TR/Ransom.Gen - Avira meldet Fund täglich wieder

cosinus · 13.10.2017, 21:11

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

hollyhock · 15.10.2017, 20:26

Bitteschön, hier die neuen FRST Logs:

FRST.txt

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 11-10-2017
durchgeführt von Feli (Administrator) auf FELI-PC (15-10-2017 21:10:44)
Gestartet von C:\Users\Feli\Desktop
Geladene Profile: Feli (Verfügbare Profile: Feli)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(CANON INC.) C:\Program Files (x86)\Canon\IJ Scan Utility\SETEVENT.exe
(Ellora Assets Corp.) C:\Program Files (x86)\Freemake\CaptureLib\CaptureLibService.exe
(Novell, Inc.) C:\Windows\System32\iprntsrv.exe
() C:\Windows\mssecsvc.exe
(Samsung Electronics Co., Ltd.) C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
(SEC) C:\Program Files (x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
(SAMSUNG Electronics) C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe
(Symantec Corporation) C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe
(Schomäcker GmbH) C:\Program Files (x86)\Q Pilot - Client\Service\QPilot-Client-Service.exe
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrl.exe
() C:\Windows\SysWOW64\Rezip.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
(Western Digital Technologies, Inc.) C:\Program Files (x86)\Western Digital\WD Drive Manager\WDDriveService.exe
(Western Digital ) C:\Program Files (x86)\Western Digital\WD SmartWare\WDRulesEngine.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
(Western Digital ) C:\Program Files (x86)\Western Digital\WD SmartWare\WDBackupEngine.exe
(Microsoft Corporation) C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
(ELAN Microelectronics Corp.) C:\Program Files\Elantech\ETDCtrlHelper.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\GWX\GWXConfigManager.exe
(Microsoft Corporation) C:\Windows\System32\sdclt.exe
(Microsoft Corporation) C:\Windows\System32\CompatTelRunner.exe
(Microsoft Corporation) C:\Windows\System32\CompatTelRunner.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [ETDWare] => C:\Program Files\Elantech\ETDCtrl.exe [2703752 2010-03-25] (ELAN Microelectronics Corp.)
HKU\S-1-5-21-3457901039-3679683318-3372754741-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Bubbles.scr [899584 2010-11-20] (Microsoft Corporation)
HKLM\...\Providers\Internet Print Provider: inetpp.dll.INACTIVE
HKLM\...\Providers\Novell iPrint Services: C:\Windows\system32\nippnt.dll [176920 2013-04-22] (Novell, Inc.)
Lsa: [Notification Packages] scecli iPrntWinCredMan

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 10.143.189.130 10.143.181.130
Tcpip\..\Interfaces\{D5571D07-B338-4285-A726-1D11EAE5367F}: [DhcpNameServer] 10.143.189.130 10.143.181.130

Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3457901039-3679683318-3372754741-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3457901039-3679683318-3372754741-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
URLSearchHook: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll Keine Datei
URLSearchHook: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Keine Datei
SearchScopes: HKLM-x32 -> DefaultScope Wert fehlt
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 -> DefaultScope {E9921A0A-FEAF-4311-AD34-C1704DFE5585} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C010DE532D20151203&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_deDE402
SearchScopes: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 -> {E9921A0A-FEAF-4311-AD34-C1704DFE5585} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C010DE532D20151203&p={searchTerms}
BHO: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll [2016-02-23] (CANON INC.)
BHO: Windows Live Family Safety Browser Helper Class -> {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} -> C:\Program Files\Windows Live\Family Safety\fssbho.dll [2009-08-05] (Microsoft Corporation)
BHO: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:\Windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2016-05-13] (Google Inc.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation)
BHO-x32: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll [2016-02-23] (CANON INC.)
BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
BHO-x32: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:\Windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
BHO-x32: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22] (Microsoft Corporation)
BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll [2016-05-13] (Google Inc.)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-02-28] (Microsoft Corporation)
BHO-x32: QUICKfind BHO Object -> {C08DF07A-3E49-4E25-9AB0-D3882835F153} -> C:\Program Files (x86)\IDM\QUICKfind\PlugIns\IEHelp.dll [2003-06-30] ()
Toolbar: HKLM - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll [2016-02-23] (CANON INC.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2016-05-13] (Google Inc.)
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll [2016-02-23] (CANON INC.)
Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll [2016-05-13] (Google Inc.)
Toolbar: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000 -> Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2016-05-13] (Google Inc.)
DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll [2009-07-26] (Microsoft Corporation)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll [2017-07-18] (Skype Technologies)

FireFox:
========
FF DefaultProfile: r0silmsq.default-1411039762169
FF ProfilePath: C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 [2017-10-13]
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 -> Sichere Suche
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 -> Sichere Suche
FF Session Restore: Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 -> ist aktiviert.
FF NetworkProxy: Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 -> autoconfig_url", "hxxp://www.uni-marburg.de/proxy.pac"
FF NetworkProxy: Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169 -> type", 2
FF Extension: (Safe Browsing Version 4 (temporary add-on)) - C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169\Extensions\sbv4-gradual-rollout@mozilla.com.xpi [2017-10-11]
FF SearchPlugin: C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169\searchplugins\McSiteAdvisor.xml [2016-06-05]
FF HKLM-x32\...\Firefox\Extensions: [{8AA36F4F-6DC7-4c06-77AF-5035170634FE}] - C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox
FF Extension: (Citavi Picker) - C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox [2016-05-30]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\McSiteAdvisor.xml [2014-01-25]
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.50709.0\npctrl.dll [2016-07-11] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.50709.0\npctrl.dll [2016-07-11] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8081.0709 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2009-07-10] (Microsoft Corporation)
FF Plugin-x32: @novell.com/iPrint -> C:\Windows\SysWOW64 [2017-10-13] ()
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-27] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-27] (Google Inc.)

