (Dfs) -- C:\Windows\SysNative\dfssvc.exe (Microsoft Corporation)
SRV:64bit: - (DsRoleSvc) -- C:\Windows\SysNative\dsrolesrv.dll (Microsoft Corporation)
SRV:64bit: - (KdsSvc) -- C:\Windows\SysNative\KdsSvc.dll (Microsoft Corporation)
SRV:64bit: - (NTDS) -- C:\Windows\SysNative\ntdsa.dll (Microsoft Corporation)
SRV:64bit: - (IISADMIN) -- C:\Windows\SysNative\inetsrv\inetinfo.exe (Microsoft Corporation)
SRV:64bit: - (NtFrs) -- C:\Windows\SysNative\ntfrs.exe (Microsoft Corporation)
SRV:64bit: - (IsmServ) -- C:\Windows\SysNative\ismserv.exe (Microsoft Corporation)
SRV:64bit: - (KPSSVC) -- C:\Windows\SysNative\kpssvc.dll (Microsoft Corporation)
SRV:64bit: - (RSoPProv) -- C:\Windows\SysNative\rsopprov.exe (Microsoft Corporation)
SRV:64bit: - (sacsvr) -- C:\Windows\SysNative\sacsvr.dll (Microsoft Corporation)
SRV - (DavidServiceLayer) -- d:\David\Code\sl.exe (Tobit Software)
SRV - (NPROSECSVC) -- C:\Programme\Norman\Ngs\bin\nprosec.exe (AVG Technologies Norway AS)
SRV - (DavidWebBox) -- d:\David\Apps\Webbox\Code\webbox.exe (Tobit Software)
SRV - (DavidMailAccessServer) -- d:\David\Apps\Maserver\CODE\maserver.exe (Tobit Software)
SRV - (DavidGrabbingServer) -- d:\David\Apps\Dvgrab\Code\dvgrab.exe (Tobit Software)
SRV - (DavidPostMan) -- d:\David\Apps\Postman\Code\postman.exe (Tobit Software)
SRV - (TSMaintenanceService) -- C:\Program Files (x86)\Common Files\Tobit\TSMaintenanceSvc.exe (Tobit.Software)
SRV - (DavidReplica) -- d:\David\Apps\Replica\Code\replica.exe (Tobit Software)
SRV - (nseupdatesvc) -- C:\Programme\Norman\Nse\bin\nseupdatesvc.exe (AVG Technologies Norway AS)
SRV - (Norman ZANDA) -- C:\Programme\Norman\Npm\Bin\zanda.exe (Norman Safeground AS)
SRV - (TeamViewer8) -- C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (nvcsvc) -- C:\Programme\Norman\Nvc\bin\nvcsvc.exe (Norman Safeground AS)
SRV - (nfservice) -- C:\Programme\Norman\Npm\Bin\nfservice.exe (Norman Safeground AS)
SRV - (NJeeves2) -- C:\Programme\Norman\Npm\Bin\njeeves2.exe ()
SRV - (PrintNotify) -- C:\Windows\system32\spool\drivers\x64\3\PrintConfig.dll (Microsoft Corporation)
SRV - (smphost) -- C:\Windows\SysWOW64\smphost.dll (Microsoft Corporation)
SRV - (ARSM) -- C:\Program Files (x86)\Acronis\ARSM\arsm.exe (Acronis)
SRV - (MMS) -- C:\Program Files (x86)\Acronis\BackupAndRecovery\mms.exe (Acronis)
SRV - (w3logsvc) -- C:\Windows\SysWOW64\inetsrv\w3logsvc.dll (Microsoft Corporation)
SRV - (nvoy) -- C:\Programme\Norman\Npm\Bin\nvoy.exe (Norman Safeground AS)
SRV - (Scheduler) -- C:\Programme\Norman\Npm\Bin\scheduler.exe (Norman Safeground AS)
SRV - (WAS) -- C:\Windows\SysWOW64\inetsrv\iisw3adm.dll (Microsoft Corporation)
SRV - (ADWS) -- C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe (Microsoft Corporation)
SRV - (AppHostSvc) -- C:\Windows\SysWOW64\inetsrv\apphostsvc.dll (Microsoft Corporation)
SRV - (AcrSch2Svc) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (RSoPProv) -- C:\Windows\SysWOW64\rsopprov.exe (Microsoft Corporation)
SRV - (DavidTLD001) -- d:\David\tld\code\CAPI\tld.exe (Tobit Software)
SRV - (AcronisAgent) -- C:\Program Files (x86)\Common Files\Acronis\Agent\agent.exe (Acronis)
SRV - (Norman NJeeves) -- C:\Programme\Norman\Npm\Bin\njeeves.exe ()
SRV - (DavidPBXpense) -- d:\David\Apps\pbxpense\code\pbxpense.exe (Tobit Software)
