| |
| |||||||
Log-Analyse und Auswertung: Win 7 Trojaner nymaim nach Fishing Mail mit pdf RechnungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.01.2018, 19:42
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung so issses richtig!  Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
15.01.2018, 16:40
| #17 |
 | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung So die neuen Logs
__________________Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.01.2018
durchgeführt von Volker (Administrator) auf DEMETER (15-01-2018 16:34:38)
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "J:\Anwendungen\Seamonkey\seamonkey.exe" -requestPending -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
() C:\ProgramData\cable-55\cable-6.exe
(Microsoft Corporation) C:\Program Files (x86)\Windows Photo Viewer\ImagingDevices.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-11-01] (Apple Inc.)
HKLM-x32\...\Run: [GrooveMonitor] => J:\Anwendungen\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe [2479392 2017-12-18] (Malwarebytes Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [cable-8] => C:\ProgramData\cable-55\cable-6.exe [647536 2017-12-09] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
Startup: C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\docsis-2.lnk [2018-01-12]
ShortcutTarget: docsis-2.lnk -> C:\Users\Volker\AppData\Roaming\docsis-92\docsis-34.exe (Keine Datei)
Startup: C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rs422-30.lnk [2018-01-14]
ShortcutTarget: rs422-30.lnk -> C:\Users\Volker\AppData\Roaming\rs422-0\rs422-8.exe ()
BootExecute: autocheck autochk * sdnclean64.exe
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{B5A6A746-19C6-4214-A66A-5D32E75C222A}: [DhcpNameServer] 192.168.2.1
Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> J:\Anwendungen\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation)
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
DPF: HKLM-x32 {F27237D7-93C8-44C2-AC6E-D6057B9A918F} hxxps://zugang1.ovag.de/dana-cached/sc/JuniperSetupClient.cab
Handler-x32: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - J:\Anwendungen\Microsoft Office\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation)
FireFox:
========
FF DefaultProfile: xsvc6ll6.default
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\Sunbird\Profiles\u1e8041m.default [2018-01-12]
FF Extension: (Timezone Definitions for Mozilla Calendar) - J:\Anwendungen\Mozilla Sunbird\extensions\calendar-timezones@mozilla.org [2015-10-17] [Legacy] [ist nicht signiert]
FF Extension: (Lightning stub extension for Sunbird) - J:\Anwendungen\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2015-10-17] [Legacy] [ist nicht signiert]
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default [2018-01-14]
FF Homepage: Mozilla\SeaMonkey\Profiles\xsvc6ll6.default -> hxxp://www.lg-ovag-friedberg-fauerbach.de/
FF Extension: (DOM Inspector) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\inspector@mozilla.org [2016-04-27] [Legacy]
FF Extension: (ChatZilla) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2016-11-10] [Legacy]
FF Extension: (Adblock Plus) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24] [Legacy]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
Chrome:
=======
CHR StartupUrls: Default -> "hxxp://www.google.com/"
CHR Profile: C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default [2018-01-14]
CHR Extension: (Docs) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-10-16]
CHR Extension: (Kein Name) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-10-16]
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
S3 ElfoService; C:\Program Files (x86)\ElsterFormular Update Service\bin\ElfoService.exe [1283376 2017-02-13] ()
R2 MbaeSvc; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe [153888 2017-12-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes)
S3 Microsoft Office Groove Audit Service; J:\Anwendungen\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 ESProtectionDriver; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.sys [76192 2017-12-18] ()
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [193968 2018-01-12] (Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [110016 2018-01-14] (Malwarebytes)
R3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [46008 2018-01-14] (Malwarebytes)
R0 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253880 2018-01-12] (Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [84256 2018-01-15] (Malwarebytes)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-14 19:37 - 2018-01-14 19:37 - 000110016 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2018-01-14 18:40 - 2018-01-14 19:34 - 000000000 ____D C:\AdwCleaner
2018-01-14 18:40 - 2018-01-14 18:38 - 008198432 _____ (Malwarebytes) C:\Users\Volker\Desktop\adwcleaner_7.0.6.0.exe
2018-01-14 18:14 - 2018-01-14 18:14 - 000255928 _____ (Malwarebytes) C:\Windows\system32\Drivers\6514B79B.sys
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\Users\Volker\Desktop\mbar
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2018-01-14 17:52 - 2018-01-14 17:53 - 000000085 _____ C:\Windows\wininit.ini
2018-01-14 16:54 - 2018-01-14 16:54 - 000001043 _____ C:\Users\Public\Desktop\Revo Uninstaller.lnk
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\Program Files\VS Revo Group
2018-01-14 12:58 - 2018-01-15 16:34 - 000000000 ____D C:\FRST
2018-01-14 12:07 - 2018-01-14 13:23 - 000000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Exploit
2018-01-12 17:20 - 2018-01-15 16:33 - 000084256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2018-01-12 17:20 - 2018-01-12 17:20 - 000193968 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2018-01-12 17:19 - 2018-01-14 19:37 - 000046008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2018-01-12 17:19 - 2018-01-14 18:14 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000253880 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2018-01-12 17:19 - 2018-01-12 17:19 - 000001876 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\Program Files\Malwarebytes
2018-01-12 17:19 - 2017-11-29 09:11 - 000077432 _____ C:\Windows\system32\Drivers\mbae64.sys
2018-01-08 09:07 - 2018-01-13 17:01 - 000000000 ____D C:\ProgramData\Foxit Software
2018-01-08 09:07 - 2018-01-08 09:07 - 000000000 ____D C:\ProgramData\Foxit ContentPlatform
2018-01-03 17:08 - 2018-01-03 17:08 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2017-12-17 15:18 - 2017-12-17 15:35 - 000000000 ____D C:\Users\Volker\Documents\TAF
2017-12-17 15:17 - 2017-12-17 15:17 - 000000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2017-12-17 15:16 - 2017-12-17 15:17 - 000000000 ____D C:\Program Files (x86)\Microsoft SQL Server Compact Edition
2017-12-17 15:06 - 2017-12-17 15:16 - 001591896 _____ C:\Windows\SysWOW64\PerfStringBackup.INI
2017-12-17 14:55 - 2017-12-17 14:55 - 038554772 _____ (Seltec GmbH ) C:\Users\Volker\Downloads\TafFullSetup_latest.exe
2017-12-17 10:55 - 2017-12-17 10:55 - 000000303 _____ C:\Users\Volker\Downloads\Lizenzen_TSV_Friedberg-Fauerbach 2018.zip
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-14 19:44 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-01-14 19:44 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-01-14 19:35 - 2009-07-14 06:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2018-01-14 18:43 - 2015-11-08 11:15 - 000000000 ____D C:\Program Files (x86)\Avira
2018-01-14 17:50 - 2015-11-08 11:17 - 000000000 ____D C:\ProgramData\Package Cache
2018-01-14 17:50 - 2015-11-08 11:15 - 000000000 ____D C:\ProgramData\Avira
2018-01-14 14:00 - 2017-08-10 06:31 - 000000000 ____D C:\Users\Volker\AppData\Roaming\ammeter-84
2018-01-14 14:00 - 2016-03-28 15:27 - 000000000 ____D C:\Users\Volker\AppData\Roaming\rs422-0
2018-01-14 13:55 - 2011-01-05 11:04 - 000000000 ____D C:\ProgramData\sepic-1
2018-01-14 13:47 - 2015-10-04 21:05 - 000000000 ____D C:\ProgramData\cable-55
2018-01-14 13:00 - 2009-07-14 18:58 - 000698688 _____ C:\Windows\system32\perfh007.dat
2018-01-14 13:00 - 2009-07-14 18:58 - 000148828 _____ C:\Windows\system32\perfc007.dat
2018-01-14 13:00 - 2009-07-14 06:13 - 001618320 _____ C:\Windows\system32\PerfStringBackup.INI
2018-01-14 13:00 - 2009-07-14 04:20 - 000000000 ____D C:\Windows\inf
2018-01-13 17:16 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\Downloaded Program Files
2018-01-13 17:01 - 2015-10-18 08:27 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Software
2018-01-13 16:59 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\system32\Macromed
2018-01-13 16:58 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2018-01-12 17:31 - 2016-10-22 20:17 - 000000000 ____D C:\Users\Volker\AppData\Roaming\docsis-92
2018-01-11 11:45 - 2016-09-25 13:48 - 000000000 ____D C:\Users\Volker\AppData\Local\Greenshot
2018-01-10 16:42 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker\AppData\Local\VirtualStore
2018-01-09 17:24 - 2017-05-26 15:11 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Scanner Images
2018-01-08 08:28 - 2009-07-14 06:08 - 000032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2018-01-07 20:37 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker
2018-01-06 08:37 - 2015-08-31 12:20 - 000000000 ____D C:\ProgramData\wvr
2017-12-18 18:07 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\system32\FxsTmp
2017-12-17 15:35 - 2015-10-16 17:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seltec Sports
2017-12-17 15:35 - 2015-10-16 17:21 - 000000000 ____D C:\Program Files (x86)\Seltec Sports
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2016-06-05 18:32 - 2016-06-05 18:32 - 000004096 _____ () C:\Users\Volker\AppData\Local\keyfile3.drm
2015-10-17 19:23 - 2015-10-17 19:23 - 000007605 _____ () C:\Users\Volker\AppData\Local\Resmon.ResmonCfg
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2018-01-09 16:37
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2018
durchgeführt von Volker (15-01-2018 16:36:21)
Gestartet von E:\
Windows 7 Professional Service Pack 1 (X64) (2015-10-15 17:14:15)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-381393367-2514925127-750396014-500 - Administrator - Disabled)
Gast (S-1-5-21-381393367-2514925127-750396014-501 - Limited - Enabled)
Volker (S-1-5-21-381393367-2514925127-750396014-1000 - Administrator - Enabled) => C:\Users\Volker
Volker Benutzer (S-1-5-21-381393367-2514925127-750396014-1003 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Apple Application Support (32-Bit) (HKLM-x32\...\{F2871C89-C8A5-42EE-8D45-0F02506385A6}) (Version: 5.1 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{9BC93467-75D1-4AA4-BD58-D9C51D88DFAB}) (Version: 5.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}) (Version: 10.0.1.3 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{56EC47AA-5813-4FF6-8E75-544026FBEA83}) (Version: 2.2.0.150 - Apple Inc.)