Chrome: 
=======
CHR DefaultProfile: Default
CHR Session Restore: Default -> ist aktiviert.
CHR Profile: C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default [2017-10-15]
CHR Extension: (Präsentationen) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-10-13]
CHR Extension: (Docs) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-10-13]
CHR Extension: (Google Drive) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-22]
CHR Extension: (YouTube) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-03]
CHR Extension: (Google-Suche) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-27]
CHR Extension: (Tabellen) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-13]
CHR Extension: (Google Docs Offline) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-16]
CHR Extension: (Skype) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2017-08-02]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-08-30]
CHR Extension: (Citavi Picker) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohgndokldibnndfnjnagojmheejlengn [2017-03-02]
CHR Extension: (Google Mail) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-21]
CHR Extension: (Chrome Media Router) - C:\Users\Feli\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-09-29]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ohgndokldibnndfnjnagojmheejlengn] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 CIJSRegister; C:\Program Files (x86)\Canon\IJ Scan Utility\SETEVENT.exe [145440 2015-09-11] (CANON INC.)
S3 ElfoService; C:\Program Files (x86)\ElsterFormular Update Service\elfoService.exe [1283336 2017-04-21] ()
R2 FreemakeVideoCapture; C:\Program Files (x86)\Freemake\CaptureLib\CaptureLibService.exe [9216 2013-08-26] (Ellora Assets Corp.) [Datei ist nicht signiert]
R2 iprntsrv; C:\Windows\system32\iprntsrv.exe [55296 2013-04-22] (Novell, Inc.) [Datei ist nicht signiert]
R2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe [3723264 2017-10-13] () [Datei ist nicht signiert]
R2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [71680 2010-01-18] (Hewlett-Packard) [Datei ist nicht signiert]
R2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [2782552 2010-03-05] (Symantec Corporation)
R2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [89600 2010-01-18] (Hewlett-Packard) [Datei ist nicht signiert]
R2 QPilotClientService; C:\Program Files (x86)\Q Pilot - Client\Service\QPilot-Client-Service.exe [47427072 2015-11-26] (Schomäcker GmbH) [Datei ist nicht signiert]
R2 Rezip; C:\Windows\SysWOW64\Rezip.exe [311296 2009-03-05] () [Datei ist nicht signiert]
R2 WDBackup; C:\Program Files (x86)\Western Digital\WD SmartWare\WDBackupEngine.exe [1157056 2012-09-19] (Western Digital )
R2 WDDriveService; C:\Program Files (x86)\Western Digital\WD Drive Manager\WDDriveService.exe [270704 2013-07-10] (Western Digital Technologies, Inc.)
R2 WDRulesService; C:\Program Files (x86)\Western Digital\WD SmartWare\WDRulesEngine.exe [1177536 2012-09-19] (Western Digital )
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ACHTUNG (kein ServiceDLL)
S3 rtport; C:\Windows\SysWOW64\drivers\rtport.sys [15144 2010-08-14] (Windows (R) 2003 DDK 3790 provider)
S3 SMARTMouseFilterx64; C:\Windows\System32\DRIVERS\SMARTMouseFilterx64.sys [13168 2011-07-13] (SMART Technologies ULC)
S3 SMARTVHidMiniVistaAmd64; C:\Windows\System32\DRIVERS\SMARTVHidMiniVistaAmd64.sys [16368 2011-07-13] (SMART Technologies ULC)
S3 SMARTVTabletPCx64; C:\Windows\System32\DRIVERS\SMARTVTabletPCx64.sys [24944 2011-07-13] (SMART Technologies ULC)
S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2014-03-19] (Anchorfree Inc.)
R3 yukonw7; C:\Windows\System32\DRIVERS\yk62x64.sys [395264 2009-09-28] ()
S3 catchme; \??\C:\ComboFix\catchme.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-10-13 20:15 - 2017-10-13 20:31 - 003514368 ____S C:\Windows\tasksche.exe
2017-10-13 20:15 - 2017-10-13 20:15 - 003723264 ____S C:\Windows\mssecsvc.exe
2017-10-13 20:15 - 2017-10-13 20:15 - 003514368 ____S C:\Windows\qeriuwjhrf
2017-10-13 19:46 - 2017-10-13 21:40 - 000000553 _____ C:\Users\Feli\Desktop\JRT.txt
2017-10-13 19:31 - 2017-10-13 21:32 - 000000000 ____D C:\AdwCleaner
2017-10-13 19:30 - 2017-10-13 19:31 - 001790024 _____ (Malwarebytes) C:\Users\Feli\Desktop\JRT.exe
2017-10-13 19:27 - 2017-10-13 19:28 - 008250832 _____ (Malwarebytes) C:\Users\Feli\Desktop\adwcleaner_7.0.3.1.exe
2017-10-13 16:09 - 2017-10-13 17:04 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2017-10-13 16:07 - 2017-10-13 17:04 - 000000000 ____D C:\Users\Feli\Desktop\mbar
2017-10-13 16:05 - 2017-10-13 16:06 - 016563352 _____ (Malwarebytes Corp.) C:\Users\Feli\Desktop\mbar-1.09.3.1001.exe
2017-10-13 14:05 - 2017-10-13 14:12 - 000040001 _____ C:\Users\Feli\Desktop\Addition.txt
2017-10-13 14:02 - 2017-10-15 21:12 - 000017893 _____ C:\Users\Feli\Desktop\FRST.txt
2017-10-12 16:25 - 2017-10-12 16:26 - 000275544 _____ C:\Windows\Minidump\101217-21824-01.dmp
2017-10-11 20:35 - 2017-10-11 20:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2017-10-11 20:35 - 2017-10-11 20:35 - 000000000 ____D C:\Program Files\VS Revo Group
2017-10-11 20:29 - 2017-10-11 20:30 - 007178424 _____ (VS Revo Group ) C:\Users\Feli\Downloads\revosetup_v2.0.3 (1).exe
2017-10-11 20:22 - 2017-10-11 20:24 - 000851068 _____ (VS Revo Group ) C:\Users\Feli\Downloads\revosetup_v2.0.3.exe
2017-10-11 19:36 - 2017-10-11 19:58 - 000043111 _____ C:\Users\Feli\Downloads\Addition.txt
2017-10-11 19:03 - 2017-10-11 19:58 - 000031540 _____ C:\Users\Feli\Downloads\FRST.txt
2017-10-11 19:02 - 2017-10-15 21:10 - 000000000 ____D C:\FRST
2017-10-11 19:00 - 2017-10-11 19:00 - 002401792 _____ (Farbar) C:\Users\Feli\Desktop\FRST64.exe
2017-10-10 00:19 - 2017-10-12 13:16 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2017-10-01 21:19 - 2017-10-01 21:19 - 000837988 _____ C:\Users\Feli\Downloads\V16_Zuhoeren.pdf
2017-09-29 18:34 - 2017-09-29 18:34 - 000319069 _____ C:\Users\Feli\Downloads\****.pdf
2017-09-29 12:23 - 2017-09-29 12:23 - 000095620 _____ C:\Users\Feli\Downloads\****.pdf
2017-09-25 16:34 - 2017-09-25 16:34 - 000267480 _____ C:\Users\Feli\Downloads\Organizer Grunprinzipien.pdf
2017-09-22 19:25 - 2017-09-22 19:25 - 000009337 _____ C:\Users\Feli\Downloads\EPSON001.PDF
2017-09-21 20:28 - 2017-09-21 20:28 - 000188710 _____ C:\Users\Feli\Downloads\Kennenlern_Männchen.pdf
2017-09-19 18:35 - 2017-09-19 18:35 - 000043464 _____ C:\Users\Feli\Downloads\****.xlsx

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-10-15 21:06 - 2009-07-14 07:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2017-10-13 21:43 - 2009-07-14 06:45 - 000014480 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-10-13 21:43 - 2009-07-14 06:45 - 000014480 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-10-13 20:41 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\system32\NDF
2017-10-13 16:09 - 2014-05-08 13:04 - 000192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2017-10-13 16:09 - 2014-05-08 13:03 - 000000000 ____D C:\ProgramData\Malwarebytes
2017-10-13 16:07 - 2014-05-08 13:03 - 000109272 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2017-10-12 16:25 - 2011-10-12 06:59 - 000000000 ____D C:\Windows\Minidump
2017-10-12 15:55 - 2010-06-01 19:30 - 000700134 _____ C:\Windows\system32\perfh007.dat
2017-10-12 15:55 - 2010-06-01 19:30 - 000149984 _____ C:\Windows\system32\perfc007.dat
2017-10-12 15:55 - 2009-07-14 07:13 - 001622300 _____ C:\Windows\system32\PerfStringBackup.INI
2017-10-12 15:55 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\inf
2017-10-12 14:00 - 2017-05-01 10:19 - 000000000 ____D C:\Users\Feli\AppData\LocalLow\Mozilla
2017-10-12 13:59 - 2014-05-07 17:28 - 000000000 ____D C:\ProgramData\Package Cache
2017-10-12 13:36 - 2010-06-01 19:15 - 000000000 ____D C:\Windows\ShellNew
2017-10-12 13:16 - 2014-05-08 14:31 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2017-10-11 16:01 - 2009-07-14 07:08 - 000032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2017-10-10 19:55 - 2016-05-30 14:04 - 000000000 ____D C:\Users\Feli\Documents\Citavi 5
2017-10-09 20:20 - 2012-02-06 19:37 - 000000000 ____D C:\Windows\system32\Macromed
2017-10-09 20:18 - 2010-06-01 03:07 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2017-10-09 19:12 - 2011-02-06 19:06 - 000000000 ____D C:\Users\Feli\AppData\Roaming\Skype
2017-10-09 19:03 - 2017-03-26 10:13 - 000000000 ___RD C:\Program Files (x86)\Skype
2017-10-09 19:03 - 2010-06-01 03:12 - 000000000 ____D C:\ProgramData\Skype
2017-10-05 16:35 - 2015-08-16 11:24 - 000003866 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1439717071
2017-09-27 18:40 - 2013-11-05 22:11 - 000002147 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2017-09-27 18:40 - 2013-11-05 22:11 - 000002135 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2017-09-17 19:20 - 2016-04-09 22:23 - 000000000 ____D C:\Users\Feli\AppData\Roaming\Audacity
2017-09-15 18:42 - 2009-07-14 06:45 - 000497888 _____ C:\Windows\system32\FNTCACHE.DAT