SRV - (DavidTLD002) -- d:\David\Tld\Code\Extended\tld.exe (Tobit Software)
SRV - (MSSQLFDLauncher$DAVID) -- C:\Programme\Microsoft SQL Server\MSSQL10_50.DAVID\MSSQL\Binn\fdlauncher.exe (Microsoft Corporation)
SRV - (MSSQL$DAVID) -- C:\Programme\Microsoft SQL Server\MSSQL10_50.DAVID\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLAgent$DAVID) -- C:\Programme\Microsoft SQL Server\MSSQL10_50.DAVID\MSSQL\Binn\SQLAGENT.EXE (Microsoft Corporation)
SRV - (SQLWriter) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (MSSQLServerADHelper100) -- C:\Programme\Microsoft SQL Server\100\Shared\sqladhlp.exe (Microsoft Corporation)
SRV - (XBaseMS-Service) -- C:\Program Files (x86)\ProQuestMS\PartsManagerPro\XBaseSrvr\tbmux32.exe (Transaction Software, D 81829 Munich)
SRV - (DavidVideoCapture) -- d:\David\Apps\videocpt\code\VideoCapture.exe (Tobit.Software)
SRV - (DavidHost) -- d:\David\Apps\Dvhost\CODE\dvhost.exe (Tobit Software)
SRV - (DavidDiscussionServer) -- d:\David\Apps\Dserver\Code\dserver.exe (Tobit Software)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (CLFS) -- C:\Windows\SysNative\drivers\clfs.sys (Microsoft Corporation)
DRV:64bit: - (ReFS) -- C:\Windows\SysNative\drivers\refs.sys (Microsoft Corporation)
DRV:64bit: - (spaceport) -- C:\Windows\SysNative\drivers\spaceport.sys (Microsoft Corporation)
DRV:64bit: - (MsLbfoProvider) -- C:\Windows\SysNative\drivers\MsLbfoProvider.sys (Microsoft Corporation)
DRV:64bit: - (stornvme) -- C:\Windows\SysNative\drivers\stornvme.sys (Microsoft Corporation)
DRV:64bit: - (storvsp) -- C:\Windows\SysNative\drivers\storvsp.sys (Microsoft Corporation)
DRV:64bit: - (vpcivsp) -- C:\Windows\SysNative\drivers\vpcivsp.sys (Microsoft Corporation)
DRV:64bit: - (NdisImPlatform) -- C:\Windows\SysNative\drivers\NdisImPlatform.sys (Microsoft Corporation)
DRV:64bit: - (WinNat) -- C:\Windows\SysNative\drivers\winnat.sys (Microsoft Corporation)
DRV:64bit: - (tsusbhub) -- C:\Windows\SysNative\drivers\tsusbhub.sys (Microsoft Corporation)
DRV:64bit: - (vpci) -- C:\Windows\SysNative\drivers\vpci.sys (Microsoft Corporation)
DRV:64bit: - (USBHUB3) -- C:\Windows\SysNative\drivers\USBHUB3.SYS (Microsoft Corporation)
DRV:64bit: - (TPM) -- C:\Windows\SysNative\drivers\tpm.sys (Microsoft Corporation)
DRV:64bit: - (USBXHCI) -- C:\Windows\SysNative\drivers\USBXHCI.SYS (Microsoft Corporation)
DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation)
DRV:64bit: - (Trufos) -- C:\Windows\SysNative\drivers\Trufos.sys (BitDefender S.R.L.)
DRV:64bit: - (ahcache) -- C:\Windows\SysNative\drivers\ahcache.sys (Microsoft Corporation)
DRV:64bit: - (WFPLWFS) -- C:\Windows\SysNative\drivers\wfplwfs.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV:64bit: - (netvsc) -- C:\Windows\SysNative\drivers\netvsc63.sys (Microsoft Corporation)
DRV:64bit: - (pdc) -- C:\Windows\SysNative\drivers\pdc.sys (Microsoft Corporation)
DRV:64bit: - (UCX01000) -- C:\Windows\SysNative\drivers\UCX01000.SYS (Microsoft Corporation)
DRV:64bit: - (GPIOClx0101) -- C:\Windows\SysNative\drivers\msgpioclx.sys (Microsoft Corporation)
DRV:64bit: - (smbdirect) -- C:\Windows\SysNative\drivers\smbdirect.sys (Microsoft Corporation)
DRV:64bit: - (sdstor) -- C:\Windows\SysNative\drivers\sdstor.sys (Microsoft Corporation)
