Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST

uncle_tom · 14.04.2018, 11:32

Guten Tag TB-Helfer.

Nach vier Jahren, in denen nichts passiert ist, hat GöFreu (Götterfreundin) leider auf eine Amazon-Phishing-Mail dahingehend falsch reagiert, als dem Link gefolgt wurde und sowohl persönliche- als auch Bankdaten preisgegeben wurden.

Was weg ist, ist weg.
Da ich nicht weiß (die Schilderung von Göfreu ist leider rudimentär) ob der
Schlepptop sich driveby etwas eingefangen hat, bitte ich um Prüfung.

In vorauseilendem Gehorsam habe ich FRST laufen lassen.

Danke sehr im Voraus!

Viele Grüße aus der Domstadt am Rhein

PS: Realname entfernt

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.03.2018
durchgeführt von ***** (Administrator) auf WEIB (14-04-2018 11:12:58)
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** (Verfügbare Profile: test & *****)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastSvc.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastUI.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Brother\ControlCenter3\BrccMCtl.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvLaunch.exe [245608 2018-03-08] (AVAST Software)
HKLM-x32\...\Run: [ControlCenter3] => C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe [114688 2008-12-24] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2629632 2012-09-25] (Brother Industries, Ltd.)
Winlogon\Notify\igfxcui: C:\windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-19\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-20\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Run: [OpenOffice Updater] => C:\Users\*****\AppData\Roaming\OpenOffice Updater\Updater.exe [389176 2018-01-02] () <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\RunOnce: [FlashPlayerUpdate] => C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_113_Plugin.exe -update plugin
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-18\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Als een item is opgenomen in de fixlist, zal een registeritem worden verwijderd of hersteld naar de standaard waarde.)

Tcpip\Parameters: [DhcpNameServer] 192.168.3.1
Tcpip\..\Interfaces\{5BDBD86E-C4A4-4AD5-99DF-C0BD92553BD5}: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{9330138E-F7F5-4365-B0F3-C412E795A61B}: [DhcpNameServer] 192.168.3.1

Internet Explorer:
==================
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKLM -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll [2018-02-25] (AVAST Software)
BHO-x32: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll [2018-02-25] (AVAST Software)

FireFox:
========
FF DefaultProfile: yrnfcg09.default
FF ProfilePath: C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default [2018-04-14]
FF Homepage: Mozilla\Firefox\Profiles\yrnfcg09.default -> hxxps://www.google.de/
FF Extension: (Avast SafePrice) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\sp@avast.com.xpi [2017-11-25]
FF Extension: (uBlock Origin) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\uBlock0@raymondhill.net.xpi [2018-02-26]
FF Extension: (Avast Online Security) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\wrc@avast.com.xpi [2017-11-25]
FF Extension: (NoScript) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2018-02-26]
FF Plugin: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF64_29_0_0_140.dll [2018-04-14] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_29_0_0_140.dll [2018-04-14] ()
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.2.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 aswbIDSAgent; C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe [7556704 2018-03-08] (AVAST Software)
R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [303728 2018-03-08] (AVAST Software)
R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 aswArPot; C:\windows\System32\drivers\aswArPot.sys [196648 2018-03-08] (AVAST Software)
R1 aswbidsdriver; C:\windows\System32\drivers\aswbidsdrivera.sys [227504 2018-03-08] (AVAST Software)
R0 aswbidsh; C:\windows\System32\drivers\aswbidsha.sys [199440 2018-03-08] (AVAST Software)
R0 aswblog; C:\windows\System32\drivers\aswbloga.sys [343752 2018-03-08] (AVAST Software)
R0 aswbuniv; C:\windows\System32\drivers\aswbuniva.sys [57680 2018-03-08] (AVAST Software)
R1 aswHdsKe; C:\windows\System32\drivers\aswHdsKe.sys [215320 2018-03-08] (AVAST Software)
S3 aswHwid; C:\windows\System32\drivers\aswHwid.sys [46968 2018-03-08] (AVAST Software)
R2 aswMonFlt; C:\windows\System32\drivers\aswMonFlt.sys [146656 2018-03-08] (AVAST Software)
R1 aswRdr; C:\windows\System32\drivers\aswRdr2.sys [110328 2018-03-08] (AVAST Software)
R0 aswRvrt; C:\windows\System32\drivers\aswRvrt.sys [84368 2018-03-08] (AVAST Software)
R1 aswSnx; C:\windows\System32\drivers\aswSnx.sys [1026696 2018-03-08] (AVAST Software)
R1 aswSP; C:\windows\System32\drivers\aswSP.sys [460520 2018-03-08] (AVAST Software)
R2 aswStm; C:\windows\System32\drivers\aswStm.sys [205976 2018-03-08] (AVAST Software)
R0 aswVmm; C:\windows\System32\drivers\aswVmm.sys [380528 2018-03-08] (AVAST Software)
R3 rismcx64; C:\windows\System32\DRIVERS\rismcx64.sys [59008 2009-07-20] (RICOH Company, Ltd.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-04-14 11:12 - 2018-04-14 11:13 - 000010324 _____ C:\Users\*****\Desktop\FRST.txt
2018-04-14 11:12 - 2018-04-14 11:12 - 000000000 ____D C:\FRST
2018-04-14 11:11 - 2018-04-14 11:11 - 002403328 _____ (Farbar) C:\Users\*****\Desktop\FRST64.exe
2018-03-20 15:01 - 2018-04-14 11:01 - 000004526 _____ C:\windows\System32\Tasks\Adobe Flash Player NPAPI Notifier