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2012-01-21 11:55 - 2016-12-13 17:55 - 000010752 _____ () C:\Users\Feli\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2017-09-06 19:48 - 2017-09-06 19:48 - 000000310 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-06.log
2017-09-07 10:29 - 2017-09-07 19:57 - 000000620 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-07.log
2017-09-08 08:54 - 2017-09-08 20:03 - 000000620 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-08.log
2017-09-09 11:20 - 2017-09-09 11:20 - 000000307 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-09.log
2017-09-10 08:34 - 2017-09-10 21:31 - 000000620 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-10.log
2017-09-11 08:47 - 2017-09-11 18:25 - 000000620 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-11.log
2017-09-13 16:53 - 2017-09-13 16:53 - 000000310 _____ () C:\Users\Feli\AppData\Local\ManicTime_2017-09-13.log
2012-02-12 10:43 - 2014-05-06 18:45 - 000007605 _____ () C:\Users\Feli\AppData\Local\Resmon.ResmonCfg
2011-05-23 17:20 - 2011-05-23 17:20 - 000000000 _____ () C:\Users\Feli\AppData\Local\{5D707365-E533-4DCA-B0CA-5876B1E21786}
2016-03-14 19:43 - 2016-03-14 19:43 - 000000000 _____ () C:\Users\Feli\AppData\Local\{6052B097-F42E-4F47-9D19-F3E99CBC7281}
2017-04-30 20:50 - 2017-04-30 20:50 - 000005085 _____ () C:\ProgramData\cgbpfizu.hkv
2011-06-19 15:24 - 2011-06-19 15:24 - 000000056 ____H () C:\ProgramData\ezsidmv.dat
2010-10-15 20:16 - 2010-01-16 07:15 - 000131368 _____ () C:\ProgramData\FullRemove.exe
2017-02-03 21:26 - 2017-02-03 21:26 - 000000095 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc
2017-02-03 21:26 - 2017-02-03 21:26 - 000000089 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc
2017-02-23 18:01 - 2017-02-23 18:01 - 000005082 _____ () C:\ProgramData\nakuvtjg.ewu
2011-05-30 20:00 - 2011-05-30 20:03 - 000000664 _____ () C:\ProgramData\NCIDebug.log

Einige Dateien in TEMP:
====================
2014-05-11 12:11 - 2014-05-11 12:11 - 000000000 ____D () C:\Users\Feli\AppData\Local\Temp\avgnt.exe
2017-10-11 21:10 - 2017-10-11 21:10 - 001671168 _____ (Opera Software) C:\Users\Feli\AppData\Local\Temp\Opera_installer_201710111047698.dll

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2016-10-07 17:39

==================== Ende von FRST.txt ============================

Addition.txt

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 11-10-2017
durchgeführt von Feli (15-10-2017 21:16:31)
Gestartet von C:\Users\Feli\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2010-10-15 18:13:49)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3457901039-3679683318-3372754741-500 - Administrator - Disabled)
fbwuser6438 (S-1-5-21-3457901039-3679683318-3372754741-1004 - Limited - Enabled)
fbwuser80F2 (S-1-5-21-3457901039-3679683318-3372754741-1005 - Limited - Enabled)
fbwuser893D (S-1-5-21-3457901039-3679683318-3372754741-1006 - Limited - Enabled)
Feli (S-1-5-21-3457901039-3679683318-3372754741-1000 - Administrator - Enabled) => C:\Users\Feli
Gast (S-1-5-21-3457901039-3679683318-3372754741-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3457901039-3679683318-3372754741-1002 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