DRV:64bit: - (BasicRender) -- C:\Windows\SysNative\drivers\BasicRender.sys (Microsoft Corporation)
DRV:64bit: - (DfsDriver) -- C:\Windows\SysNative\drivers\dfs.sys (Microsoft Corporation)
DRV:64bit: - (DfsrRo) -- C:\Windows\SysNative\drivers\dfsrro.sys (Microsoft Corporation)
DRV:64bit: - (tib) -- C:\Windows\SysNative\drivers\tib.sys (Acronis)
DRV:64bit: - (tib_mounter) -- C:\Windows\SysNative\drivers\tib_mounter.sys (Acronis)
DRV:64bit: - (snapman) -- C:\Windows\SysNative\drivers\snapman.sys (Acronis)
DRV:64bit: - (fltsrv) -- C:\Windows\SysNative\drivers\fltsrv.sys (Acronis)
DRV:64bit: - (SerCx2) -- C:\Windows\SysNative\drivers\SerCx2.sys (Microsoft Corporation)
DRV:64bit: - (VerifierExt) -- C:\Windows\SysNative\drivers\VerifierExt.sys (Microsoft Corporation)
DRV:64bit: - (Vid) -- C:\Windows\SysNative\drivers\Vid.sys (Microsoft Corporation)
DRV:64bit: - (vmbusr) -- C:\Windows\SysNative\drivers\vmbusr.sys (Microsoft Corporation)
DRV:64bit: - (condrv) -- C:\Windows\SysNative\drivers\condrv.sys (Microsoft Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (acpiex) -- C:\Windows\SysNative\drivers\acpiex.sys (Microsoft Corporation)
DRV:64bit: - (sacdrv) -- C:\Windows\SysNative\drivers\sacdrv.sys (Microsoft Corporation)
DRV:64bit: - (ndfltr) -- C:\Windows\SysNative\drivers\ndfltr.sys (Mellanox)
DRV:64bit: - (mvumis) -- C:\Windows\SysNative\drivers\mvumis.sys (Marvell Semiconductor, Inc.)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (elxfcoe) -- C:\Windows\SysNative\drivers\elxfcoe.sys (Emulex)
DRV:64bit: - (ibbus) -- C:\Windows\SysNative\drivers\ibbus.sys (Mellanox)
DRV:64bit: - (mlx4_bus) -- C:\Windows\SysNative\drivers\mlx4_bus.sys (Mellanox)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (LSI_SSS) -- C:\Windows\SysNative\drivers\lsi_sss.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (LSI_SAS3) -- C:\Windows\SysNative\drivers\lsi_sas3.sys (LSI Corporation)
DRV:64bit: - (bfadi) -- C:\Windows\SysNative\drivers\bfadi.sys (Brocade Communications Systems, Inc.)
DRV:64bit: - (bfadfcoei) -- C:\Windows\SysNative\drivers\bfadfcoei.sys (Brocade Communications Systems, Inc.)
DRV:64bit: - (ADP80XX) -- C:\Windows\SysNative\drivers\adp80xx.sys (PMC-Sierra)
DRV:64bit: - (bxois) -- C:\Windows\SysNative\drivers\bxois.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (bxfcoe) -- C:\Windows\SysNative\drivers\bxfcoe.sys (Broadcom Corporation)
DRV:64bit: - (3ware) -- C:\Windows\SysNative\drivers\3ware.sys (LSI)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (WinVerbs) -- C:\Windows\SysNative\drivers\winverbs.sys (Mellanox)
DRV:64bit: - (WinMad) -- C:\Windows\SysNative\drivers\winmad.sys (Mellanox)
DRV:64bit: - (VSTXRAID) -- C:\Windows\SysNative\drivers\VSTXRAID.SYS (VIA Corporation)
DRV:64bit: - (UASPStor) -- C:\Windows\SysNative\drivers\uaspstor.sys (Microsoft Corporation)
DRV:64bit: - (ql2300i) -- C:\Windows\SysNative\drivers\ql2300i.sys (QLogic Corporation)
DRV:64bit: - (qlfcoei) -- C:\Windows\SysNative\drivers\qlfcoei.sys (QLogic Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology, Inc.)
DRV:64bit: - (ql40xx2i) -- C:\Windows\SysNative\drivers\ql40xx2i.sys (QLogic Corporation)
DRV:64bit: - (storahci) -- C:\Windows\SysNative\drivers\storahci.sys (Microsoft Corporation)
