| |
| |||||||
Log-Analyse und Auswertung: Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRSTWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.04.2018, 11:32
| #1 |
 |  Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST Guten Tag TB-Helfer. Nach vier Jahren, in denen nichts passiert ist, hat GöFreu (Götterfreundin) leider auf eine Amazon-Phishing-Mail dahingehend falsch reagiert, als dem Link gefolgt wurde und sowohl persönliche- als auch Bankdaten preisgegeben wurden.  Was weg ist, ist weg. Da ich nicht weiß (die Schilderung von Göfreu ist leider rudimentär) ob der Schlepptop sich driveby etwas eingefangen hat, bitte ich um Prüfung. In vorauseilendem Gehorsam habe ich FRST laufen lassen.  Danke sehr im Voraus! Viele Grüße aus der Domstadt am Rhein  PS: Realname entfernt Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.03.2018
durchgeführt von ***** (Administrator) auf WEIB (14-04-2018 11:12:58)
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** (Verfügbare Profile: test & *****)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastSvc.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastUI.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Brother\ControlCenter3\BrccMCtl.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvLaunch.exe [245608 2018-03-08] (AVAST Software)
HKLM-x32\...\Run: [ControlCenter3] => C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe [114688 2008-12-24] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2629632 2012-09-25] (Brother Industries, Ltd.)
Winlogon\Notify\igfxcui: C:\windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-19\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-20\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Run: [OpenOffice Updater] => C:\Users\*****\AppData\Roaming\OpenOffice Updater\Updater.exe [389176 2018-01-02] () <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\RunOnce: [FlashPlayerUpdate] => C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_113_Plugin.exe -update plugin
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-18\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Als een item is opgenomen in de fixlist, zal een registeritem worden verwijderd of hersteld naar de standaard waarde.)
Tcpip\Parameters: [DhcpNameServer] 192.168.3.1
Tcpip\..\Interfaces\{5BDBD86E-C4A4-4AD5-99DF-C0BD92553BD5}: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{9330138E-F7F5-4365-B0F3-C412E795A61B}: [DhcpNameServer] 192.168.3.1
Internet Explorer:
==================
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKLM -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll [2018-02-25] (AVAST Software)
BHO-x32: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll [2018-02-25] (AVAST Software)
FireFox:
========
FF DefaultProfile: yrnfcg09.default
FF ProfilePath: C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default [2018-04-14]
FF Homepage: Mozilla\Firefox\Profiles\yrnfcg09.default -> hxxps://www.google.de/
FF Extension: (Avast SafePrice) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\sp@avast.com.xpi [2017-11-25]
FF Extension: (uBlock Origin) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\uBlock0@raymondhill.net.xpi [2018-02-26]
FF Extension: (Avast Online Security) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\wrc@avast.com.xpi [2017-11-25]
FF Extension: (NoScript) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2018-02-26]
FF Plugin: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF64_29_0_0_140.dll [2018-04-14] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_29_0_0_140.dll [2018-04-14] ()
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.2.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
==================== Dienste (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R3 aswbIDSAgent; C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe [7556704 2018-03-08] (AVAST Software)
R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [303728 2018-03-08] (AVAST Software)
R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ======================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R1 aswArPot; C:\windows\System32\drivers\aswArPot.sys [196648 2018-03-08] (AVAST Software)
R1 aswbidsdriver; C:\windows\System32\drivers\aswbidsdrivera.sys [227504 2018-03-08] (AVAST Software)
R0 aswbidsh; C:\windows\System32\drivers\aswbidsha.sys [199440 2018-03-08] (AVAST Software)
R0 aswblog; C:\windows\System32\drivers\aswbloga.sys [343752 2018-03-08] (AVAST Software)
R0 aswbuniv; C:\windows\System32\drivers\aswbuniva.sys [57680 2018-03-08] (AVAST Software)
R1 aswHdsKe; C:\windows\System32\drivers\aswHdsKe.sys [215320 2018-03-08] (AVAST Software)
S3 aswHwid; C:\windows\System32\drivers\aswHwid.sys [46968 2018-03-08] (AVAST Software)
R2 aswMonFlt; C:\windows\System32\drivers\aswMonFlt.sys [146656 2018-03-08] (AVAST Software)
R1 aswRdr; C:\windows\System32\drivers\aswRdr2.sys [110328 2018-03-08] (AVAST Software)
R0 aswRvrt; C:\windows\System32\drivers\aswRvrt.sys [84368 2018-03-08] (AVAST Software)
R1 aswSnx; C:\windows\System32\drivers\aswSnx.sys [1026696 2018-03-08] (AVAST Software)
R1 aswSP; C:\windows\System32\drivers\aswSP.sys [460520 2018-03-08] (AVAST Software)
R2 aswStm; C:\windows\System32\drivers\aswStm.sys [205976 2018-03-08] (AVAST Software)
R0 aswVmm; C:\windows\System32\drivers\aswVmm.sys [380528 2018-03-08] (AVAST Software)
R3 rismcx64; C:\windows\System32\DRIVERS\rismcx64.sys [59008 2009-07-20] (RICOH Company, Ltd.)