3D-Fahrschule (HKLM-x32\...\3D-Fahrschule) (Version:  - )
64 Bit HP CIO Components Installer (HKLM\...\{A9513BBC-73B4-4856-BF83-0166523ABF09}) (Version: 2.2.4 - Hewlett-Packard) Hidden
64 Bit HP CIO Components Installer (HKLM\...\{C788B026-20BD-4E96-B698-533F1D6C5013}) (Version: 7.2.4 - Hewlett-Packard) Hidden
Aldi Bestellsoftware (HKLM-x32\...\Aldi Bestellsoftware) (Version: 4.15.4 - ORWO_Net)
Atheros Client Installation Program (HKLM-x32\...\{D1434266-0486-4469-B338-A60082CC04E1}) (Version: 1.0.2.1119 - Atheros)
ATI Catalyst Install Manager (HKLM\...\{F8FEEFC0-D7D6-9A40-28E9-1E7A6716E803}) (Version: 3.0.774.0 - ATI Technologies, Inc.)
BatteryLifeExtender (HKLM-x32\...\{08B67A13-8501-48CB-B747-9D413BDC4594}) (Version: 1.0.3 - Samsung)
Broadcom 802.11 Network Adapter (HKLM\...\Broadcom 802.11 Network Adapter) (Version: 5.60.48.44 - Broadcom Corporation)
Cambridge English Pronouncing Dictionary - 17th Edition (HKLM-x32\...\cepd17) (Version:  - )
Canon Calibration Tool (HKLM-x32\...\CanonCalibrationTool) (Version: 1.0.0 - Canon Inc.)
Canon Easy-WebPrint EX (HKLM-x32\...\Easy-WebPrint EX) (Version: 1.7.0.0 - Canon Inc.)
Canon IJ Scan Utility (HKLM-x32\...\Canon_IJ_Scan_Utility) (Version: 1.2.0.18 - Canon Inc.)
Canon Kurzwahlprogramm2 (HKLM-x32\...\Speed Dial Utility2) (Version: 2.0.0 - Canon Inc.)
Canon MB5100 series Benutzerregistrierung (HKLM-x32\...\Canon MB5100 series Benutzerregistrierung) (Version:  - *Canon Inc.)
Canon MB5100 series MP Drivers (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MB5100_series) (Version: 1.00 - Canon Inc.)
Canon My Printer (HKLM-x32\...\CanonMyPrinter) (Version: 3.3.0 - Canon Inc.)
Canon Quick Utility Toolbox (HKLM-x32\...\Quick Toolbox) (Version: 2.1.0 - Canon Inc.)
ccc-core-static (HKLM-x32\...\{C28CE716-3F07-528A-6CC8-FDF2865BCAAF}) (Version: 2010.0504.2152.37420 - ATI) Hidden
CharisSIL 4.114 (HKLM-x32\...\CharisSIL) (Version:  - )
Citavi 5  (HKLM-x32\...\{7EB278FB-0C3C-445E-8665-4A6CDD9B794E}) (Version: 5.3.1.0 - Swiss Academic Software)
CyberLink YouCam (HKLM-x32\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 2.0.3911 - CyberLink Corp.)
Easy Content Share (HKLM-x32\...\{2DDC70C1-C77A-4D08-89D2-9AB648504533}) (Version: 1.0.0.13 - Samsung Electronics Co., LTD)
Easy Display Manager (HKLM-x32\...\{17283B95-21A8-4996-97DA-547A48DB266F}) (Version: 3.1 - Samsung Electronics Co., Ltd.)
Easy Network Manager (HKLM-x32\...\{F771F1D4-EDD4-4D68-82DC-811583C099CD}) (Version: 4.3.1 - Samsung)
Easy SpeedUp Manager (HKLM-x32\...\{EF367AA4-070B-493C-9575-85BE59D789C9}) (Version: 2.1.0.11 - Samsung Electronics Co.,Ltd.)
EasyBatteryManager (HKLM-x32\...\{4A331D24-A9E8-484F-835E-1BA7B139689C}) (Version: 4.0.0.4 - Samsung)
EasyFileShare (HKLM-x32\...\{C4582EED-A3FB-4358-8F3F-8C994460DF28}) (Version: 1.0.3 - Samsung)
ElsterFormular (HKLM-x32\...\{C75F51E9-3DDE-42EC-9D00-97E7C4F9CEF8}) (Version: 18.3.0 - Thüringer Landesfinanzdirektion)
ETDWare PS/2-x64 7.0.7.0_WHQL (HKLM\...\Elantech) (Version: 7.0.7.0 - ELAN Microelectronics Corp.)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 61.0.3163.100 - Google Inc.)
Google Earth Pro (HKLM-x32\...\{ECF2E224-42F5-4E50-B58E-94CA70E85697}) (Version: 7.3.0.3832 - Google)
Google Toolbar for Internet Explorer (HKLM-x32\...\{18455581-E099-4BA8-BC6B-F34B2F06600C}) (Version: 1.0.0 - Google Inc.) Hidden
Google Toolbar for Internet Explorer (HKLM-x32\...\{2318C2B1-4965-11d4-9B18-009027A5CD4F}) (Version: 7.5.8231.2252 - Google Inc.)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.5 - Google Inc.) Hidden
IJ Network Device Setup Utility (HKLM-x32\...\IJ Network Device Setup Utility) (Version: 1.1.0 - Canon Inc.)
Intel(R) Rapid Storage Technology (HKLM-x32\...\{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}) (Version: 9.6.3.1001 - Intel Corporation)
Intel(R) Turbo Boost Technology Driver (HKLM-x32\...\{D6C630BF-8DBB-4042-8562-DC9A52CB6E7E}) (Version: 01.02.00.1002 - Intel Corporation)
Junk Mail filter update (HKLM-x32\...\{E2DFE069-083E-4631-9B6C-43C48E991DE5}) (Version: 14.0.8089.726 - Microsoft Corporation) Hidden
ManicTime (HKLM-x32\...\{6C5F1308-B783-4C5F-B38C-C7D2134F44E1}) (Version: 3.7.4.0 - Finkit d.o.o.)
Marvell Miniport Driver (HKLM-x32\...\Marvell Miniport Driver) (Version: 11.22.3.3 - Marvell)
MFC RunTime files (HKLM-x32\...\{70C592EC-AE9B-4734-928B-676E824FB41E}) (Version: 1.0.0 - Extensoft) Hidden
Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office Klick-und-Los 2010 (HKLM-x32\...\Office14.Click2Run) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft PowerPoint Viewer (HKLM-x32\...\{95140000-00AF-0407-0000-0000000FF1CE}) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50709.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053 (HKLM\...\{B6E3757B-5E77-3915-866A-CCFC4B8D194C}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (HKLM-x32\...\{770657D0-A123-3C07-8E44-1C83EC895118}) (Version: 8.0.50727.4053 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) - KB2467175 (HKLM\...\{aac9fcc4-dd9e-4add-901c-b5496a07ab2e}) (Version: 8.0.51011 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{071c9b48-7c32-4621-a0ac-3f809523288f}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570 (HKLM\...\{8338783A-0968-3B85-AFC7-BAAE0A63DC50}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (HKLM-x32\...\{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{6AFCA4E1-9B78-3640-8F72-A7BF33448200}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.24215 (HKLM-x32\...\{e2803110-78b3-4664-a479-3611a381656a}) (Version: 14.0.24215.1 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Mozilla Firefox 56.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 56.0 (x86 de)) (Version: 56.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 56.0.0.6478 - Mozilla)
MuseScore 1.0 MuseScore score typesetter (HKLM-x32\...\MuseScore) (Version: 1.0.0 - Werner Schweer and Others)
Norton Online Backup (HKLM-x32\...\{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}) (Version: 2.1.13580 - Symantec Corporation)
Novell iPrint Client v05.90.00 (HKLM\...\Novell iPrint Client) (Version:  - Novell, Inc.)
NVIDIA PhysX (HKLM-x32\...\{1C4551A6-4743-4093-91E4-1477CD655043}) (Version: 9.09.0203 - NVIDIA Corporation)
Q Pilot - Client (HKLM-x32\...\Q Pilot - Client 4.16.2.19648) (Version: 4.16.2.19648 - Schomäcker GmbH)
QUICKfind (HKLM-x32\...\{593AFFA4-D08E-4272-BABB-420949D32A10}) (Version:  - )
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6083 - Realtek Semiconductor Corp.)
REALTEK Wireless LAN Software (HKLM-x32\...\{0F796312-289C-40CA-856C-9FBCF5E83342}) (Version: 0133.09.1202 - REALTEK Semiconductor Corp.)
Revo Uninstaller 2.0.3 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.3 - VS Revo Group, Ltd.)
Samsung Recovery Solution 4 (HKLM-x32\...\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}) (Version: 4.0.0.6 - Samsung)
Samsung Support Center (HKLM-x32\...\{F687E657-F636-44DF-8125-9FEEA2C362F5}) (Version: 1.0.2 - Samsung)
Samsung Update Plus (HKLM-x32\...\{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}) (Version: 2.0 - Samsung Electronics Co., Ltd.)
Screencast-O-Matic (HKU\S-1-5-21-3457901039-3679683318-3372754741-1000\...\Screencast-O-Matic) (Version:  - Screencast-O-Matic)
SES Driver (HKLM\...\{D8CC254C-C671-4664-9A38-FA368D1E2C97}) (Version: 1.0.0 - Western Digital)
Skype Click to Call (HKLM-x32\...\{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}) (Version: 8.5.0.9167 - Microsoft Corporation)
Skype™ 7.40 (HKLM-x32\...\{3B7E914A-93D5-4A29-92BB-AF8C3F66C431}) (Version: 7.40.103 - Skype Technologies S.A.)
Slingo (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110160733}) (Version:  - Oberon Media)
swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
Texmaker (HKLM-x32\...\Texmaker) (Version:  - )
United Kingdom IPA (HKLM\...\{2D923601-FDA7-4C4D-A4DD-3851B985107C}) (Version: 1.0.3.40 - REJC2.co.uk)
User Guide (HKLM-x32\...\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}) (Version: 1.0 - )
WD Drive Utilities (HKLM-x32\...\{72E40002-8CEC-47C1-A099-83AC8E173BF0}) (Version: 1.0.3.3 - Western Digital Technologies, Inc.)
WD Security (HKLM-x32\...\{8A7B24E8-864E-4794-95C4-17644D0991AA}) (Version: 1.0.6.3 - Western Digital Technologies, Inc.)
WD SmartWare (HKLM\...\{6FE8A1DA-8CA6-4801-BF0F-0F2FED143FF4}) (Version: 1.6.4.7 - Western Digital Technologies, Inc.)
Windows Driver Package - Western Digital Technologies (WDC_SAM) WDC_SAM  (01/19/2011 1.0.0009.0) (HKLM\...\4CA7CFBB29889F25ACB3DF6E3A42BAE29EB43B20) (Version: 01/19/2011 1.0.0009.0 - Western Digital Technologies)
Windows Live Anmelde-Assistent (HKLM-x32\...\{52B97218-98CB-4B8B-9283-D213C85E1AA4}) (Version: 5.000.818.5 - Microsoft Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Windows Live Sync (HKLM-x32\...\{76618402-179D-4699-A66B-D351C59436BC}) (Version: 14.0.8089.726 - Microsoft Corporation)
Windows Live-Uploadtool (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation)
WinPcap 4.1.2 (HKLM-x32\...\WinPcapInst) (Version: 4.1.0.2001 - CACE Technologies)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3457901039-3679683318-3372754741-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Feli\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Keine Datei
ContextMenuHandlers1: [WDBackupMenuHandler] -> {C752BC82-C19A-4827-9C15-0996BA85C180} => C:\Program Files\Western Digital\WD SmartWare\\WDContextMenuHandler.dll [2012-09-19] (Western Digital)
ContextMenuHandlers2: [CWDDriveMenuHandler] -> {CCEFA845-DCDB-4A2F-8BED-DBE87CD198EC} => C:\Program Files\Western Digital\WD SmartWare\\WDContextMenuHandler.dll [2012-09-19] (Western Digital)
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\atiacm64.dll [2010-05-04] (Advanced Micro Devices, Inc.)