DRV:64bit: - (SpbCx) -- C:\Windows\SysNative\drivers\SpbCx.sys (Microsoft Corporation)
DRV:64bit: - (SerCx) -- C:\Windows\SysNative\drivers\SerCx.sys (Microsoft Corporation)
DRV:64bit: - (UEFI) -- C:\Windows\SysNative\drivers\uefi.sys (Microsoft Corporation)
DRV:64bit: - (terminpt) -- C:\Windows\SysNative\drivers\terminpt.sys (Microsoft Corporation)
DRV:64bit: - (BasicDisplay) -- C:\Windows\SysNative\drivers\BasicDisplay.sys (Microsoft Corporation)
DRV:64bit: - (HyperVideo) -- C:\Windows\SysNative\drivers\HyperVideo.sys (Microsoft Corporation)
DRV:64bit: - (wtlmdrv) -- C:\Windows\SysNative\drivers\wtlmdrv.sys (Microsoft Corporation)
DRV:64bit: - (mshidumdf) -- C:\Windows\SysNative\drivers\mshidumdf.sys (Microsoft Corporation)
DRV:64bit: - (acpitime) -- C:\Windows\SysNative\drivers\acpitime.sys (Microsoft Corporation)
DRV:64bit: - (acpipagr) -- C:\Windows\SysNative\drivers\acpipagr.sys (Microsoft Corporation)
DRV:64bit: - (kdnic) -- C:\Windows\SysNative\drivers\kdnic.sys (Microsoft Corporation)
DRV:64bit: - (gencounter) -- C:\Windows\SysNative\drivers\vmgencounter.sys (Microsoft Corporation)
DRV:64bit: - (npsvctrig) -- C:\Windows\SysNative\drivers\npsvctrig.sys (Microsoft Corporation)
DRV:64bit: - (hyperkbd) -- C:\Windows\SysNative\drivers\hyperkbd.sys (Microsoft Corporation)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (fcvsc) -- C:\Windows\SysNative\drivers\fcvsc.sys (Microsoft Corporation)
DRV:64bit: - (dmvsc) -- C:\Windows\SysNative\drivers\dmvsc.sys (Microsoft Corporation)
DRV:64bit: - (NdisVirtualBus) -- C:\Windows\SysNative\drivers\NdisVirtualBus.sys (Microsoft Corporation)
DRV:64bit: - (FxPPM) -- C:\Windows\SysNative\drivers\fxppm.sys (Microsoft Corporation)
DRV:64bit: - (IsdnWan) -- C:\Windows\SysNative\drivers\isdnwan.sys ()
DRV:64bit: - (VCAPI) -- C:\Windows\SysNative\drivers\vcapi.sys (Gerdes Aktiengesellschaft)
DRV:64bit: - (iaStorAV) -- C:\Windows\SysNative\drivers\iaStorAV.sys (Intel Corporation)
DRV:64bit: - (e1iexpress) -- C:\Windows\SysNative\drivers\e1i63x64.sys (Intel Corporation)
DRV:64bit: - (cht4vbd) -- C:\Windows\SysNative\drivers\cht4vx64.sys (Chelsio Communications)
DRV:64bit: - (NNetSecL) -- C:\Windows\SysNative\drivers\nnetsecl64.sys (Norman ASA)
DRV:64bit: - (RsFx0150) -- C:\Windows\SysNative\drivers\RsFx0150.sys (Microsoft Corporation)
DRV - (NGS) -- c:\Programme\Norman\Ngs\bin\ngs64.sys (Norman Safeground AS)
DRV - (NPROSEC) -- C:\Programme\Norman\Ngs\bin\nprosec64.sys (AVG Technologies Norway AS)
DRV - (nregsec) -- C:\Programme\Norman\Ngs\bin\nregsec64.sys (AVG Technologies Norway AS)
DRV - (gzflt) -- C:\Programme\Norman\Nvc\bin\gzflt.sys (BitDefender LLC)
DRV - (NNetSecC) -- C:\Programme\Norman\Ngs\bin\nnetsecc64.sys (Norman Safeground AS)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://t.de.msn.com/
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5B 9F EB 0F 94 96 CF 01  [binary data]
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-422044993-211078414-3875760348-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = firewall:8080
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf: C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp: C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf: C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll (Google Inc.)
 