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-04-14 11:01 - 2017-07-04 08:53 - 000004378 _____ C:\windows\System32\Tasks\Adobe Flash Player Updater
2018-04-14 11:01 - 2016-07-29 16:19 - 000804864 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerApp.exe
2018-04-14 11:01 - 2016-07-29 16:19 - 000144896 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerCPLApp.cpl
2018-04-14 11:01 - 2016-07-29 16:19 - 000000000 ____D C:\windows\SysWOW64\Macromed
2018-04-14 11:01 - 2016-07-29 16:19 - 000000000 ____D C:\windows\system32\Macromed
2018-04-14 11:00 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-04-14 11:00 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-04-14 10:44 - 2011-04-12 09:43 - 000698926 _____ C:\windows\system32\perfh007.dat
2018-04-14 10:44 - 2011-04-12 09:43 - 000149034 _____ C:\windows\system32\perfc007.dat
2018-04-14 10:44 - 2009-07-14 07:13 - 001618320 _____ C:\windows\system32\PerfStringBackup.INI
2018-04-14 10:44 - 2009-07-14 05:20 - 000000000 ____D C:\windows\inf
2018-04-14 10:42 - 2016-12-10 15:48 - 000000000 ____D C:\Users\*****\AppData\LocalLow\Mozilla
2018-04-14 10:42 - 2016-12-10 15:47 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2018-04-14 10:42 - 2016-11-12 23:56 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2018-04-14 10:41 - 2016-11-13 00:36 - 000000000 ____D C:\Users\*****\AppData\Roaming\OpenOffice Updater
2018-04-14 10:39 - 2009-07-14 07:08 - 000000006 ____H C:\windows\Tasks\SA.DAT
2018-04-13 19:01 - 2017-11-25 15:09 - 000004168 _____ C:\windows\System32\Tasks\Avast Emergency Update

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2016-11-12 22:55 - 2016-11-12 22:55 - 000000000 _____ () C:\Users\*****\AppData\Roaming\gdfw.log
2016-11-12 22:54 - 2016-11-12 22:54 - 000000779 _____ () C:\Users\*****\AppData\Roaming\gdscan.log

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\*****\AppData\Roaming\OpenOffice Updater\Updater.exe


Einige Dateien in TEMP:
====================
2017-08-24 23:11 - 2017-06-29 11:43 - 003700288 _____ (Foxit Corporation) C:\Users\*****\AppData\Local\Temp\FoxitUpdater.exe
2017-06-04 16:11 - 2017-06-04 16:11 - 003932096 _____ (Geek Unіnstaller) C:\Users\*****\AppData\Local\Temp\geek64.exe
2017-11-23 22:03 - 2018-01-11 19:31 - 000714424 _____ () C:\Users\*****\AppData\Local\Temp\OpenOffice-Update_de.exe
2016-10-13 10:18 - 2016-10-13 10:18 - 171330228 _____ () C:\Users\*****\AppData\Local\Temp\OpenOffice_4.1.3_Win_x86_install_de.exe
2017-11-25 14:50 - 2017-11-25 14:50 - 001490656 _____ (Microsoft Corporation) C:\Users\*****\AppData\Local\Temp\WdfCoInstaller01007.dll

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\windows\system32\winlogon.exe => Datei ist digital signiert
C:\windows\system32\wininit.exe => Datei ist digital signiert
C:\windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\windows\explorer.exe => Datei ist digital signiert
C:\windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\windows\system32\svchost.exe => Datei ist digital signiert
C:\windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\windows\system32\services.exe => Datei ist digital signiert
C:\windows\system32\User32.dll => Datei ist digital signiert
C:\windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\windows\system32\userinit.exe => Datei ist digital signiert
C:\windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\windows\system32\rpcss.dll => Datei ist digital signiert
C:\windows\system32\dnsapi.dll => Datei ist digital signiert
C:\windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2016-03-31 08:58

==================== Ende von FRST.txt ============================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.03.2018
durchgeführt von ***** (14-04-2018 11:13:29)
Gestartet von C:\Users\*****\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2016-11-12 17:26:41)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-2083001547-3444015985-450198440-500 - Administrator - Disabled)
Gast (S-1-5-21-2083001547-3444015985-450198440-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2083001547-3444015985-450198440-1005 - Limited - Enabled)
Rita Euteneuer (S-1-5-21-2083001547-3444015985-450198440-1001 - Administrator - Enabled) => C:\Users\*****
test (S-1-5-21-2083001547-3444015985-450198440-1000 - Administrator - Enabled) => C:\Users\test