ContextMenuHandlers6: [WDBackupMenuHandler] -> {C752BC82-C19A-4827-9C15-0996BA85C180} => C:\Program Files\Western Digital\WD SmartWare\\WDContextMenuHandler.dll [2012-09-19] (Western Digital)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {01161305-7E6E-4EF7-806C-AF30A96B727C} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent => Command(1): %windir%\system32\GWX\GWXConfigManager.exe -> /RefreshConfigAndContent
Task: {01161305-7E6E-4EF7-806C-AF30A96B727C} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent => Command(2): C:\Windows\system32\GWX\GWXDetector.exe [2015-12-08] (Microsoft Corporation)
Task: {056FCD59-057C-4D05-A9E3-327F5754B09E} - System32\Tasks\{19383A13-CE90-4778-BD00-809112658FFF} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.30.80.105/en/abandoninstall?page=tsProgressBar
Task: {3045A779-24FA-4DFF-AEB8-B6669F5568C2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.)
Task: {41E16080-B68C-4B8C-B598-C7D65177511A} - System32\Tasks\{66E50833-9C15-424A-AD66-ED7D44D25143} => C:\Windows\system32\pcalua.exe -a "C:\Users\Feli\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\X2HQDI4B\avira_antivir_personal_de1000567[1].exe" -d C:\Users\Feli\Desktop
Task: {6FCA1005-71AE-4823-83B7-9B1E7072B341} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => Command(1): %windir%\system32\GWX\GWXConfigManager.exe -> /RefreshConfig
Task: {6FCA1005-71AE-4823-83B7-9B1E7072B341} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => Command(2): C:\Windows\system32\GWX\GWXDetector.exe [2015-12-08] (Microsoft Corporation)
Task: {7024BEB4-EBE5-4895-9825-55CF7751CBBE} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.)
Task: {73FDE189-E445-4640-8929-C9CC9E421AD1} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime => Command(1): %windir%\system32\GWX\GWXUXWorker.exe -> /ScheduleUpgradeReminderTime
Task: {73FDE189-E445-4640-8929-C9CC9E421AD1} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime => Command(2): C:\Windows\system32\GWX\GWXDetector.exe [2015-12-08] (Microsoft Corporation)
Task: {8813E5D3-87AE-4768-B14F-387BD05ACF8D} - System32\Tasks\SamsungSupportCenter => C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe [2010-05-06] (SAMSUNG Electronics)
Task: {AA909D8D-CF10-4931-AD8C-FC72BE0C3E0B} - System32\Tasks\Opera scheduled Autoupdate 1439717071 => C:\Program Files (x86)\Opera\launcher.exe
Task: {B3038D87-CE94-422A-9FDC-9D893BB5CEE3} - System32\Tasks\advSRS4 => C:\Program Files (x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe [2010-01-19] (SEC)
Task: {C40215BF-E62D-4F60-A6B6-BBA33AA114EC} - System32\Tasks\{3BA07FA8-4C61-4771-9534-06FEEA7142EE} => C:\Windows\system32\pcalua.exe -a C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe <==== ACHTUNG
Task: {D7124D21-9D3D-430E-9095-5CA5C98AB530} - System32\Tasks\BatteryLifeExtender => C:\Program Files (x86)\Samsung\BatteryLifeExtender\BatteryLifeExtender.exe [2010-04-17] (Samsung Electronics. Co. Ltd.)
Task: {D774F9DD-6A0C-478D-A6E1-DF1734E28C67} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
Task: {E2DFD6AE-D0DF-46E8-B282-C76C5B2C26BE} - System32\Tasks\{92A0ED3C-FA39-4C05-902D-F694E4134F57} => "c:\program files (x86)\mozilla firefox\firefox.exe" hxxp://ui.skype.com/ui/0/6.21.0.104/en/abandoninstall?page=tsBing
Task: {F2287E96-AEA2-4E0A-AFBF-0B94511B4F4C} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => Command(1): %windir%\system32\GWX\GWXConfigManager.exe -> /RefreshConfig
Task: {F2287E96-AEA2-4E0A-AFBF-0B94511B4F4C} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => Command(2): %windir%\system32\GWX\GWXConfigManager.exe -> /RefreshContent
Task: {F2287E96-AEA2-4E0A-AFBF-0B94511B4F4C} - C:\Windows\System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => Command(3): C:\Windows\system32\GWX\GWXDetector.exe [2015-12-08] (Microsoft Corporation)
Task: {F56B76B9-95E0-47F8-8A07-72DDB540B015} - System32\Tasks\EasyDisplayMgr => C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe [2010-04-07] (Samsung Electronics Co., Ltd.)
Task: {F9CA1392-E487-4137-A87C-81CCC7BA4EEA} - System32\Tasks\{54B6E1C9-4912-4EBD-A2E5-3C5273FC60B1} => C:\Windows\system32\pcalua.exe -a E:\setup.EXE -d E:\
Task: {F9CE13F9-8BA6-4A7A-9512-FC0F318C1BB5} - System32\Tasks\EasyBatteryManager => C:\Program Files (x86)\Samsung\EasyBatteryManager\EasyBatteryMgr4.exe [2010-03-29] (SAMSUNG Electronics co., LTD.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2017-10-13 20:15 - 2017-10-13 20:15 - 003723264 ____S () C:\WINDOWS\mssecsvc.exe
2010-06-01 03:04 - 2009-03-05 11:54 - 000311296 _____ () C:\Windows\SysWOW64\Rezip.exe
2017-09-27 18:40 - 2017-09-21 09:29 - 004022616 _____ () C:\Program Files (x86)\Google\Chrome\Application\61.0.3163.100\libglesv2.dll
2017-09-27 18:40 - 2017-09-21 09:29 - 000100184 _____ () C:\Program Files (x86)\Google\Chrome\Application\61.0.3163.100\libegl.dll
2010-06-01 03:09 - 2006-08-12 05:48 - 000049152 _____ () C:\Program Files (x86)\Samsung\Easy Display Manager\HookDllPS2.dll
2016-07-02 11:09 - 2015-11-26 13:44 - 000013312 _____ () C:\Program Files (x86)\Q Pilot - Client\Common\Java\bin\jetvm\jvm.dll
2016-07-02 11:09 - 2015-11-26 13:44 - 000074240 _____ () C:\Program Files (x86)\Q Pilot - Client\Common\Java\bin\java.dll
2016-07-02 11:09 - 2015-11-26 13:44 - 000068608 _____ () C:\Program Files (x86)\Q Pilot - Client\Common\Java\bin\zip.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\ProgramData\Temp:2430E4FC [116]
AlternateDataStreams: C:\ProgramData\Temp:268F887D [147]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [284]
AlternateDataStreams: C:\ProgramData\Temp:798A3728 [266]
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 [131]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2014-05-11 11:26 - 000000027 _____ C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3457901039-3679683318-3372754741-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Feli\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 10.143.189.130 - 10.143.181.130
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{E4DD74AB-5A20-413E-8ED5-EA086E62866C}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe
FirewallRules: [{BB2FDF3C-15FC-4DF5-A23C-F9533E397013}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MNA\McNaSvc.exe
FirewallRules: [{E708446F-EF36-4034-A22E-69DE5975F191}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\wlcsdk.exe
FirewallRules: [{F10F85FA-B2EF-4212-A64B-0A595E774050}] => (Allow) C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
FirewallRules: [{7B348829-040C-4E73-8ED3-B0AC29AF5F6F}] => (Allow) svchost.exe
FirewallRules: [{5BD2AB67-0D20-45F0-BB63-57D293F2C340}] => (Allow) C:\Program Files (x86)\Windows Live\Sync\WindowsLiveSync.exe
FirewallRules: [TCP Query User{DB21CCFA-A52C-4A1C-9074-29657131AE1F}C:\program files (x86)\nwprintclient\nwprintclient.exe] => (Allow) C:\program files (x86)\nwprintclient\nwprintclient.exe
FirewallRules: [UDP Query User{0D6FAE02-61FC-495E-8FE3-F818935C2BC0}C:\program files (x86)\nwprintclient\nwprintclient.exe] => (Allow) C:\program files (x86)\nwprintclient\nwprintclient.exe
FirewallRules: [{2BA8027E-330B-44F5-B255-3A963958F320}] => (Allow) C:\Program Files (x86)\SMART Technologies\Education Software\VantageService.exe
FirewallRules: [{A569763B-B31D-49CA-BC42-2F23BA77BEB0}] => (Allow) C:\Program Files (x86)\SMART Technologies\Education Software\VantageService.exe
FirewallRules: [TCP Query User{74EF61E4-A7B4-4199-91A4-6C2DFDF46F55}C:\program files (x86)\internet explorer\iexplore.exe] => (Block) C:\program files (x86)\internet explorer\iexplore.exe
FirewallRules: [UDP Query User{79E99C9E-FCB1-4167-BA13-83B1BB183094}C:\program files (x86)\internet explorer\iexplore.exe] => (Block) C:\program files (x86)\internet explorer\iexplore.exe
FirewallRules: [TCP Query User{CC0EC749-0B7A-4AF4-BDF9-8262D4544F31}C:\program files (x86)\bungee jumping\bungee.exe] => (Block) C:\program files (x86)\bungee jumping\bungee.exe
FirewallRules: [UDP Query User{690BFAE7-0BE2-4532-B529-E47B8705F528}C:\program files (x86)\bungee jumping\bungee.exe] => (Block) C:\program files (x86)\bungee jumping\bungee.exe
FirewallRules: [TCP Query User{AF1F3814-FDCD-41E7-A38B-61A2B76786CD}C:\program files (x86)\nwprintclient\nwprintclient.exe] => (Allow) C:\program files (x86)\nwprintclient\nwprintclient.exe
FirewallRules: [UDP Query User{1755F5E4-6D7D-4321-B70B-2EA535F82C0C}C:\program files (x86)\nwprintclient\nwprintclient.exe] => (Allow) C:\program files (x86)\nwprintclient\nwprintclient.exe
FirewallRules: [{0D709E41-6263-4CA1-B7ED-B8A5D407488D}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{12AD5617-4995-450F-9042-CAF1B739518B}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [TCP Query User{CF9CF7E2-C74C-4AA6-A761-A942DCA16541}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [UDP Query User{8E5A7AE7-288E-4F9C-84C1-3285204B0E44}C:\program files (x86)\mozilla firefox\firefox.exe] => (Block) C:\program files (x86)\mozilla firefox\firefox.exe
FirewallRules: [TCP Query User{102BD787-617D-44E0-B31A-8E631E5FC98A}D:\ibm\spss\statistics\22\stats.exe] => (Allow) D:\ibm\spss\statistics\22\stats.exe
FirewallRules: [UDP Query User{FC3D52E6-701C-4E3A-9161-DAB9EA41C937}D:\ibm\spss\statistics\22\stats.exe] => (Allow) D:\ibm\spss\statistics\22\stats.exe
FirewallRules: [TCP Query User{2897A981-F2FA-4AF9-B86B-5D6B046A53CE}D:\ibm\spss\statistics\22\jre\bin\javaw.exe] => (Allow) D:\ibm\spss\statistics\22\jre\bin\javaw.exe
FirewallRules: [UDP Query User{23068168-C340-4D98-892C-3FB0554DDEAC}D:\ibm\spss\statistics\22\jre\bin\javaw.exe] => (Allow) D:\ibm\spss\statistics\22\jre\bin\javaw.exe
FirewallRules: [{EA5EB6AC-EAC8-4913-AF4B-86CCAF7A77FA}] => (Allow) C:\Program Files (x86)\Canon\Quick Utility Toolbox\cnqtbapp.exe
FirewallRules: [{3FF2AFE3-9CCC-4757-B0BC-EF4E1151F394}] => (Allow) C:\Program Files (x86)\Canon\IJ Network Device Setup Utility\cnwiddsu.exe
FirewallRules: [{22EFDAB1-C936-4997-B744-37ED47635131}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