 
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinned}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&xssi=t&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter},
CHR - Extension: Google Docs = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.9_0\
CHR - Extension: Google Drive = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\14.1_0\
CHR - Extension: YouTube = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.8_0\
CHR - Extension: Google-Suche = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.60_0\
CHR - Extension: Proxy SwitchySharp = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpplabbmogkhghncfbfdeeokoefdjegm\1.10.6_0\
CHR - Extension: Chrome Web Store-Zahlungen = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\1.0.0.0_0\
CHR - Extension: Google Mail = C:\Users\administrator.Domainname\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\8.1_0\
 
O1 HOSTS File: ([2013.08.22 14:25:41 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4:64bit: - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
O4:64bit: - HKLM..\Run: [Seagull Drivers] C:\Windows\ssdal_nc.exe ()
O4:64bit: - HKLM..\Run: [TrayMonitor.exe] C:\Program Files (x86)\Acronis\TrayMonitor\TrayMonitor.exe (Acronis)
O4 - HKLM..\Run: [AcronisTibMounterMonitor] C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [BackupAndRecoveryMonitor.exe] C:\Program Files (x86)\Acronis\BackupAndRecovery\BackupAndRecoveryMonitor.exe (Acronis)
O4 - HKLM..\Run: [Norman ZANDA] C:\Program Files\Norman\Npm\Bin\ZLH.EXE (Norman Safeground AS)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableAutomaticRestartSignOn = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DelayedDesktopSwitchTimeout = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableCursorSuppression = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Domainname.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{411E3B16-BC45-4DB8-9A19-9DF0C8B0C237}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{815DFEAC-A940-403E-AB86-85AA9515A324}: DhcpNameServer = 192.168.1.1
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O29:64bit: - HKLM SecurityProviders - (pwdssp.dll) -  File not found
O29 - HKLM SecurityProviders - (pwdssp.dll) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2016.12.02 21:59:57 | 000,000,000 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk /q /v *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2016.12.03 06:14:35 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\AppData\Local\ESET
[2016.12.02 22:43:52 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\AppData\Local\Advanced IP Scanner 2
[2016.12.02 22:23:10 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2016.12.02 21:59:31 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\AppData\Roaming\Enigma Software Group
[2016.12.02 21:59:27 | 000,000,000 | ---D | C] -- C:\Users\administrator.Domainname\Start Menu
[2016.12.02 17:08:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Sophos
[2016.12.02 17:08:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos
[2016.12.02 17:08:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Sophos
[2016.12.02 16:32:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ Malwarebytes Anti-Malware 
[2016.12.02 16:32:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2016.11.09 06:51:00 | 006,047,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2016.11.09 06:50:59 | 001,628,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\diagtrack.dll
[2016.11.09 06:50:58 | 003,714,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdsai.dll
[2016.11.09 06:50:56 | 001,660,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ole32.dll
[2016.11.09 06:50:56 | 001,445,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\lsasrv.dll
[2016.11.09 06:50:55 | 001,737,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dns.exe
[2016.11.09 06:50:54 | 000,921,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\refs.sys
[2016.11.09 06:50:54 | 000,721,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msdtcprx.dll
[2016.11.09 06:50:52 | 001,053,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dhcpssvc.dll
[2016.11.09 06:50:52 | 000,871,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msdtcprx.dll
[2016.11.09 06:50:52 | 000,864,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\win32spl.dll
[2016.11.09 06:50:52 | 000,331,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\repadmin.exe
[2016.11.09 06:50:52 | 000,253,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\repadmin.exe
[2016.11.09 06:50:52 | 000,194,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdskcc.dll