Audiograbber 1.83 SE (HKLM-x32\...\Audiograbber) (Version: 1.83 SE - Audiograbber)
Audiograbber MP3-Plugin (HKLM-x32\...\Audiograbber-Lame) (Version: 1.0 - AG)
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 18.1.22140 - Landesfinanzdirektion Thüringen)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
HP Softpaq SP46137 (HKLM-x32\...\SP46137) (Version: - )
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Intel(R) Management Engine Interface (HKLM\...\HECI) (Version: - Intel Corporation)
iTunes (HKLM\...\{554C62C7-E6BB-40F1-892B-F0AE02D3C135}) (Version: 12.5.3.17 - Apple Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client 64-bit Activex Control (HKLM\...\Juniper_Setup_Client Activex Control) (Version: 2.1.1.1 - Juniper Networks, Inc.)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Malwarebytes Anti-Exploit version 1.11.1.48 (HKLM\...\Malwarebytes Anti-Exploit_is1) (Version: 1.11.1.48 - Malwarebytes)
Malwarebytes Version 3.3.1.2183 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.3.1.2183 - Malwarebytes)
Meldung professional (HKLM-x32\...\MeldungProfessional) (Version: - )
Microsoft .NET Framework 4.6 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft .NET Framework 4.6 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft)
Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft SQL Server Compact 4.0 x64 DEU (HKLM\...\{CCBF4FD7-F4D2-4DB0-BC0E-F4EC42220EFF}) (Version: 4.0.8482.1 - Microsoft Corporation)
Revo Uninstaller 2.0.4 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.4 - VS Revo Group, Ltd.)
SeaMonkey 2.38 (x86 de) (HKLM-x32\...\SeaMonkey 2.38 (x86 de)) (Version: 2.38 - Mozilla)
Seltec Run (HKLM-x32\...\{37EBDEDB-4E20-4A8B-9390-9CA240CA0AB0}) (Version: - )
Seltec Team (HKLM-x32\...\{603EAF37-A19B-11D7-ABB7-000102A18C32}) (Version: - )
Seltec Track and Field (HKLM-x32\...\{26ACCDF7-8FA1-11D7-ABB4-000102A18C32}) (Version: - )
Total Commander 64-bit (Remove or Repair) (HKLM-x32\...\Totalcmd64) (Version: 8.52a - Ghisler Software GmbH)
Track and Field 3.1.0.1371 (HKLM-x32\...\SeltecTafBeta_is1) (Version: 3.1.0.1371 - Seltec GmbH)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> Keine Datei
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2009-09-23] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {6B0CB72C-97A4-47EC-9550-60E2E5FFD007} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {8ADEC7A8-0818-4317-8F9C-46B0C90CF93A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2016-02-23] (Apple Inc.)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen & WMI ========================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-10-05 18:17 - 2016-10-05 18:17 - 000092472 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2016-10-05 18:17 - 2016-10-05 18:17 - 001353528 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002301384 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002358728 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2017-12-09 01:08 - 2017-12-09 01:08 - 000647536 ____N () C:\ProgramData\cable-55\cable-6.exe
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2009-06-10 22:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.2.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{032207B3-798E-4BF8-AD24-F56C250348B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\outlook.exe
FirewallRules: [{8B6478E7-E60E-4C92-85F9-2A7FC623F569}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{E12B0D91-708A-4FAE-B053-AE40AFB4C0D7}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{5F7AD548-C0F7-46FC-92C0-CB9F9C8686B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [{4CB889A0-B47C-4C08-93B0-DD2F6E201D8C}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [TCP Query User{7BAE7FC7-CCC4-4DD3-B4D2-54692ACB7CE1}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [UDP Query User{1E1AEF19-C966-43F5-9DC5-F45528497F38}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [{DEF17ADA-3D21-478E-A321-C7F63442D875}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{50202030-9D50-4095-81A1-375BBD9552DE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{9B8A922C-29F0-4712-8466-BFD573F293DD}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{2A4B3FEF-F8F0-4069-AC3E-1E963475C251}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{A145D52A-C477-4AC9-8600-6A232750EEB0}] => (Allow) C:\Program Files\iTunes\iTunes.exe
FirewallRules: [TCP Query User{13B257A0-6935-4EBC-8FC2-107725314A83}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
FirewallRules: [UDP Query User{87340A6F-DAC6-4428-BB21-76719A792853}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
==================== Wiederherstellungspunkte =========================
14-01-2018 16:57:42 Revo Uninstaller's restore point - 7-Zip 16.02 (x64)
14-01-2018 17:23:29 Revo Uninstaller's restore point - Avira
14-01-2018 17:27:36 Revo Uninstaller's restore point - Avira Antivirus
14-01-2018 17:41:07 Revo Uninstaller's restore point - Avira
14-01-2018 17:52:30 Revo Uninstaller's restore point - Spybot - Search & Destroy
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/14/2018 05:52:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:41:07 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:27:36 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:23:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 04:57:05 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 02:14:04 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\Tools.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\Tools.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:03 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:02 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:00 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:13:59 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Systemfehler:
=============
Error: (01/14/2018 07:39:30 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/14/2018 07:36:59 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Malwarebytes Anti-Exploit Service" wurde nicht richtig gestartet.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "WMPNetworkSvc" konnte sich nicht als "NT AUTHORITY\NetworkService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:
Die Anforderung wird nicht unterstützt.
Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
Error: (01/14/2018 07:34:14 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Apple Mobile Device Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.
Error: (01/14/2018 07:34:14 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Dienst "Bonjour"" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
Error: (01/14/2018 07:34:13 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.
Error: (01/14/2018 07:34:13 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Prozentuale Nutzung des RAM: 52%
Installierter physikalischer RAM: 2021.3 MB
Verfügbarer physikalischer RAM: 959.52 MB
Summe virtueller Speicher: 4042.6 MB
Verfügbarer virtueller Speicher: 2688.66 MB
==================== Laufwerke ================================
Drive c: (Demeter C) (Fixed) (Total:97.93 GB) (Free:49.43 GB) NTFS
Drive e: (PFALZWERKE) (Removable) (Total:0.98 GB) (Free:0.09 GB) FAT
Drive j: (Demeter J) (Fixed) (Total:134.85 GB) (Free:106.24 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: B488B5BD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=97.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=134.9 GB) - (Type=07 NTFS)
========================================================
Disk: 6 (Size: 1003.5 MB) (Disk ID: 00B2F53B)
Partition 1: (Active) - (Size=1003 MB) - (Type=06)
==================== Ende von Addition.txt ============================
|
|
15.01.2018, 17:39
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.