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-04-14 11:12 - 2018-04-14 11:13 - 000010324 _____ C:\Users\*****\Desktop\FRST.txt
2018-04-14 11:12 - 2018-04-14 11:12 - 000000000 ____D C:\FRST
2018-04-14 11:11 - 2018-04-14 11:11 - 002403328 _____ (Farbar) C:\Users\*****\Desktop\FRST64.exe
2018-03-20 15:01 - 2018-04-14 11:01 - 000004526 _____ C:\windows\System32\Tasks\Adobe Flash Player NPAPI Notifier
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2018-04-14 11:01 - 2017-07-04 08:53 - 000004378 _____ C:\windows\System32\Tasks\Adobe Flash Player Updater
2018-04-14 11:01 - 2016-07-29 16:19 - 000804864 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerApp.exe
2018-04-14 11:01 - 2016-07-29 16:19 - 000144896 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerCPLApp.cpl
2018-04-14 11:01 - 2016-07-29 16:19 - 000000000 ____D C:\windows\SysWOW64\Macromed
2018-04-14 11:01 - 2016-07-29 16:19 - 000000000 ____D C:\windows\system32\Macromed
2018-04-14 11:00 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-04-14 11:00 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-04-14 10:44 - 2011-04-12 09:43 - 000698926 _____ C:\windows\system32\perfh007.dat
2018-04-14 10:44 - 2011-04-12 09:43 - 000149034 _____ C:\windows\system32\perfc007.dat
2018-04-14 10:44 - 2009-07-14 07:13 - 001618320 _____ C:\windows\system32\PerfStringBackup.INI
2018-04-14 10:44 - 2009-07-14 05:20 - 000000000 ____D C:\windows\inf
2018-04-14 10:42 - 2016-12-10 15:48 - 000000000 ____D C:\Users\*****\AppData\LocalLow\Mozilla
2018-04-14 10:42 - 2016-12-10 15:47 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2018-04-14 10:42 - 2016-11-12 23:56 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2018-04-14 10:41 - 2016-11-13 00:36 - 000000000 ____D C:\Users\*****\AppData\Roaming\OpenOffice Updater
2018-04-14 10:39 - 2009-07-14 07:08 - 000000006 ____H C:\windows\Tasks\SA.DAT
2018-04-13 19:01 - 2017-11-25 15:09 - 000004168 _____ C:\windows\System32\Tasks\Avast Emergency Update
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2016-11-12 22:55 - 2016-11-12 22:55 - 000000000 _____ () C:\Users\*****\AppData\Roaming\gdfw.log
2016-11-12 22:54 - 2016-11-12 22:54 - 000000779 _____ () C:\Users\*****\AppData\Roaming\gdscan.log
Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\*****\AppData\Roaming\OpenOffice Updater\Updater.exe
Einige Dateien in TEMP:
====================
2017-08-24 23:11 - 2017-06-29 11:43 - 003700288 _____ (Foxit Corporation) C:\Users\*****\AppData\Local\Temp\FoxitUpdater.exe
2017-06-04 16:11 - 2017-06-04 16:11 - 003932096 _____ (Geek Unіnstaller) C:\Users\*****\AppData\Local\Temp\geek64.exe
2017-11-23 22:03 - 2018-01-11 19:31 - 000714424 _____ () C:\Users\*****\AppData\Local\Temp\OpenOffice-Update_de.exe
2016-10-13 10:18 - 2016-10-13 10:18 - 171330228 _____ () C:\Users\*****\AppData\Local\Temp\OpenOffice_4.1.3_Win_x86_install_de.exe
2017-11-25 14:50 - 2017-11-25 14:50 - 001490656 _____ (Microsoft Corporation) C:\Users\*****\AppData\Local\Temp\WdfCoInstaller01007.dll
==================== Bamital & volsnap ======================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\windows\system32\winlogon.exe => Datei ist digital signiert
C:\windows\system32\wininit.exe => Datei ist digital signiert
C:\windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\windows\explorer.exe => Datei ist digital signiert
C:\windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\windows\system32\svchost.exe => Datei ist digital signiert
C:\windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\windows\system32\services.exe => Datei ist digital signiert
C:\windows\system32\User32.dll => Datei ist digital signiert
C:\windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\windows\system32\userinit.exe => Datei ist digital signiert
C:\windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\windows\system32\rpcss.dll => Datei ist digital signiert
C:\windows\system32\dnsapi.dll => Datei ist digital signiert
C:\windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-03-31 08:58
==================== Ende von FRST.txt ============================
Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.03.2018
durchgeführt von ***** (14-04-2018 11:13:29)