13-10-2017 21:34:35 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/15/2017 09:19:46 PM) (Source: SideBySide) (EventID: 59) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\WINDOWS\tasksche.exe". Fehler in Manifest- oder Richtliniendatei "C:\WINDOWS\tasksche.exe" in Zeile 0.
Ungültige XML-Syntax.

Error: (10/13/2017 08:31:16 PM) (Source: SideBySide) (EventID: 59) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\WINDOWS\tasksche.exe". Fehler in Manifest- oder Richtliniendatei "C:\WINDOWS\tasksche.exe" in Zeile 0.
Ungültige XML-Syntax.

Error: (10/13/2017 08:15:28 PM) (Source: SideBySide) (EventID: 59) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\WINDOWS\tasksche.exe". Fehler in Manifest- oder Richtliniendatei "C:\WINDOWS\tasksche.exe" in Zeile 0.
Ungültige XML-Syntax.

Error: (10/12/2017 01:32:16 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {1abaf663-b5f7-4175-a8de-b3df41405bdb}

Error: (10/11/2017 08:45:38 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {119fa4bc-36cb-492e-a6ae-6aaa7607d546}

Error: (10/11/2017 08:35:05 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm avgnt.exe, Version 15.0.32.5 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c60

Startzeit: 01d34299ada7d005

Endzeit: 60000

Anwendungspfad: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe

Berichts-ID: b5f9d517-aeb2-11e7-a618-002454bac401

Error: (10/11/2017 07:16:32 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm FRST64.exe, Version 11.10.2017.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c04

Startzeit: 01d342b2a9690017

Endzeit: 3

Anwendungspfad: C:\Users\Feli\Downloads\FRST64.exe

Berichts-ID: 3a0bf9f6-aea7-11e7-a618-002454bac401

Error: (09/25/2017 04:37:26 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: spoolsv.exe, Version: 6.1.7601.17777, Zeitstempel: 0x4f35fc1d
Name des fehlerhaften Moduls: CNMLMD2.DLL, Version: 0.3.0.1, Zeitstempel: 0x564d68a7
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000036406
ID des fehlerhaften Prozesses: 0x540
Startzeit der fehlerhaften Anwendung: 0x01d33605dd53b91c
Pfad der fehlerhaften Anwendung: C:\Windows\System32\spoolsv.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\CNMLMD2.DLL
Berichtskennung: 0ca760d9-a1ff-11e7-8830-002454bac401

Error: (09/15/2017 10:34:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Explorer.EXE, Version: 6.1.7601.17567, Zeitstempel: 0x4d672ee4
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.23539, Zeitstempel: 0x57c99b8f
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000bf262
ID des fehlerhaften Prozesses: 0x8d8
Startzeit der fehlerhaften Anwendung: 0x01d32e41a8097967
Pfad der fehlerhaften Anwendung: C:\Windows\Explorer.EXE
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 52bcc06e-9a55-11e7-ab72-002454bac401

Error: (09/13/2017 07:35:17 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files (x86)\Windows Live\Photo Gallery\MovieMaker.Exe". Fehler in Manifest- oder Richtliniendatei "C:\Program Files (x86)\Windows Live\Photo Gallery\WLMFDS.DLL" in Zeile  8.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition: WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.


Systemfehler:
=============
Error: (10/13/2017 09:32:58 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.

Error: (10/13/2017 09:32:58 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.

Error: (10/13/2017 09:32:47 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Application Virtualization Client" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Q Pilot - Client Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "WD Backup" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "WD Rules" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Microsoft Security Center (2.0) Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "AMD External Events Utility" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/13/2017 09:32:45 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "FreemakeVideoCapture" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.


CodeIntegrity:
===================================
  Date: 2014-05-11 11:23:19.698
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2014-05-11 11:23:19.464
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2014-05-11 11:23:19.230
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2014-05-11 11:23:19.011
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2014-05-08 19:39:34.222
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2014-05-08 19:39:33.988
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume3\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
Prozentuale Nutzung des RAM: 56%
Installierter physikalischer RAM: 3946.12 MB
Verfügbarer physikalischer RAM: 1721.33 MB
Summe virtueller Speicher: 7890.42 MB
Verfügbarer virtueller Speicher: 5800.5 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:112 GB) (Free:4.37 GB) NTFS
Drive d: () (Fixed) (Total:165.99 GB) (Free:64.82 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 298.1 GB) (Disk ID: 4394EB81)
Partition 1: (Not Active) - (Size=20 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=112 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=166 GB) - (Type=OF Extended)

==================== Ende von Addition.txt ============================

cosinus · 16.10.2017, 12:34

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM\...\Providers\Internet Print Provider: inetpp.dll.INACTIVE
FF Extension: (Safe Browsing Version 4 (temporary add-on)) - C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169\Extensions\sbv4-gradual-rollout@mozilla.com.xpi [2017-10-11]
Task: {C40215BF-E62D-4F60-A6B6-BBA33AA114EC} - System32\Tasks\{3BA07FA8-4C61-4771-9534-06FEEA7142EE} => C:\Windows\system32\pcalua.exe -a C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe <==== ACHTUNG
AlternateDataStreams: C:\ProgramData\Temp:2430E4FC [116]
AlternateDataStreams: C:\ProgramData\Temp:268F887D [147]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [284]
AlternateDataStreams: C:\ProgramData\Temp:798A3728 [266]
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 [131]
C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe
C:\Windows\tasksche.exe
C:\Windows\mssecsvc.exe
C:\Windows\qeriuwjhrf
C:\ProgramData\cgbpfizu.hkv
C:\ProgramData\ezsidmv.dat
C:\ProgramData\FullRemove.exe
C:\ProgramData\nakuvtjg.ewu
C:\ProgramData\NCIDebug.log
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

hollyhock · 16.10.2017, 14:54

Hier ist die Fixlog.txt

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 11-10-2017
durchgeführt von Feli (16-10-2017 15:33:52) Run:1
Gestartet von C:\Users\Feli\Desktop
Geladene Profile: Feli (Verfügbare Profile: Feli)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\...\Providers\Internet Print Provider: inetpp.dll.INACTIVE
FF Extension: (Safe Browsing Version 4 (temporary add-on)) - C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169\Extensions\sbv4-gradual-rollout@mozilla.com.xpi [2017-10-11]
Task: {C40215BF-E62D-4F60-A6B6-BBA33AA114EC} - System32\Tasks\{3BA07FA8-4C61-4771-9534-06FEEA7142EE} => C:\Windows\system32\pcalua.exe -a C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe <==== ACHTUNG
AlternateDataStreams: C:\ProgramData\Temp:2430E4FC [116]
AlternateDataStreams: C:\ProgramData\Temp:268F887D [147]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [284]
AlternateDataStreams: C:\ProgramData\Temp:798A3728 [266]
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 [131]
C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe
C:\Windows\tasksche.exe
C:\Windows\mssecsvc.exe
C:\Windows\qeriuwjhrf
C:\ProgramData\cgbpfizu.hkv
C:\ProgramData\ezsidmv.dat
C:\ProgramData\FullRemove.exe
C:\ProgramData\nakuvtjg.ewu
C:\ProgramData\NCIDebug.log
emptytemp:
*****************