__________________Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [cable-8] => C:\ProgramData\cable-55\cable-6.exe [647536 2017-12-09] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
ShortcutTarget: docsis-2.lnk -> C:\Users\Volker\AppData\Roaming\docsis-92\docsis-34.exe (Keine Datei)
ShortcutTarget: rs422-30.lnk -> C:\Users\Volker\AppData\Roaming\rs422-0\rs422-8.exe ()
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
C:\ProgramData\cable-55
C:\ProgramData\sepic-1
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\docsis-2.lnk
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rs422-30.lnk
C:\Users\Volker\AppData\Roaming\docsis-92
C:\Users\Volker\AppData\Roaming\rs422-0
cmd: dir /oge-d "%APPDATA%"
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d "%PROGRAMDATA%"
emptytemp:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ |
|
16.01.2018, 17:41
| #19 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Fixlog.txt Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2018
durchgeführt von Volker (16-01-2018 17:40:04) Run:1
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [cable-8] => C:\ProgramData\cable-55\cable-6.exe [647536 2017-12-09] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
ShortcutTarget: docsis-2.lnk -> C:\Users\Volker\AppData\Roaming\docsis-92\docsis-34.exe (Keine Datei)
ShortcutTarget: rs422-30.lnk -> C:\Users\Volker\AppData\Roaming\rs422-0\rs422-8.exe ()
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei
C:\ProgramData\cable-55
C:\ProgramData\sepic-1
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\docsis-2.lnk
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rs422-30.lnk
C:\Users\Volker\AppData\Roaming\docsis-92
C:\Users\Volker\AppData\Roaming\rs422-0
cmd: dir /oge-d "%APPDATA%"
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d "%PROGRAMDATA%"
emptytemp:
*****************
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Windows\CurrentVersion\Run\\cable-8" => nicht gefunden
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e6bc2a7-6f51-11e6-926c-00237dbfd0b4}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} => Schlüssel nicht gefunden
"C:\Users\Volker\AppData\Roaming\docsis-92\docsis-34.exe" => nicht gefunden
"C:\Users\Volker\AppData\Roaming\rs422-0\rs422-8.exe" => nicht gefunden
HKLM\System\CurrentControlSet\Control\Session Manager\\BootExecute => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Schlüssel nicht gefunden
"C:\ProgramData\cable-55" => nicht gefunden
"C:\ProgramData\sepic-1" => nicht gefunden
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\docsis-2.lnk => erfolgreich verschoben
"C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rs422-30.lnk" => nicht gefunden
C:\Users\Volker\AppData\Roaming\docsis-92 => erfolgreich verschoben
"C:\Users\Volker\AppData\Roaming\rs422-0" => nicht gefunden
========= dir /oge-d "%APPDATA%" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming
16.01.2018 17:40 <DIR> ..
16.01.2018 17:40 <DIR> .
15.01.2018 16:58 <DIR> kanal-19
13.01.2018 17:01 <DIR> Foxit Software
09.01.2018 17:24 <DIR> Foxit Scanner Images
13.11.2017 15:42 <DIR> UninstallDataSparda
01.08.2017 11:32 <DIR> U3
05.12.2016 17:23 <DIR> Apple Computer
09.11.2016 13:44 <DIR> SpardaSecureApp
07.11.2016 13:44 <DIR> Sparda
07.11.2016 13:44 <DIR> UninstallData
25.09.2016 13:48 <DIR> Greenshot
15.08.2016 16:32 <DIR> Macromedia
11.06.2016 09:48 <DIR> Juniper Networks
30.04.2016 19:06 <DIR> GHISLER
14.01.2016 13:05 <DIR> elsterformular
01.01.2016 14:40 <DIR> AVG
19.10.2015 07:22 <DIR> Adobe
17.10.2015 17:49 <DIR> Mozilla
16.10.2015 16:57 <DIR> Google
15.10.2015 18:14 <DIR> Identities
14.07.2009 19:18 <DIR> Media Center Programs
0 Datei(en), 0 Bytes
22 Verzeichnis(se), 53.056.782.336 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
16.01.2018 17:40 <DIR> ..
16.01.2018 17:40 <DIR> .
15.01.2018 16:58 941 kanal-23.lnk
1 Datei(en), 941 Bytes
2 Verzeichnis(se), 53.056.712.704 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%PROGRAMDATA%" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\ProgramData
16.01.2018 17:38 <DIR> shutdown-0
15.01.2018 16:55 <DIR> ampacity-3
14.01.2018 18:29 <DIR> Malwarebytes' Anti-Malware (portable)
14.01.2018 18:14 <DIR> Malwarebytes
14.01.2018 17:50 <DIR> Package Cache
14.01.2018 17:50 <DIR> Avira
14.01.2018 13:23 <DIR> Malwarebytes Anti-Exploit
13.01.2018 17:01 <DIR> Foxit Software
08.01.2018 09:07 <DIR> Foxit ContentPlatform
06.01.2018 08:37 <DIR> wvr
01.03.2017 13:21 <DIR> elsterformular
05.12.2016 17:23 <DIR> Apple Computer
05.12.2016 17:21 <DIR> Apple
23.08.2016 08:08 <DIR> Microsoft Help
01.01.2016 14:44 <DIR> Avg
08.11.2015 11:14 <DIR> AVAST Software
0 Datei(en), 0 Bytes
16 Verzeichnis(se), 53.056.663.552 Bytes frei
========= Ende von CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27348060 B
Java, Flash, Steam htmlcache => 8177 B
Windows/system/drivers => 1748292 B
Edge => 0 B
Chrome => 1046528 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58558607 B
systemprofile32 => 66228 B
LocalService => 66228 B
NetworkService => 69922 B
Volker => 350346051 B
RecycleBin => 38031421 B
EmptyTemp: => 455.2 MB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 17:40:18 ====
|
|
17.01.2018, 00:05
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Und noch ein Fix: Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\ProgramData\Avast Software
C:\ProgramData\AVG
C:\ProgramData\Avira
C:\ProgramData\ampacity-*
C:\ProgramData\kanal-*
C:\ProgramData\shutdown-*
C:\Users\Volker\AppData\Roaming\AVG
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk
C:\Users\Volker\AppData\Roaming\kanal-*
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
emptytemp:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.01.2018, 17:34
| #21 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Fixlog.txt Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
durchgeführt von Volker (17-01-2018 17:33:14) Run:2
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
C:\ProgramData\Avast Software
C:\ProgramData\AVG
C:\ProgramData\Avira
C:\ProgramData\ampacity-*
C:\ProgramData\kanal-*
C:\ProgramData\shutdown-*
C:\Users\Volker\AppData\Roaming\AVG
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk
C:\Users\Volker\AppData\Roaming\kanal-*
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
emptytemp:
*****************
C:\ProgramData\Avast Software => erfolgreich verschoben
C:\ProgramData\AVG => erfolgreich verschoben
C:\ProgramData\Avira => erfolgreich verschoben
=========== "C:\ProgramData\ampacity-*" ==========
nicht gefunden
========= Ende -> "C:\ProgramData\ampacity-*" ========
=========== "C:\ProgramData\kanal-*" ==========
nicht gefunden
========= Ende -> "C:\ProgramData\kanal-*" ========
=========== "C:\ProgramData\shutdown-*" ==========
nicht gefunden
========= Ende -> "C:\ProgramData\shutdown-*" ========
C:\Users\Volker\AppData\Roaming\AVG => erfolgreich verschoben
=========== "C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" ==========
C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kanal-23.lnk => erfolgreich verschoben
========= Ende -> "C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" ========
=========== "C:\Users\Volker\AppData\Roaming\kanal-*" ==========
nicht gefunden
========= Ende -> "C:\Users\Volker\AppData\Roaming\kanal-*" ========
========= dir /oge-d %APPDATA% =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming
17.01.2018 17:33 <DIR> ..
17.01.2018 17:33 <DIR> .