[2016.11.09 06:50:51 | 001,385,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msctf.dll
[2016.11.09 06:50:51 | 000,512,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winspool.drv
[2016.11.09 06:50:51 | 000,377,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vmrdvcore.dll
[2016.11.09 06:50:51 | 000,377,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\clfs.sys
[2016.11.09 06:50:50 | 002,055,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2016.11.09 06:50:50 | 000,372,568 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysNative\atmfd.dll
[2016.11.09 06:50:50 | 000,315,224 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\atmfd.dll
[2016.11.09 06:50:50 | 000,306,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\pdh.dll
[2016.11.09 06:50:49 | 002,131,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2016.11.09 06:50:48 | 000,806,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2016.11.09 06:50:48 | 000,725,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe
[2016.11.09 06:50:48 | 000,269,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\DafPrintProvider.dll
[2016.11.09 06:50:48 | 000,262,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\pdh.dll
[2016.11.09 06:50:48 | 000,254,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\UIAnimation.dll
[2016.11.09 06:50:48 | 000,204,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\SDClient.dll
[2016.11.09 06:50:47 | 000,332,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\UIAnimation.dll
[2016.11.09 06:50:47 | 000,203,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\DafPrintProvider.dll
[2016.11.09 06:50:47 | 000,056,832 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdsbsrv.dll
[2016.11.09 06:50:46 | 001,094,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\localspl.dll
[2016.11.09 06:50:46 | 000,247,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\microsoft-windows-system-events.dll
[2016.11.09 06:50:46 | 000,076,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iscsiwmi.dll
[2016.11.09 06:50:45 | 000,067,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iscsiwmi.dll
[2016.11.09 06:50:44 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iscsidsc.dll
[2016.11.09 06:50:44 | 000,024,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdsperf.dll
[2016.11.09 06:50:44 | 000,019,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntdsperf.dll
[2016.11.09 06:50:43 | 000,092,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dab.dll
[2016.11.09 06:50:43 | 000,075,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iscsidsc.dll
[2016.11.09 06:50:43 | 000,061,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\xolehlp.dll
[2016.11.09 06:50:42 | 000,263,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\input.dll
[2016.11.09 06:50:42 | 000,226,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\input.dll
[2016.11.09 06:50:41 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dsamain.exe
[2016.11.09 06:50:37 | 000,840,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\netlogon.dll
[2016.11.09 06:50:37 | 000,445,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\certcli.dll
[2016.11.09 06:50:37 | 000,315,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll
[2016.11.09 06:50:37 | 000,244,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SDClient.dll
[2016.11.09 06:50:37 | 000,050,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\xolehlp.dll
[2016.11.09 06:50:36 | 000,324,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\certcli.dll
[2016.11.09 06:50:36 | 000,092,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2016.11.09 06:50:36 | 000,064,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MshtmlDac.dll
[2016.11.09 06:50:35 | 000,817,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2016.11.09 06:50:35 | 000,800,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll
[2016.11.09 06:50:35 | 000,663,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2016.11.09 06:50:35 | 000,576,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2016.11.09 06:50:35 | 000,145,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll
[2016.11.09 06:50:35 | 000,128,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll
[2016.11.09 06:50:35 | 000,076,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2016.11.09 06:50:34 | 000,710,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll
[2016.11.09 06:50:34 | 000,044,032 | ---- | C] (Adobe Systems) -- C:\Windows\SysNative\atmlib.dll
[2016.11.09 06:50:34 | 000,035,840 | ---- | C] (Adobe Systems) -- C:\Windows\SysWow64\atmlib.dll
 