Gestartet von C:\Users\*****\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2016-11-12 17:26:41)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-2083001547-3444015985-450198440-500 - Administrator - Disabled)
Gast (S-1-5-21-2083001547-3444015985-450198440-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2083001547-3444015985-450198440-1005 - Limited - Enabled)
Rita Euteneuer (S-1-5-21-2083001547-3444015985-450198440-1001 - Administrator - Enabled) => C:\Users\*****
test (S-1-5-21-2083001547-3444015985-450198440-1000 - Administrator - Enabled) => C:\Users\test
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Adobe Flash Player 29 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 29.0.0.140 - Adobe Systems Incorporated)
Adobe Flash Player 29 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 29.0.0.140 - Adobe Systems Incorporated)
Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 18.2.2328 - AVAST Software)
Brother MFL-Pro Suite DCP-J315W (HKLM-x32\...\{FB83EAC4-E3F6-4666-B45B-44522F2344B6}) (Version: 2.0.0.0 - Brother Industries, Ltd.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 9.0.1.1049 - Foxit Software Inc.)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
IrfanView 4.50 (32-bit) (HKLM-x32\...\IrfanView) (Version: 4.50 - Irfan Skiljan)
Microsoft .NET Framework 4.6.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.01055 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 59.0.2 (x64 en-US) (HKLM\...\Mozilla Firefox 59.0.2 (x64 en-US)) (Version: 59.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 59.0.2.6656 - Mozilla)
OpenOffice 4.1.3 (HKLM-x32\...\{8D5FCC56-BB9F-4122-923C-71753F50F6F5}) (Version: 4.13.9783 - Apache Software Foundation)
OpenOffice Updater (HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\OpenOffice Updater) (Version: 1.1.10 - OpenOffice) <==== ACHTUNG
Personal Backup 5.8.5.0 (64-bit) (HKLM\...\Personal Backup 5_is1) (Version: 5.8.5.0 - Dr. J. Rathlev)
VLC media player (HKLM-x32\...\VLC media player) (Version: 3.0.0 - VideoLAN)
VLC Updater (HKLM-x32\...\VLC Updater) (Version: 1.0 - VLC Updater) <==== ACHTUNG
Websuche (Chrome) (HKLM-x32\...\Websuche) (Version: - Websuche) <==== ACHTUNG
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers1: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)
ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\windows\system32\igfxpph.dll [2011-12-19] (Intel Corporation)
ContextMenuHandlers6: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers6: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {57971E43-CDE9-4ABC-B1CC-BE0547047EB9} - System32\Tasks\Adobe Flash Player Updater => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-04-14] (Adobe Systems Incorporated)
Task: {72C0D1BE-B8CD-4DDA-B163-A6C7E7424A8F} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2018-01-11] (AVAST Software)
Task: {8CBA0CF9-16BD-4377-8813-E8E62691FF02} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe [2018-03-08] (AVAST Software)
Task: {D86653AF-DE43-4A4D-832E-7ABBD36D3461} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_140_Plugin.exe [2018-04-14] (Adobe Systems Incorporated)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen & WMI ========================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2018-03-08 13:23 - 2018-03-08 13:23 - 000721624 _____ () c:\Program Files\AVAST Software\Avast\x64\vaarclient.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000912088 _____ () C:\Program Files\AVAST Software\Avast\x64\ffl2.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000341720 _____ () c:\Program Files\AVAST Software\Avast\x64\StreamBack.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000326872 _____ () C:\Program Files\AVAST Software\Avast\x64\tasks_core.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000287960 _____ () C:\Program Files\AVAST Software\Avast\streamback.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000280280 _____ () C:\Program Files\AVAST Software\Avast\tasks_core.dll