15.01.2018 16:58 <DIR> kanal-19
13.01.2018 17:01 <DIR> Foxit Software
09.01.2018 17:24 <DIR> Foxit Scanner Images
13.11.2017 15:42 <DIR> UninstallDataSparda
01.08.2017 11:32 <DIR> U3
05.12.2016 17:23 <DIR> Apple Computer
09.11.2016 13:44 <DIR> SpardaSecureApp
07.11.2016 13:44 <DIR> Sparda
07.11.2016 13:44 <DIR> UninstallData
25.09.2016 13:48 <DIR> Greenshot
15.08.2016 16:32 <DIR> Macromedia
11.06.2016 09:48 <DIR> Juniper Networks
30.04.2016 19:06 <DIR> GHISLER
14.01.2016 13:05 <DIR> elsterformular
19.10.2015 07:22 <DIR> Adobe
17.10.2015 17:49 <DIR> Mozilla
16.10.2015 16:57 <DIR> Google
15.10.2015 18:14 <DIR> Identities
14.07.2009 19:18 <DIR> Media Center Programs
0 Datei(en), 0 Bytes
21 Verzeichnis(se), 53.544.296.448 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
17.01.2018 17:33 <DIR> ..
17.01.2018 17:33 <DIR> .
0 Datei(en), 0 Bytes
2 Verzeichnis(se), 53.544.226.816 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d %PROGRAMDATA% =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\ProgramData
15.01.2018 16:55 <DIR> ampacity-3
14.01.2018 18:29 <DIR> Malwarebytes' Anti-Malware (portable)
14.01.2018 18:14 <DIR> Malwarebytes
14.01.2018 17:50 <DIR> Package Cache
14.01.2018 13:23 <DIR> Malwarebytes Anti-Exploit
13.01.2018 17:01 <DIR> Foxit Software
08.01.2018 09:07 <DIR> Foxit ContentPlatform
06.01.2018 08:37 <DIR> wvr
01.03.2017 13:21 <DIR> elsterformular
05.12.2016 17:23 <DIR> Apple Computer
05.12.2016 17:21 <DIR> Apple
23.08.2016 08:08 <DIR> Microsoft Help
0 Datei(en), 0 Bytes
12 Verzeichnis(se), 53.544.157.184 Bytes frei
========= Ende von CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3236907 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 878 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => -670 B
Volker => 5917869 B
RecycleBin => 0 B
EmptyTemp: => 8.7 MB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 17:33:16 ====
|
|
17.01.2018, 23:44
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung oh man...der ist mit den Platzhaltern nicht klar gekommen. Also noch ein Fix: Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\ProgramData\ampacity-3
C:\ProgramData\shutdown-0
C:\Users\Volker\AppData\Roaming\kanal-19
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
emptytemp:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.01.2018, 17:34
| #23 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Neu Fixlog Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
durchgeführt von Volker (18-01-2018 17:33:32) Run:3
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
C:\ProgramData\ampacity-3
C:\ProgramData\shutdown-0
C:\Users\Volker\AppData\Roaming\kanal-19
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
emptytemp:
*****************
C:\ProgramData\ampacity-3 => erfolgreich verschoben
"C:\ProgramData\shutdown-0" => nicht gefunden
C:\Users\Volker\AppData\Roaming\kanal-19 => erfolgreich verschoben
========= dir /oge-d %APPDATA% =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming
18.01.2018 17:33 <DIR> ..
18.01.2018 17:33 <DIR> .
13.01.2018 17:01 <DIR> Foxit Software
09.01.2018 17:24 <DIR> Foxit Scanner Images
13.11.2017 15:42 <DIR> UninstallDataSparda
01.08.2017 11:32 <DIR> U3
05.12.2016 17:23 <DIR> Apple Computer
09.11.2016 13:44 <DIR> SpardaSecureApp
07.11.2016 13:44 <DIR> Sparda
07.11.2016 13:44 <DIR> UninstallData
25.09.2016 13:48 <DIR> Greenshot
15.08.2016 16:32 <DIR> Macromedia
11.06.2016 09:48 <DIR> Juniper Networks
30.04.2016 19:06 <DIR> GHISLER
14.01.2016 13:05 <DIR> elsterformular
19.10.2015 07:22 <DIR> Adobe
17.10.2015 17:49 <DIR> Mozilla
16.10.2015 16:57 <DIR> Google
15.10.2015 18:14 <DIR> Identities
14.07.2009 19:18 <DIR> Media Center Programs
0 Datei(en), 0 Bytes
20 Verzeichnis(se), 52.603.121.664 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
17.01.2018 17:33 <DIR> ..
17.01.2018 17:33 <DIR> .
0 Datei(en), 0 Bytes
2 Verzeichnis(se), 52.603.064.320 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d %PROGRAMDATA% =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\ProgramData
14.01.2018 18:29 <DIR> Malwarebytes' Anti-Malware (portable)
14.01.2018 18:14 <DIR> Malwarebytes
14.01.2018 17:50 <DIR> Package Cache
14.01.2018 13:23 <DIR> Malwarebytes Anti-Exploit
13.01.2018 17:01 <DIR> Foxit Software
08.01.2018 09:07 <DIR> Foxit ContentPlatform
06.01.2018 08:37 <DIR> wvr
01.03.2017 13:21 <DIR> elsterformular
05.12.2016 17:23 <DIR> Apple Computer
05.12.2016 17:21 <DIR> Apple
23.08.2016 08:08 <DIR> Microsoft Help
0 Datei(en), 0 Bytes
11 Verzeichnis(se), 52.603.002.880 Bytes frei
========= Ende von CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 2100480 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Volker => 132 B
RecycleBin => 0 B
EmptyTemp: => 2 MB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 17:33:34 ====
|
|
18.01.2018, 20:52
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.01.2018, 21:02
| #25 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Hier die neuen Logs FRST Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 17.01.2018 01
durchgeführt von Volker (Administrator) auf DEMETER (18-01-2018 20:59:43)
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "J:\Anwendungen\Seamonkey\seamonkey.exe" -requestPending -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-11-01] (Apple Inc.)
HKLM-x32\...\Run: [GrooveMonitor] => J:\Anwendungen\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe [2479392 2017-12-18] (Malwarebytes Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [molarity-1] => C:\Users\Volker\AppData\Local\molarity-48\molarity-2.exe -i
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Winlogon: [Shell] C:\ProgramData\ampacity-3\ampacity-77.exe -0,explorer.exe <==== ACHTUNG
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{B5A6A746-19C6-4214-A66A-5D32E75C222A}: [DhcpNameServer] 192.168.2.1
Internet Explorer:
==================
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> J:\Anwendungen\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation)
DPF: HKLM-x32 {F27237D7-93C8-44C2-AC6E-D6057B9A918F} hxxps://zugang1.ovag.de/dana-cached/sc/JuniperSetupClient.cab
Handler-x32: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - J:\Anwendungen\Microsoft Office\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation)
FireFox:
========
FF DefaultProfile: xsvc6ll6.default
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\Sunbird\Profiles\u1e8041m.default [2018-01-12]
FF Extension: (Timezone Definitions for Mozilla Calendar) - J:\Anwendungen\Mozilla Sunbird\extensions\calendar-timezones@mozilla.org [2015-10-17] [Legacy] [ist nicht signiert]
FF Extension: (Lightning stub extension for Sunbird) - J:\Anwendungen\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2015-10-17] [Legacy] [ist nicht signiert]
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default [2018-01-14]
FF Homepage: Mozilla\SeaMonkey\Profiles\xsvc6ll6.default -> hxxp://www.lg-ovag-friedberg-fauerbach.de/
FF Extension: (DOM Inspector) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\inspector@mozilla.org [2016-04-27] [Legacy]
FF Extension: (ChatZilla) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2016-11-10] [Legacy]
FF Extension: (Adblock Plus) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24] [Legacy]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
Chrome:
=======
CHR StartupUrls: Default -> "hxxp://www.google.com/"
CHR Profile: C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default [2018-01-16]
CHR Extension: (Docs) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-10-16]
CHR Extension: (Kein Name) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-10-16]