========== Files - Modified Within 30 Days ==========
 
[2016.12.03 09:27:45 | 000,001,156 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2016.12.03 00:16:43 | 000,192,031 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\census.cache
[2016.12.03 00:16:35 | 000,092,584 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\ars.cache
[2016.12.02 23:59:00 | 000,000,036 | ---- | M] () -- C:\Users\administrator.Domainname\AppData\Local\housecall.guid.cache
[2016.12.02 21:59:57 | 000,000,000 | ---- | M] () -- C:\autoexec.bat
[2016.12.02 21:27:00 | 000,001,152 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2016.12.02 17:08:20 | 000,002,775 | ---- | M] () -- C:\Users\Public\Desktop\Sophos Virus Removal Tool.lnk
[2016.12.02 13:00:08 | 000,000,508 | ---- | M] () -- C:\Windows\tasks\ShadowCopyVolume{2861f6af-5205-11e3-80b1-08606e47d01f}.job
[2016.11.27 06:10:50 | 002,340,364 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2016.11.27 06:10:50 | 000,974,182 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2016.11.27 06:10:50 | 000,916,072 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2016.11.27 06:10:50 | 000,238,356 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2016.11.27 06:10:50 | 000,205,608 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2016.11.27 06:05:13 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2016.11.20 13:00:25 | 000,000,047 | ---- | M] () -- C:\Windows\TOBITADD.INI
[2016.11.17 13:31:42 | 011,679,232 | ---- | M] () -- C:\Windows\TOBITCLT.DLL
[2016.11.13 06:05:54 | 000,338,016 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2016.11.10 10:04:20 | 000,009,942 | RHS- | M] () -- C:\ProgramData\ntuser.pol
[2016.11.08 13:50:11 | 002,467,840 | ---- | M] (Tobit Software) -- C:\Windows\SysWow64\davidlib.dll
 
========== Files Created - No Company Name ==========
 
[2016.12.03 00:16:43 | 000,192,031 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\census.cache
[2016.12.03 00:16:35 | 000,092,584 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\ars.cache
[2016.12.02 23:59:00 | 000,000,036 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\housecall.guid.cache
[2016.12.02 21:59:57 | 000,000,000 | ---- | C] () -- C:\autoexec.bat
[2016.12.02 17:08:20 | 000,002,775 | ---- | C] () -- C:\Users\Public\Desktop\Sophos Virus Removal Tool.lnk
[2016.10.25 12:31:36 | 000,000,600 | ---- | C] () -- C:\Users\administrator.Domainname\AppData\Local\PUTTY.RND
[2015.04.22 00:50:15 | 000,107,008 | ---- | C] () -- C:\Windows\SysWow64\OEMLicense.dll
[2015.04.22 00:48:26 | 000,046,080 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2013.11.20 18:38:41 | 000,009,942 | RHS- | C] () -- C:\ProgramData\ntuser.pol
 
========== ZeroAccess Check ==========
 
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2016.08.26 05:41:34 | 022,360,280 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2016.08.26 05:41:43 | 019,789,224 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2014.10.29 02:19:43 | 001,013,760 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2014.10.29 01:59:23 | 000,786,944 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2014.10.29 02:16:01 | 000,512,512 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2016.12.02 23:54:18 | 000,000,000 | ---D | M] -- C:\Users\administrator.Domainname\AppData\Roaming\Enigma Software Group
[2016.04.07 18:29:30 | 000,000,000 | ---D | M] -- C:\Users\administrator.Domainname\AppData\Roaming\Foxit Software
[2014.07.03 13:43:45 | 000,000,000 | ---D | M] -- C:\Users\administrator.Domainname\AppData\Roaming\TeamViewer
[2013.12.02 09:22:38 | 000,000,000 | ---D | M] -- C:\Users\administrator.Domainname\AppData\Roaming\Tobit
 
========== Purity Check ==========
 
 

< End of report >

cosinus · 05.12.2016, 13:28

Zitat:

Wenn ich aber aus der Acronis-Sicherung Daten wieder herstelle, werden diese erneut mit zufälligen Endungen abgelegt / verschlüsselt.
Im Backup-Container sind aber alle Daten ohne verschlüsselte Endung / Dateinamen.

Ich versteh jetzt nicht, was unsere Tools da helfen sollten.
Wenn du so das Backup zurückspielst und automatisch wieder ein Mist ausgeführt wird, machst du ja irgendwas falsch. Dazu müsstest du einfach mal auch schreiben was du genau unter wiederherstellen verstehst.

Akcent · 08.12.2016, 08:32

Die beiden Server waren sauber.

Das Acronis Problem war ein reines Anzeige-Problem.
Nach kompletter Rücksicherung wurden die Dateinamen sauber angezeigt.

Verschlüselungstrojaner Dateiname.[amagnus@india.com]

Log-Analyse und Auswertung: Verschlüselungstrojaner Dateiname.[amagnus@india.com]