2018-04-05 22:24 - 2018-04-05 22:24 - 005813392 _____ () C:\Program Files\AVAST Software\Avast\defs\18040510\algo.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000756952 _____ () C:\Program Files\AVAST Software\Avast\ffl2.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000172760 _____ () C:\Program Files\AVAST Software\Avast\hns_tools.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000964824 _____ () C:\Program Files\AVAST Software\Avast\shepherdsync.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000475352 _____ () C:\Program Files\AVAST Software\Avast\gui_cache.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000339672 _____ () C:\Program Files\AVAST Software\Avast\streamback_avast.dll
2018-04-14 10:41 - 2018-04-14 10:41 - 005817488 _____ () C:\Program Files\AVAST Software\Avast\defs\18041304\algo.dll
2018-03-08 13:24 - 2018-03-08 13:24 - 067126928 _____ () C:\Program Files\AVAST Software\Avast\libcef.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000275160 _____ () C:\Program Files\AVAST Software\Avast\gaming_mode_ui.dll
2016-12-15 17:30 - 2009-02-27 17:38 - 000139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Rita Euteneuer\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.3.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{D9C452B2-B419-4F7F-A7FF-605D9F45313F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{CB4CCAFE-125C-48A2-9714-9D4AFD46E856}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
==================== Wiederherstellungspunkte =========================
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: Bluetooth-Gerät (PAN)
Description: Bluetooth-Gerät (PAN)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: BthPan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (04/14/2018 10:39:58 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/13/2018 06:53:08 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/12/2018 11:19:42 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/05/2018 10:24:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/05/2018 01:51:08 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/04/2018 08:24:25 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/04/2018 04:36:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (04/03/2018 12:33:02 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Systemfehler:
=============
Error: (04/05/2018 01:50:02 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am 05.04.2018 um 01:48:51 unerwartet heruntergefahren.
Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.
Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.
Error: (03/08/2018 01:35:27 AM) (Source: WMPNetworkSvc) (EventID: 14332) (User: )
Description: Dienst "WMPNetworkSvc" konnte nicht ordnungsgemäß gestartet werden, da ein Fehler "0x80004005" in "CoCreateInstance(CLSID_UPnPDeviceFinder)" aufgetreten ist. Überprüfen Sie, ob der Dienst "UPnPHost" ausgeführt wird und ob die Windows-Komponente "UPnPHost" richtig installiert ist.
Error: (01/19/2018 12:29:27 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.
Error: (01/19/2018 12:29:27 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.
Error: (01/15/2018 06:49:50 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.
Error: (01/15/2018 06:49:50 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz
Prozentuale Nutzung des RAM: 56%
Installierter physikalischer RAM: 3893.78 MB
Verfügbarer physikalischer RAM: 1686.43 MB
Summe virtueller Speicher: 7785.76 MB
Verfügbarer virtueller Speicher: 5291.56 MB
==================== Laufwerke ================================
Drive c: (Windows) (Fixed) (Total:61.92 GB) (Free:35.8 GB) NTFS
Drive d: (Daten) (Fixed) (Total:100.71 GB) (Free:46.32 GB) NTFS
Drive e: (Pool) (Fixed) (Total:120.82 GB) (Free:120.03 GB) NTFS
\\?\Volume{d5fd9543-5596-11e6-85c6-806e6f6e6963}\ (Recovery) (Fixed) (Total:14.65 GB) (Free:8.54 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 46498277)
Partition 1: (Active) - (Size=14.6 GB) - (Type=27)
Partition 2: (Not Active) - (Size=61.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=100.7 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=120.8 GB) - (Type=05)
==================== Ende von Addition.txt ============================
Geändert von uncle_tom (14.04.2018 um 11:44 Uhr) |
| Themen zu Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST |
| administrator, antivirus, avast, cpu, defender, explorer, firefox, firewall, flash player, home, homepage, mozilla, phishing, prozesse, registry, scan, security, services.exe, software, svchost.exe, system, temp, ublock origin, windows, winlogon.exe, wmi |
Baum-Darstellung