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
S3 ElfoService; C:\Program Files (x86)\ElsterFormular Update Service\bin\ElfoService.exe [1283376 2017-02-13] ()
R2 MbaeSvc; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe [153888 2017-12-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes)
S3 Microsoft Office Groove Audit Service; J:\Anwendungen\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 ESProtectionDriver; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.sys [76192 2017-12-18] ()
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [193968 2018-01-12] (Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [110016 2018-01-18] (Malwarebytes)
R3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [46008 2018-01-18] (Malwarebytes)
R0 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253880 2018-01-12] (Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [84256 2018-01-18] (Malwarebytes)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-14 19:37 - 2018-01-18 17:34 - 000110016 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2018-01-14 18:40 - 2018-01-14 19:34 - 000000000 ____D C:\AdwCleaner
2018-01-14 18:40 - 2018-01-14 18:38 - 008198432 _____ (Malwarebytes) C:\Users\Volker\Desktop\adwcleaner_7.0.6.0.exe
2018-01-14 18:14 - 2018-01-14 18:14 - 000255928 _____ (Malwarebytes) C:\Windows\system32\Drivers\6514B79B.sys
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\Users\Volker\Desktop\mbar
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2018-01-14 17:52 - 2018-01-14 17:53 - 000000085 _____ C:\Windows\wininit.ini
2018-01-14 16:54 - 2018-01-14 16:54 - 000001043 _____ C:\Users\Public\Desktop\Revo Uninstaller.lnk
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\Program Files\VS Revo Group
2018-01-14 12:58 - 2018-01-18 20:59 - 000000000 ____D C:\FRST
2018-01-14 12:07 - 2018-01-14 13:23 - 000000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Exploit
2018-01-12 17:20 - 2018-01-18 17:51 - 000084256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2018-01-12 17:20 - 2018-01-12 17:20 - 000193968 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2018-01-12 17:19 - 2018-01-18 17:34 - 000046008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2018-01-12 17:19 - 2018-01-14 18:14 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000253880 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2018-01-12 17:19 - 2018-01-12 17:19 - 000001876 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\Program Files\Malwarebytes
2018-01-12 17:19 - 2017-11-29 09:11 - 000077432 _____ C:\Windows\system32\Drivers\mbae64.sys
2018-01-08 09:07 - 2018-01-13 17:01 - 000000000 ____D C:\ProgramData\Foxit Software
2018-01-08 09:07 - 2018-01-08 09:07 - 000000000 ____D C:\ProgramData\Foxit ContentPlatform
2018-01-03 17:08 - 2018-01-03 17:08 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-18 17:42 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-01-18 17:42 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-01-18 17:34 - 2009-07-14 06:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2018-01-17 19:33 - 2017-06-11 11:46 - 000000000 ____D C:\Users\Volker\AppData\Local\molarity-48
2018-01-16 17:40 - 2015-10-17 17:14 - 000000000 ___SD C:\Users\Volker\AppData\LocalLow\Temp
2018-01-14 18:43 - 2015-11-08 11:15 - 000000000 ____D C:\Program Files (x86)\Avira
2018-01-14 17:50 - 2015-11-08 11:17 - 000000000 ____D C:\ProgramData\Package Cache
2018-01-14 13:00 - 2009-07-14 18:58 - 000698688 _____ C:\Windows\system32\perfh007.dat
2018-01-14 13:00 - 2009-07-14 18:58 - 000148828 _____ C:\Windows\system32\perfc007.dat
2018-01-14 13:00 - 2009-07-14 06:13 - 001618320 _____ C:\Windows\system32\PerfStringBackup.INI
2018-01-14 13:00 - 2009-07-14 04:20 - 000000000 ____D C:\Windows\inf
2018-01-13 17:16 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\Downloaded Program Files
2018-01-13 17:01 - 2015-10-18 08:27 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Software
2018-01-13 16:59 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\system32\Macromed
2018-01-13 16:58 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2018-01-11 11:45 - 2016-09-25 13:48 - 000000000 ____D C:\Users\Volker\AppData\Local\Greenshot
2018-01-10 16:42 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker\AppData\Local\VirtualStore
2018-01-09 17:24 - 2017-05-26 15:11 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Scanner Images
2018-01-08 08:28 - 2009-07-14 06:08 - 000032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2018-01-07 20:37 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker
2018-01-06 08:37 - 2015-08-31 12:20 - 000000000 ____D C:\ProgramData\wvr
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2016-06-05 18:32 - 2016-06-05 18:32 - 000004096 _____ () C:\Users\Volker\AppData\Local\keyfile3.drm
2015-10-17 19:23 - 2015-10-17 19:23 - 000007605 _____ () C:\Users\Volker\AppData\Local\Resmon.ResmonCfg
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2018-01-18 17:33
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
durchgeführt von Volker (18-01-2018 21:00:45)
Gestartet von E:\
Windows 7 Professional Service Pack 1 (X64) (2015-10-15 17:14:15)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-381393367-2514925127-750396014-500 - Administrator - Disabled)
Gast (S-1-5-21-381393367-2514925127-750396014-501 - Limited - Enabled)
Volker (S-1-5-21-381393367-2514925127-750396014-1000 - Administrator - Enabled) => C:\Users\Volker
Volker Benutzer (S-1-5-21-381393367-2514925127-750396014-1003 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Apple Application Support (32-Bit) (HKLM-x32\...\{F2871C89-C8A5-42EE-8D45-0F02506385A6}) (Version: 5.1 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{9BC93467-75D1-4AA4-BD58-D9C51D88DFAB}) (Version: 5.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}) (Version: 10.0.1.3 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{56EC47AA-5813-4FF6-8E75-544026FBEA83}) (Version: 2.2.0.150 - Apple Inc.)
Audiograbber 1.83 SE (HKLM-x32\...\Audiograbber) (Version: 1.83 SE - Audiograbber)
Audiograbber MP3-Plugin (HKLM-x32\...\Audiograbber-Lame) (Version: 1.0 - AG)
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 18.1.22140 - Landesfinanzdirektion Thüringen)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
HP Softpaq SP46137 (HKLM-x32\...\SP46137) (Version: - )
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Intel(R) Management Engine Interface (HKLM\...\HECI) (Version: - Intel Corporation)
iTunes (HKLM\...\{554C62C7-E6BB-40F1-892B-F0AE02D3C135}) (Version: 12.5.3.17 - Apple Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client 64-bit Activex Control (HKLM\...\Juniper_Setup_Client Activex Control) (Version: 2.1.1.1 - Juniper Networks, Inc.)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Malwarebytes Anti-Exploit version 1.11.1.48 (HKLM\...\Malwarebytes Anti-Exploit_is1) (Version: 1.11.1.48 - Malwarebytes)
Malwarebytes Version 3.3.1.2183 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.3.1.2183 - Malwarebytes)
Meldung professional (HKLM-x32\...\MeldungProfessional) (Version: - )
Microsoft .NET Framework 4.6 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft .NET Framework 4.6 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft)
Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft SQL Server Compact 4.0 x64 DEU (HKLM\...\{CCBF4FD7-F4D2-4DB0-BC0E-F4EC42220EFF}) (Version: 4.0.8482.1 - Microsoft Corporation)
Revo Uninstaller 2.0.4 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.4 - VS Revo Group, Ltd.)