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\Internet Print Provider => Schlüssel erfolgreich entfernt
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order Internet Print Provider => erfolgreich entfernt
C:\Users\Feli\AppData\Roaming\Mozilla\Firefox\Profiles\r0silmsq.default-1411039762169\Extensions\sbv4-gradual-rollout@mozilla.com.xpi => erfolgreich verschoben
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C40215BF-E62D-4F60-A6B6-BBA33AA114EC} => Schlüssel erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C40215BF-E62D-4F60-A6B6-BBA33AA114EC} => Schlüssel erfolgreich entfernt
C:\Windows\System32\Tasks\{3BA07FA8-4C61-4771-9534-06FEEA7142EE} => erfolgreich verschoben
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3BA07FA8-4C61-4771-9534-06FEEA7142EE} => Schlüssel erfolgreich entfernt
C:\ProgramData\Temp => ":2430E4FC" ADS erfolgreich entfernt.
C:\ProgramData\Temp => ":268F887D" ADS erfolgreich entfernt.
C:\ProgramData\Temp => ":4CF61E54" ADS erfolgreich entfernt.
C:\ProgramData\Temp => ":798A3728" ADS erfolgreich entfernt.
C:\ProgramData\Temp => ":E36F5B57" ADS erfolgreich entfernt.
C:\Users\Feli\AppData\Local\Temp\Temp1_Richtig_so.zip\Richtig_so\Vokabellernspiel.exe => erfolgreich verschoben
C:\Windows\tasksche.exe => erfolgreich verschoben
C:\Windows\mssecsvc.exe => erfolgreich verschoben
C:\Windows\qeriuwjhrf => erfolgreich verschoben
C:\ProgramData\cgbpfizu.hkv => erfolgreich verschoben
C:\ProgramData\ezsidmv.dat => erfolgreich verschoben
C:\ProgramData\FullRemove.exe => erfolgreich verschoben
C:\ProgramData\nakuvtjg.ewu => erfolgreich verschoben
C:\ProgramData\NCIDebug.log => erfolgreich verschoben

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14301649 B
Java, Flash, Steam htmlcache => 229058 B
Windows/system/drivers => 4555328477 B
Edge => 0 B
Chrome => 188114489 B
Firefox => 318902030 B
Opera => 10824030 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 33058 B
Public => 0 B
ProgramData => 0 B
systemprofile => 52062 B
systemprofile32 => 132164 B
LocalService => 132372 B
NetworkService => 87680 B
Feli => 2343787144 B

RecycleBin => 1816226126 B
EmptyTemp: => 8.6 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 15:47:19 ====

cosinus · 16.10.2017, 17:33

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:

1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

Installiere das Programm in den vorgegebenen Pfad.
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM nach dem Neustart, klicke auf Berichte.
Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

Starte die Installationsdatei.
Akzeptiere die Nutzungsbedingungen.
Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
Code:
ATTFilter
```
notepad "%tmp%\log.txt"
         
```
Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

hollyhock · 16.10.2017, 22:39

So, fertig, ESET hat ganz schön lange gebraucht.
Hier sind die Logs:

mbam.txt

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 16.10.17
Scan-Zeit: 19:18
Protokolldatei: 11d35c6e-b296-11e7-b2c0-002454bac401.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.212
Version des Aktualisierungspakets: 1.0.3025
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Feli-PC\Feli

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 354753
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 18 Min., 45 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

eset.txt

Code:

ATTFilter

C:\FRST\Quarantine\C\Windows\mssecsvc.exe.xBAD	Win32/Exploit.CVE-2017-0147.A Trojaner	
C:\FRST\Quarantine\C\Windows\qeriuwjhrf.xBAD	Win32/Filecoder.WannaCryptor.D Trojaner	
C:\FRST\Quarantine\C\Windows\tasksche.exe.xBAD	Win32/Filecoder.WannaCryptor.D Trojaner	
C:\Users\Feli\Downloads\Audiograbber - CHIP-Installer.exe	Variante von Win32/DownloadSponsor.C eventuell unerwünschte Anwendung

logeset.txt

Code:

ATTFilter

19:45:13 # product=EOS
# version=8
# flags=0
# esetonlinescanner_deu.exe=2.0.17.0
# EOSSerial=166cb2f9d09b184b8bb85690ee8fd7cd
# end=init
# utc_time=2017-10-16 17:45:13
# local_time=2017-10-16 19:45:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
19:45:19 # product=EOS
# version=8
# flags=0
# esetonlinescanner_deu.exe=2.0.17.0
# EOSSerial=166cb2f9d09b184b8bb85690ee8fd7cd
# end=init
# utc_time=2017-10-16 17:45:18
# local_time=2017-10-16 19:45:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
19:45:24 Updating
19:45:24 Update Init
19:45:25 Update Download
19:48:14 esets_scanner_reload returned 0
19:48:14 g_uiModuleBuild: 35081
19:48:14 Update Finalize
19:48:14 Call m_esets_charon_send
19:48:14 Call m_esets_charon_destroy
19:48:14 Updated modules version: 35081
19:48:28 Call m_esets_charon_setup_create
19:48:28 Call m_esets_charon_create
19:48:28 m_esets_charon_create OK
19:48:28 Call m_esets_charon_start_send_thread
19:48:28 Call m_esets_charon_setup_set
19:48:28 m_esets_charon_setup_set OK
19:48:28 Scanner engine: 35081
23:26:35 # product=EOS
# version=8
# flags=0
# esetonlinescanner_deu.exe=2.0.17.0
# EOSSerial=166cb2f9d09b184b8bb85690ee8fd7cd
# engine=35081
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# sfx_checked=true
# utc_time=2017-10-16 21:26:34
# local_time=2017-10-16 23:26:34 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 134622307 259819044 0 0
# scanned=2
# found=4
# cleaned=0
# scan_time=13099
sh=DC9689CC970FA0633CD27BDA20497432C32B878B ft=1 fh=0000000000000000 vn="Win32/Exploit.CVE-2017-0147.A Trojaner" ac=I fn="C:\FRST\Quarantine\C\Windows\mssecsvc.exe.xBAD"
sh=FC2C1890E02B12AE043EF1310964E758B644CBC8 ft=1 fh=0000000000000000 vn="Win32/Filecoder.WannaCryptor.D Trojaner" ac=I fn="C:\FRST\Quarantine\C\Windows\qeriuwjhrf.xBAD"
sh=FC2C1890E02B12AE043EF1310964E758B644CBC8 ft=1 fh=0000000000000000 vn="Win32/Filecoder.WannaCryptor.D Trojaner" ac=I fn="C:\FRST\Quarantine\C\Windows\tasksche.exe.xBAD"
sh=9D4B5B9F23B851247CE55E639AE5F153AA8FBC90 ft=1 fh=0000000000000000 vn="Variante von Win32/DownloadSponsor.C eventuell unerwünschte Anwendung" ac=I fn="C:\Users\Feli\Downloads\Audiograbber - CHIP-Installer.exe"
23:28:41 Call m_esets_charon_send
23:28:41 Call m_esets_charon_destroy
23:28:42 RecursiveRemoveDirectoryAndAllFiles: C:\Users\Feli\AppData\Local\ESET\ESETOnlineScanner\Quarantine\

checkup.txt

Code:

ATTFilter

 Results of screen317's Security Check version 1.009  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Malwarebytes   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Mozilla Firefox (56.0) 
 Google Chrome (61.0.3163.100) 
 Google Chrome (SetupMetrics...) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
 Symantec Norton Online Backup NOBuAgent.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

cosinus · 17.10.2017, 00:14

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...

und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend müssen wir noch ein paar Schritte unternehmen, um dein System aufzuräumen (cleanup mit DelFix) und abzusichern; ich poste dir dazu mal meine Lesestoffe. Wichtiger als irgendein AV ist ein vernünftiger Umgang, also gewisse Verhaltensregeln am Gerät mit Internetzugang, und ein paar grundsätzliche Absicherungen. Deswegen kommen die zuerst. Gliederung:

Cleanup mit DelFix
Grundsätzliches
Absicherung
Virenscanner + Firewall
Backup- und Imaging-Tools

Lesestoff:
Cleanup
Alle Logs gepostet? Dann lade Dir bitte

DelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Lesestoff:
Grundsätzliches

Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups deiner wichtigen Dateien oder des Systems (genaueres dazu im Lesestoff zu Backups)

Finger weg von Registry-Cleanern, Optimizern usw!!! - die Performancesteigerung ist umstritten bis ganz klar nicht belegbar, dafür hast du ein großes Risiko dein System zu zerstören v.a. bei Registry-Operationen. Das Beste ist, die windowseigene Datenträgerbereinigung zu verwenden - und die Registry in Ruhe zu lassen!