SeaMonkey 2.38 (x86 de) (HKLM-x32\...\SeaMonkey 2.38 (x86 de)) (Version: 2.38 - Mozilla)
Seltec Run (HKLM-x32\...\{37EBDEDB-4E20-4A8B-9390-9CA240CA0AB0}) (Version: - )
Seltec Team (HKLM-x32\...\{603EAF37-A19B-11D7-ABB7-000102A18C32}) (Version: - )
Seltec Track and Field (HKLM-x32\...\{26ACCDF7-8FA1-11D7-ABB4-000102A18C32}) (Version: - )
Total Commander 64-bit (Remove or Repair) (HKLM-x32\...\Totalcmd64) (Version: 8.52a - Ghisler Software GmbH)
Track and Field 3.1.0.1371 (HKLM-x32\...\SeltecTafBeta_is1) (Version: 3.1.0.1371 - Seltec GmbH)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> Keine Datei
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2009-09-23] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {6B0CB72C-97A4-47EC-9550-60E2E5FFD007} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {8ADEC7A8-0818-4317-8F9C-46B0C90CF93A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2016-02-23] (Apple Inc.)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen & WMI ========================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-10-05 18:17 - 2016-10-05 18:17 - 000092472 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2016-10-05 18:17 - 2016-10-05 18:17 - 001353528 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002301384 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002358728 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2009-06-10 22:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.2.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{032207B3-798E-4BF8-AD24-F56C250348B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\outlook.exe
FirewallRules: [{8B6478E7-E60E-4C92-85F9-2A7FC623F569}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{E12B0D91-708A-4FAE-B053-AE40AFB4C0D7}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{5F7AD548-C0F7-46FC-92C0-CB9F9C8686B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [{4CB889A0-B47C-4C08-93B0-DD2F6E201D8C}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [TCP Query User{7BAE7FC7-CCC4-4DD3-B4D2-54692ACB7CE1}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [UDP Query User{1E1AEF19-C966-43F5-9DC5-F45528497F38}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [{DEF17ADA-3D21-478E-A321-C7F63442D875}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{50202030-9D50-4095-81A1-375BBD9552DE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{9B8A922C-29F0-4712-8466-BFD573F293DD}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{2A4B3FEF-F8F0-4069-AC3E-1E963475C251}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{A145D52A-C477-4AC9-8600-6A232750EEB0}] => (Allow) C:\Program Files\iTunes\iTunes.exe
FirewallRules: [TCP Query User{13B257A0-6935-4EBC-8FC2-107725314A83}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
FirewallRules: [UDP Query User{87340A6F-DAC6-4428-BB21-76719A792853}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
==================== Wiederherstellungspunkte =========================
14-01-2018 16:57:42 Revo Uninstaller's restore point - 7-Zip 16.02 (x64)
14-01-2018 17:23:29 Revo Uninstaller's restore point - Avira
14-01-2018 17:27:36 Revo Uninstaller's restore point - Avira Antivirus
14-01-2018 17:41:07 Revo Uninstaller's restore point - Avira
14-01-2018 17:52:30 Revo Uninstaller's restore point - Spybot - Search & Destroy
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/14/2018 05:52:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:41:07 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:27:36 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:23:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 04:57:05 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 02:14:04 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\Tools.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\Tools.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:03 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:02 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:00 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:13:59 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Systemfehler:
=============
Error: (01/18/2018 05:48:36 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/17/2018 05:46:07 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/16/2018 05:54:24 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/15/2018 04:48:25 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/14/2018 07:39:30 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/14/2018 07:36:59 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Malwarebytes Anti-Exploit Service" wurde nicht richtig gestartet.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "WMPNetworkSvc" konnte sich nicht als "NT AUTHORITY\NetworkService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:
Die Anforderung wird nicht unterstützt.
Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Prozentuale Nutzung des RAM: 45%
Installierter physikalischer RAM: 2021.3 MB
Verfügbarer physikalischer RAM: 1106.32 MB
Summe virtueller Speicher: 4042.6 MB
Verfügbarer virtueller Speicher: 2804.21 MB
==================== Laufwerke ================================
Drive c: (Demeter C) (Fixed) (Total:97.93 GB) (Free:48.77 GB) NTFS
Drive e: (PFALZWERKE) (Removable) (Total:0.98 GB) (Free:0.09 GB) FAT
Drive j: (Demeter J) (Fixed) (Total:134.85 GB) (Free:106.24 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: B488B5BD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=97.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=134.9 GB) - (Type=07 NTFS)
========================================================
Disk: 6 (Size: 1003.5 MB) (Disk ID: 00B2F53B)
Partition 1: (Active) - (Size=1003 MB) - (Type=06)
==================== Ende von Addition.txt ============================
|
|
18.01.2018, 21:10
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Winlogon: [Shell] C:\ProgramData\ampacity-3\ampacity-77.exe -0,explorer.exe <==== ACHTUNG
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [molarity-1] => C:\Users\Volker\AppData\Local\molarity-48\molarity-2.exe -i
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Winlogon: [Shell] C:\ProgramData\ampacity-3\ampacity-77.exe -0,explorer.exe <==== ACHTUNG
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> Keine Datei
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
C:\Windows\System32\Tasks\Safer-Networking
C:\ProgramData\ampacity-3
C:\Users\Volker\AppData\Local\molarity-48
C:\Program Files (x86)\Avira
cmd: dir /oge-d "%APPDATA%"
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d "%LOCALAPPDATA%"
cmd: dir /oge-d "%PROGRAMDATA%"
emptytemp:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.01.2018, 21:14
| #27 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Fixlog Code:
ATTFilter Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
durchgeführt von Volker (18-01-2018 21:13:01) Run:4
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Start-Modus: Normal
==============================================
fixlist Inhalt:
*****************
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Winlogon: [Shell] C:\ProgramData\ampacity-3\ampacity-77.exe -0,explorer.exe <==== ACHTUNG
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [molarity-1] => C:\Users\Volker\AppData\Local\molarity-48\molarity-2.exe -i
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Winlogon: [Shell] C:\ProgramData\ampacity-3\ampacity-77.exe -0,explorer.exe <==== ACHTUNG
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> Keine Datei
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei
C:\Windows\System32\Tasks\Safer-Networking
C:\ProgramData\ampacity-3
C:\Users\Volker\AppData\Local\molarity-48
C:\Program Files (x86)\Avira
cmd: dir /oge-d "%APPDATA%"
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d "%LOCALAPPDATA%"
cmd: dir /oge-d "%PROGRAMDATA%"
emptytemp:
*****************
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => erfolgreich entfernt
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Windows\CurrentVersion\Run\\molarity-1" => erfolgreich entfernt
"HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => Schlüssel nicht gefunden
"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Foxit_ConvertToPDF_Reader" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{A94757A0-0226-426F-B4F1-4DF381C630D3}" => erfolgreich entfernt
"HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\00avast" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => Schlüssel nicht gefunden
C:\Windows\System32\Tasks\Safer-Networking => erfolgreich verschoben
"C:\ProgramData\ampacity-3" => nicht gefunden
C:\Users\Volker\AppData\Local\molarity-48 => erfolgreich verschoben
C:\Program Files (x86)\Avira => erfolgreich verschoben
========= dir /oge-d "%APPDATA%" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming
18.01.2018 17:33 <DIR> ..
18.01.2018 17:33 <DIR> .
13.01.2018 17:01 <DIR> Foxit Software
09.01.2018 17:24 <DIR> Foxit Scanner Images
13.11.2017 15:42 <DIR> UninstallDataSparda
01.08.2017 11:32 <DIR> U3
05.12.2016 17:23 <DIR> Apple Computer
09.11.2016 13:44 <DIR> SpardaSecureApp
07.11.2016 13:44 <DIR> Sparda
07.11.2016 13:44 <DIR> UninstallData
25.09.2016 13:48 <DIR> Greenshot
15.08.2016 16:32 <DIR> Macromedia
11.06.2016 09:48 <DIR> Juniper Networks
30.04.2016 19:06 <DIR> GHISLER
14.01.2016 13:05 <DIR> elsterformular
19.10.2015 07:22 <DIR> Adobe
17.10.2015 17:49 <DIR> Mozilla
16.10.2015 16:57 <DIR> Google
15.10.2015 18:14 <DIR> Identities
14.07.2009 19:18 <DIR> Media Center Programs
0 Datei(en), 0 Bytes
20 Verzeichnis(se), 52.365.946.880 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
17.01.2018 17:33 <DIR> ..
17.01.2018 17:33 <DIR> .
0 Datei(en), 0 Bytes
2 Verzeichnis(se), 52.365.893.632 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%LOCALAPPDATA%" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\Users\Volker\AppData\Local
18.01.2018 21:13 <DIR> ..
18.01.2018 21:13 <DIR> .