Softwareinstallationen und Aktualisierungen

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> http://www.trojaner-board.de/186035-...r-windows.html

Ich empfehle daher, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein. Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)

Für den seltenen Fall, dass du das benötigte Programm NICHT im repository von chocolatey findest: Lade diese Software immer von einem sauberen Portal wie

. Finger weg von chip.de oder softonic!
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner.

Lesestoff:
Absicherung

Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen - sofern benötigt, wenn nicht benötigt natürlich sinnigerweise deinstallieren oder Alternativen verwenden (und diese aktuell halten).

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden; Sicherheitslücken werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Besonders aufpassen bzgl. der Aktualität musst du bei folgender Software:

Browser (Internet Explorer, Edge, Firefox, Chrome, ...)
Flash Player: Was Adobe mit seinem Flash Player veranstaltet, ist irgendwo zwischen Frechheit und Inkompetenz einzustufen; in dem Teil werden ständig neue dicke Sicherheitslücken gefunden - für YT reicht meistens HTML5 aus, das ist der Standardplayer wenn der Flash Player inaktiv oder nicht installiert ist; für spezielle Browsergames kann es aber sein, dass du den Flash Player brauchst. Nutze Flash so sparsam wie möglich und wenn dann immer aktuell halten!!
Java: Spielt kaum noch eine Rolle. Fast nirgendwo werden mehr Java-Applets eingesetzt. Wird noch für spezielles Zeugs in OpenOffice genutzt, IIRC brauchen auch manche Games Java. Aber wirklich sehr selten.
PDF-Reader: NICHT den AdobeReader benutzen, sondern besser sowas wie PDF-X-Change Viewer; der interne PDF-Betrachter vom Firefox reicht meist auch aus. Vermeide Adobe unbedingt, das ist eine Firma mit miserabler Sicherheitspolitik!

Optional:

NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lesestoff:
Virenscanner + Firewall

Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf!

Die Dinger sind mittlerweile auch unter Windows stark umstritten und können Probleme bereiten, die man so ohne AV einfach nicht haben wird. Zudem werden sie auch niemals jeden Schädling finden können. Aussagen der Anbieter dieser Software entpuppen sich regelmäßig als Marketinggeblubber. Lies dazu => Aus aktuellem Anlass: Antivirus-Schlangenöl | Elias Schwerdtfeger und => http://www.golem.de/news/antivirenso...12-125148.html

Verwende also MAXIMAL ein einziges der folgenden AVs mit Echtzeitscanner und stets aktueller Signaturendatenbank; verwende immer nur reine Virenscanner (keine Produkte mit Suite oder Internet Security in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird!)

Emsisoft Anti-Malware (kostenpflichtig)
Microsoft Security Essentials (kostenlos)

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen.

Lesestoff:
Backup-/Image-Tools

IMHO sind Wiederherstellungspunkte nix weiter als eine Notlösung, wer sich auf was Funktionierendes verlassen will und muss, kommt um echte Backup/Imaging Software nicht herum. Ich nehme unter Windows immer Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64

Damit man sinnvolle Backups hat muss man regelmäßig zB wöchentlich ein Image auf eine separate externe Festplatte erstellen. Diese externe Festplatte wird nur dann angeschlossen, wenn man das Backup erstellen will (oder etwas wiederherstellen muss), sonsten bleibt sie aus Sicherheitsgründen sicher im Schrank verwahrt - allein schon aus dem Grund, die Backups vor Krypto-Trojaner zu schützen.

Option 1: Drivesnapshot

Offizielle TB-Anleitung --> http://www.trojaner-board.de/186299-...esnapshot.html

Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64
Download (32-Bit) => http://www.drivesnapshot.de/download/snapshot.exe
Download (64-Bit) => http://www.drivesnapshot.de/download/snapshot64.exe

Es gibt da auch leicht abgespeckte Versionen von Acronis TrueImage gratis wenn man Platten von Seagate und/oder Western Digital hat. Vllt sagen diese Programme dir mehr zu. Mein Favorit aber ist das kleine o.g. Drivesnapshot.

Option 2: Seagate DiscWizard
Download => Seagate DiscWizard - Download - Filepony

Screenshots:
http://filepony.de/screenshot/seagate_discwizard5.jpg
http://filepony.de/screenshot/seagate_discwizard4.png
http://filepony.de/screenshot/seagate_discwizard3.jpg

Option 3: Acronis TrueImage WD Edition
Download => Acronis True Image WD Edition - Download - Filepony

Screenshots:
http://filepony.de/screenshot/acroni...d_edition1.jpg
http://filepony.de/screenshot/acroni...d_edition2.jpg

hollyhock · 17.10.2017, 21:33

Vielen tausend Dank!!
Gespendet wird auf jeden Fall, ohne dich hätte ich das ja nie hinbekommen!

Ein Problem habe ich jetzt allerdings. Ich kann keine Microsoft Office-Datei mehr öffnen. Es kommt immer folgende Fehlermeldung:
"Das Updatepaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Updatepaket vorhanden ist und dass Sie darauf zugreifen können, oder wenden Sie sich an den Hersteller, um sicherzustellen, dass es sich um ein gültiges Updatepaket handelt."

Was bedeutet das und wie lässt sich das beheben? Kannst du da noch einmal weiterhelfen?

Und gerade eben habe ich wieder eine Trojaner-Meldung bekommen.

Malwarebytes wurde nicht deinstalliert und war deshalb noch auf dem Rechner. Vor ein paar Minuten hat es nun gemeldet, dass 3 Trojaner (Ransom.WannaCrypt in C:\Windows\mssecsvc.exe) erkannt und in die Quarantäne verschoben wurden.

Hier sind die Berichte von den Funden.

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 17.10.17
Uhrzeit des Schutzereignisses: 19:34
Protokolldatei: 5c9aa4de-b361-11e7-8653-002454bac401.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.212
Version des Aktualisierungspakets: 1.0.3034
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierter Schadsoftware-
Datei: 1
Ransom.WannaCrypt, C:\WINDOWS\mssecsvc.exe, In Quarantäne, [687], [398126],1.0.3034


(end)

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 17.10.17
Uhrzeit des Schutzereignisses: 21:38
Protokolldatei: c40fa6b2-b372-11e7-a6af-002454bac401.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 
Version des Aktualisierungspakets: 
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierter Schadsoftware-
Datei: 1
Ransom.WannaCrypt, C:\WINDOWS\mssecsvc.exe, In Quarantäne, [687], [398126],


(end)

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 17.10.17
Uhrzeit des Schutzereignisses: 22:02
Protokolldatei: 25b6697a-b376-11e7-9dc6-002454bac401.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 
Version des Aktualisierungspakets: 
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierter Schadsoftware-
Datei: 1
Ransom.WannaCrypt, C:\WINDOWS\mssecsvc.exe, In Quarantäne, [687], [398126],


(end)

Ich habe den Malwarebytes dann noch mal scannen lassen (hoffe, das war ok) und nachdem es die Trojaner vorhin in Quarantäne verschoben hatte, findet es jetzt nichts mehr.

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 17.10.17
Scan-Zeit: 22:05
Protokolldatei: 8d839654-b376-11e7-9243-002454bac401.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.212
Version des Aktualisierungspakets: 1.0.3035
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Feli-PC\Feli

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 354951
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 22 Min., 27 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

13.10.2017, 21:11	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Ransom.Gen - Avira meldet Fund täglich wieder Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken. __________________ Logfiles bitte immer in CODE-Tags posten

TR/Ransom.Gen - Avira meldet Fund täglich wieder

Log-Analyse und Auswertung: TR/Ransom.Gen - Avira meldet Fund täglich wieder