18.01.2018 21:01 <DIR> Temp
11.01.2018 11:45 <DIR> Greenshot
10.01.2018 16:42 <DIR> VirtualStore
13.11.2017 15:42 <DIR> SpardaSecureApp
15.03.2017 09:18 <DIR> Microsoft
05.12.2016 17:23 <DIR> Apple Computer
05.12.2016 17:21 <DIR> Apple
16.09.2016 07:34 <DIR> Foxit Reader
15.08.2016 16:32 <DIR> Macromedia
15.08.2016 16:28 <DIR> Adobe
11.06.2016 09:48 <DIR> Juniper Networks
16.05.2016 07:02 <DIR> Microsoft Help
01.01.2016 14:43 <DIR> AvgSetupLog
01.01.2016 14:40 <DIR> Avg
22.11.2015 09:51 <DIR> ElevatedDiagnostics
18.10.2015 08:25 <DIR> Programs
17.10.2015 17:49 <DIR> Mozilla
17.10.2015 17:20 <DIR> GHISLER
16.10.2015 17:09 <DIR> Google
27.03.2016 17:40 <DIR> .elfohilfe
17.10.2015 17:16 108.840 GDIPFONTCACHEV1.DAT
05.06.2016 18:32 4.096 keyfile3.drm
17.10.2015 19:23 7.605 Resmon.ResmonCfg
3 Datei(en), 120.541 Bytes
22 Verzeichnis(se), 52.365.832.192 Bytes frei
========= Ende von CMD: =========
========= dir /oge-d "%PROGRAMDATA%" =========
Datentr„ger in Laufwerk C: ist Demeter C
Volumeseriennummer: 6AD0-08B5
Verzeichnis von C:\ProgramData
14.01.2018 18:29 <DIR> Malwarebytes' Anti-Malware (portable)
14.01.2018 18:14 <DIR> Malwarebytes
14.01.2018 17:50 <DIR> Package Cache
14.01.2018 13:23 <DIR> Malwarebytes Anti-Exploit
13.01.2018 17:01 <DIR> Foxit Software
08.01.2018 09:07 <DIR> Foxit ContentPlatform
06.01.2018 08:37 <DIR> wvr
01.03.2017 13:21 <DIR> elsterformular
05.12.2016 17:23 <DIR> Apple Computer
05.12.2016 17:21 <DIR> Apple
23.08.2016 08:08 <DIR> Microsoft Help
0 Datei(en), 0 Bytes
11 Verzeichnis(se), 52.365.770.752 Bytes frei
========= Ende von CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3234129 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Volker => 133 B
RecycleBin => 0 B
EmptyTemp: => 3.1 MB temporäre Dateien entfernt.
================================
Das System musste neu gestartet werden.
==== Ende von Fixlog 21:13:07 ====
|
|
18.01.2018, 21:24
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Ich brauche neue FRST-Logs, hoffentlich das lette Mal. Haken setzen bei addition.txt dann auf Untersuchen klicken.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.01.2018, 21:28
| #29 |
| | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung So hoffentlich das letzte Mal FRST.txt Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 17.01.2018 01
durchgeführt von Volker (Administrator) auf DEMETER (18-01-2018 21:25:50)
Gestartet von E:\
Geladene Profile: Volker (Verfügbare Profile: Volker)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "J:\Anwendungen\Seamonkey\seamonkey.exe" -requestPending -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Microsoft Corporation) C:\Windows\System32\userinit.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-11-01] (Apple Inc.)
HKLM-x32\...\Run: [GrooveMonitor] => J:\Anwendungen\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe [2479392 2017-12-18] (Malwarebytes Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{B5A6A746-19C6-4214-A66A-5D32E75C222A}: [DhcpNameServer] 192.168.2.1
Internet Explorer:
==================
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> J:\Anwendungen\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation)
DPF: HKLM-x32 {F27237D7-93C8-44C2-AC6E-D6057B9A918F} hxxps://zugang1.ovag.de/dana-cached/sc/JuniperSetupClient.cab
Handler-x32: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - J:\Anwendungen\Microsoft Office\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation)
FireFox:
========
FF DefaultProfile: xsvc6ll6.default
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\Sunbird\Profiles\u1e8041m.default [2018-01-12]
FF Extension: (Timezone Definitions for Mozilla Calendar) - J:\Anwendungen\Mozilla Sunbird\extensions\calendar-timezones@mozilla.org [2015-10-17] [Legacy] [ist nicht signiert]
FF Extension: (Lightning stub extension for Sunbird) - J:\Anwendungen\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2015-10-17] [Legacy] [ist nicht signiert]
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default [2018-01-14]
FF Homepage: Mozilla\SeaMonkey\Profiles\xsvc6ll6.default -> hxxp://www.lg-ovag-friedberg-fauerbach.de/
FF Extension: (DOM Inspector) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\inspector@mozilla.org [2016-04-27] [Legacy]
FF Extension: (ChatZilla) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2016-11-10] [Legacy]
FF Extension: (Adblock Plus) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24] [Legacy]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
Chrome:
=======
CHR StartupUrls: Default -> "hxxp://www.google.com/"
CHR Profile: C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default [2018-01-16]
CHR Extension: (Docs) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-10-16]
CHR Extension: (Kein Name) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-10-16]
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
S3 ElfoService; C:\Program Files (x86)\ElsterFormular Update Service\bin\ElfoService.exe [1283376 2017-02-13] ()
R2 MbaeSvc; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe [153888 2017-12-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes)
S3 Microsoft Office Groove Audit Service; J:\Anwendungen\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 ESProtectionDriver; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.sys [76192 2017-12-18] ()
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [193968 2018-01-12] (Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [110016 2018-01-18] (Malwarebytes)
R3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [46008 2018-01-18] (Malwarebytes)
R0 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253880 2018-01-12] (Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [84256 2018-01-18] (Malwarebytes)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-14 19:37 - 2018-01-18 21:14 - 000110016 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2018-01-14 18:40 - 2018-01-14 19:34 - 000000000 ____D C:\AdwCleaner
2018-01-14 18:40 - 2018-01-14 18:38 - 008198432 _____ (Malwarebytes) C:\Users\Volker\Desktop\adwcleaner_7.0.6.0.exe
2018-01-14 18:14 - 2018-01-14 18:14 - 000255928 _____ (Malwarebytes) C:\Windows\system32\Drivers\6514B79B.sys
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\Users\Volker\Desktop\mbar
2018-01-14 18:12 - 2018-01-14 18:29 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2018-01-14 17:52 - 2018-01-14 17:53 - 000000085 _____ C:\Windows\wininit.ini
2018-01-14 16:54 - 2018-01-14 16:54 - 000001043 _____ C:\Users\Public\Desktop\Revo Uninstaller.lnk
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2018-01-14 16:54 - 2018-01-14 16:54 - 000000000 ____D C:\Program Files\VS Revo Group
2018-01-14 12:58 - 2018-01-18 21:25 - 000000000 ____D C:\FRST
2018-01-14 12:07 - 2018-01-14 13:23 - 000000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Exploit
2018-01-12 17:20 - 2018-01-18 21:14 - 000084256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2018-01-12 17:20 - 2018-01-12 17:20 - 000193968 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2018-01-12 17:19 - 2018-01-18 21:14 - 000046008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2018-01-12 17:19 - 2018-01-14 18:14 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000253880 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2018-01-12 17:19 - 2018-01-12 17:19 - 000001876 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\Program Files\Malwarebytes
2018-01-12 17:19 - 2017-11-29 09:11 - 000077432 _____ C:\Windows\system32\Drivers\mbae64.sys
2018-01-08 09:07 - 2018-01-13 17:01 - 000000000 ____D C:\ProgramData\Foxit Software
2018-01-08 09:07 - 2018-01-08 09:07 - 000000000 ____D C:\ProgramData\Foxit ContentPlatform
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-01-18 21:21 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-01-18 21:21 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-01-18 21:13 - 2009-07-14 06:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2018-01-16 17:40 - 2015-10-17 17:14 - 000000000 ___SD C:\Users\Volker\AppData\LocalLow\Temp
2018-01-14 17:50 - 2015-11-08 11:17 - 000000000 ____D C:\ProgramData\Package Cache
2018-01-14 13:00 - 2009-07-14 18:58 - 000698688 _____ C:\Windows\system32\perfh007.dat
2018-01-14 13:00 - 2009-07-14 18:58 - 000148828 _____ C:\Windows\system32\perfc007.dat
2018-01-14 13:00 - 2009-07-14 06:13 - 001618320 _____ C:\Windows\system32\PerfStringBackup.INI
2018-01-14 13:00 - 2009-07-14 04:20 - 000000000 ____D C:\Windows\inf
2018-01-13 17:16 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\Downloaded Program Files
2018-01-13 17:01 - 2015-10-18 08:27 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Software
2018-01-13 16:59 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\system32\Macromed
2018-01-13 16:58 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2018-01-11 11:45 - 2016-09-25 13:48 - 000000000 ____D C:\Users\Volker\AppData\Local\Greenshot
2018-01-10 16:42 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker\AppData\Local\VirtualStore
2018-01-09 17:24 - 2017-05-26 15:11 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Scanner Images
2018-01-08 08:28 - 2009-07-14 06:08 - 000032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2018-01-07 20:37 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker
2018-01-06 08:37 - 2015-08-31 12:20 - 000000000 ____D C:\ProgramData\wvr
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2016-06-05 18:32 - 2016-06-05 18:32 - 000004096 _____ () C:\Users\Volker\AppData\Local\keyfile3.drm
2015-10-17 19:23 - 2015-10-17 19:23 - 000007605 _____ () C:\Users\Volker\AppData\Local\Resmon.ResmonCfg
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2018-01-18 17:33
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
durchgeführt von Volker (18-01-2018 21:26:24)
Gestartet von E:\
Windows 7 Professional Service Pack 1 (X64) (2015-10-15 17:14:15)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-381393367-2514925127-750396014-500 - Administrator - Disabled)
Gast (S-1-5-21-381393367-2514925127-750396014-501 - Limited - Enabled)
Volker (S-1-5-21-381393367-2514925127-750396014-1000 - Administrator - Enabled) => C:\Users\Volker
Volker Benutzer (S-1-5-21-381393367-2514925127-750396014-1003 - Limited - Enabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Apple Application Support (32-Bit) (HKLM-x32\...\{F2871C89-C8A5-42EE-8D45-0F02506385A6}) (Version: 5.1 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{9BC93467-75D1-4AA4-BD58-D9C51D88DFAB}) (Version: 5.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}) (Version: 10.0.1.3 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{56EC47AA-5813-4FF6-8E75-544026FBEA83}) (Version: 2.2.0.150 - Apple Inc.)
Audiograbber 1.83 SE (HKLM-x32\...\Audiograbber) (Version: 1.83 SE - Audiograbber)
Audiograbber MP3-Plugin (HKLM-x32\...\Audiograbber-Lame) (Version: 1.0 - AG)
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 18.1.22140 - Landesfinanzdirektion Thüringen)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
HP Softpaq SP46137 (HKLM-x32\...\SP46137) (Version: - )
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Intel(R) Management Engine Interface (HKLM\...\HECI) (Version: - Intel Corporation)
iTunes (HKLM\...\{554C62C7-E6BB-40F1-892B-F0AE02D3C135}) (Version: 12.5.3.17 - Apple Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client 64-bit Activex Control (HKLM\...\Juniper_Setup_Client Activex Control) (Version: 2.1.1.1 - Juniper Networks, Inc.)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Malwarebytes Anti-Exploit version 1.11.1.48 (HKLM\...\Malwarebytes Anti-Exploit_is1) (Version: 1.11.1.48 - Malwarebytes)
Malwarebytes Version 3.3.1.2183 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.3.1.2183 - Malwarebytes)
Meldung professional (HKLM-x32\...\MeldungProfessional) (Version: - )
Microsoft .NET Framework 4.6 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft .NET Framework 4.6 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft)
Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft SQL Server Compact 4.0 x64 DEU (HKLM\...\{CCBF4FD7-F4D2-4DB0-BC0E-F4EC42220EFF}) (Version: 4.0.8482.1 - Microsoft Corporation)
Revo Uninstaller 2.0.4 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.4 - VS Revo Group, Ltd.)
SeaMonkey 2.38 (x86 de) (HKLM-x32\...\SeaMonkey 2.38 (x86 de)) (Version: 2.38 - Mozilla)
Seltec Run (HKLM-x32\...\{37EBDEDB-4E20-4A8B-9390-9CA240CA0AB0}) (Version: - )
Seltec Team (HKLM-x32\...\{603EAF37-A19B-11D7-ABB7-000102A18C32}) (Version: - )
Seltec Track and Field (HKLM-x32\...\{26ACCDF7-8FA1-11D7-ABB4-000102A18C32}) (Version: - )
Total Commander 64-bit (Remove or Repair) (HKLM-x32\...\Totalcmd64) (Version: 8.52a - Ghisler Software GmbH)
Track and Field 3.1.0.1371 (HKLM-x32\...\SeltecTafBeta_is1) (Version: 3.1.0.1371 - Seltec GmbH)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2009-09-23] (Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {6B0CB72C-97A4-47EC-9550-60E2E5FFD007} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {8ADEC7A8-0818-4317-8F9C-46B0C90CF93A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2016-02-23] (Apple Inc.)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen & WMI ========================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2016-10-05 18:17 - 2016-10-05 18:17 - 000092472 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2016-10-05 18:17 - 2016-10-05 18:17 - 001353528 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002358728 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002301384 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 03:34 - 2009-06-10 22:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.2.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{032207B3-798E-4BF8-AD24-F56C250348B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\outlook.exe
FirewallRules: [{8B6478E7-E60E-4C92-85F9-2A7FC623F569}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{E12B0D91-708A-4FAE-B053-AE40AFB4C0D7}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{5F7AD548-C0F7-46FC-92C0-CB9F9C8686B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [{4CB889A0-B47C-4C08-93B0-DD2F6E201D8C}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [TCP Query User{7BAE7FC7-CCC4-4DD3-B4D2-54692ACB7CE1}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [UDP Query User{1E1AEF19-C966-43F5-9DC5-F45528497F38}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [{DEF17ADA-3D21-478E-A321-C7F63442D875}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{50202030-9D50-4095-81A1-375BBD9552DE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{9B8A922C-29F0-4712-8466-BFD573F293DD}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{2A4B3FEF-F8F0-4069-AC3E-1E963475C251}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{A145D52A-C477-4AC9-8600-6A232750EEB0}] => (Allow) C:\Program Files\iTunes\iTunes.exe
FirewallRules: [TCP Query User{13B257A0-6935-4EBC-8FC2-107725314A83}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
FirewallRules: [UDP Query User{87340A6F-DAC6-4428-BB21-76719A792853}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
==================== Wiederherstellungspunkte =========================
14-01-2018 16:57:42 Revo Uninstaller's restore point - 7-Zip 16.02 (x64)
14-01-2018 17:23:29 Revo Uninstaller's restore point - Avira
14-01-2018 17:27:36 Revo Uninstaller's restore point - Avira Antivirus
14-01-2018 17:41:07 Revo Uninstaller's restore point - Avira
14-01-2018 17:52:30 Revo Uninstaller's restore point - Spybot - Search & Destroy
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/14/2018 05:52:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:41:07 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:27:36 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 05:23:29 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 04:57:05 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
Vorgang:
Generatordaten werden gesammelt
Kontext:
Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
Generatorname: System Writer
Generatorinstanz-ID: {5357362b-b6f6-4ff0-bcdc-3823b9b1edad}
Error: (01/14/2018 02:14:04 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\Tools.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\Tools.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:03 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:02 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:14:00 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Error: (01/14/2018 02:13:59 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.
Systemfehler:
=============
Error: (01/18/2018 05:48:36 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/17/2018 05:46:07 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/16/2018 05:54:24 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/15/2018 04:48:25 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/14/2018 07:39:30 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.
Error: (01/14/2018 07:36:59 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Malwarebytes Anti-Exploit Service" wurde nicht richtig gestartet.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.
Error: (01/14/2018 07:34:43 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "WMPNetworkSvc" konnte sich nicht als "NT AUTHORITY\NetworkService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:
Die Anforderung wird nicht unterstützt.
Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
Error: (01/14/2018 07:34:29 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 70.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Prozentuale Nutzung des RAM: 48%
Installierter physikalischer RAM: 2021.3 MB
Verfügbarer physikalischer RAM: 1039.99 MB
Summe virtueller Speicher: 4042.6 MB
Verfügbarer virtueller Speicher: 2880.58 MB
==================== Laufwerke ================================
Drive c: (Demeter C) (Fixed) (Total:97.93 GB) (Free:48.77 GB) NTFS
Drive e: (PFALZWERKE) (Removable) (Total:0.98 GB) (Free:0.09 GB) FAT
Drive j: (Demeter J) (Fixed) (Total:134.85 GB) (Free:106.24 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: B488B5BD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=97.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=134.9 GB) - (Type=07 NTFS)
========================================================
Disk: 6 (Size: 1003.5 MB) (Disk ID: 00B2F53B)
Partition 1: (Active) - (Size=1003 MB) - (Type=06)
==================== Ende von Addition.txt ============================
|
|
18.01.2018, 21:56
| #30 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte: 1. Schritt: Malwarebytes Version 3 Downloade Dir bitte Malwarebytes Anti-Malware 3
2. Schritt: ESET Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
3. Schritt: SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung |
| antivirus, avdevprot, avg, avira, blockiert, browser, cpu, desktop, entfernen, error, homepage, internet, internet explorer, mozilla, netzwerk, registry, scan, security, server, services.exe, software, svchost.exe, system, trojaner, udp, updates |
Linear-Darstellung