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 29 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 29.0.0.140 - Adobe Systems Incorporated)
Adobe Flash Player 29 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 29.0.0.140 - Adobe Systems Incorporated)
Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 18.2.2328 - AVAST Software)
Brother MFL-Pro Suite DCP-J315W (HKLM-x32\...\{FB83EAC4-E3F6-4666-B45B-44522F2344B6}) (Version: 2.0.0.0 - Brother Industries, Ltd.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 9.0.1.1049 - Foxit Software Inc.)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
IrfanView 4.50 (32-bit) (HKLM-x32\...\IrfanView) (Version: 4.50 - Irfan Skiljan)
Microsoft .NET Framework 4.6.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.01055 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 59.0.2 (x64 en-US) (HKLM\...\Mozilla Firefox 59.0.2 (x64 en-US)) (Version: 59.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 59.0.2.6656 - Mozilla)
OpenOffice 4.1.3 (HKLM-x32\...\{8D5FCC56-BB9F-4122-923C-71753F50F6F5}) (Version: 4.13.9783 - Apache Software Foundation)
OpenOffice Updater (HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\OpenOffice Updater) (Version: 1.1.10 - OpenOffice) <==== ACHTUNG
Personal Backup 5.8.5.0 (64-bit) (HKLM\...\Personal Backup 5_is1) (Version: 5.8.5.0 - Dr. J. Rathlev)
VLC media player (HKLM-x32\...\VLC media player) (Version: 3.0.0 - VideoLAN)
VLC Updater (HKLM-x32\...\VLC Updater) (Version: 1.0 - VLC Updater) <==== ACHTUNG
Websuche (Chrome) (HKLM-x32\...\Websuche) (Version:  - Websuche) <==== ACHTUNG

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers1: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)
ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\windows\system32\igfxpph.dll [2011-12-19] (Intel Corporation)
ContextMenuHandlers6: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2018-03-08] (AVAST Software)
ContextMenuHandlers6: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {57971E43-CDE9-4ABC-B1CC-BE0547047EB9} - System32\Tasks\Adobe Flash Player Updater => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2018-04-14] (Adobe Systems Incorporated)
Task: {72C0D1BE-B8CD-4DDA-B163-A6C7E7424A8F} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2018-01-11] (AVAST Software)
Task: {8CBA0CF9-16BD-4377-8813-E8E62691FF02} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe [2018-03-08] (AVAST Software)
Task: {D86653AF-DE43-4A4D-832E-7ABBD36D3461} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_140_Plugin.exe [2018-04-14] (Adobe Systems Incorporated)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2018-03-08 13:23 - 2018-03-08 13:23 - 000721624 _____ () c:\Program Files\AVAST Software\Avast\x64\vaarclient.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000912088 _____ () C:\Program Files\AVAST Software\Avast\x64\ffl2.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000341720 _____ () c:\Program Files\AVAST Software\Avast\x64\StreamBack.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000326872 _____ () C:\Program Files\AVAST Software\Avast\x64\tasks_core.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000287960 _____ () C:\Program Files\AVAST Software\Avast\streamback.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000280280 _____ () C:\Program Files\AVAST Software\Avast\tasks_core.dll
2018-04-05 22:24 - 2018-04-05 22:24 - 005813392 _____ () C:\Program Files\AVAST Software\Avast\defs\18040510\algo.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000756952 _____ () C:\Program Files\AVAST Software\Avast\ffl2.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000172760 _____ () C:\Program Files\AVAST Software\Avast\hns_tools.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000964824 _____ () C:\Program Files\AVAST Software\Avast\shepherdsync.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000475352 _____ () C:\Program Files\AVAST Software\Avast\gui_cache.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000339672 _____ () C:\Program Files\AVAST Software\Avast\streamback_avast.dll
2018-04-14 10:41 - 2018-04-14 10:41 - 005817488 _____ () C:\Program Files\AVAST Software\Avast\defs\18041304\algo.dll
2018-03-08 13:24 - 2018-03-08 13:24 - 067126928 _____ () C:\Program Files\AVAST Software\Avast\libcef.dll
2018-03-08 13:23 - 2018-03-08 13:23 - 000275160 _____ () C:\Program Files\AVAST Software\Avast\gaming_mode_ui.dll
2016-12-15 17:30 - 2009-02-27 17:38 - 000139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Rita Euteneuer\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.3.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{D9C452B2-B419-4F7F-A7FF-605D9F45313F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{CB4CCAFE-125C-48A2-9714-9D4AFD46E856}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================


==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Bluetooth-Gerät (PAN)
Description: Bluetooth-Gerät (PAN)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: BthPan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/14/2018 10:39:58 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/13/2018 06:53:08 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/12/2018 11:19:42 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/05/2018 10:24:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/05/2018 01:51:08 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/04/2018 08:24:25 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/04/2018 04:36:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/03/2018 12:33:02 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.


Systemfehler:
=============
Error: (04/05/2018 01:50:02 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎05.‎04.‎2018 um 01:48:51 unerwartet heruntergefahren.

Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.

Error: (03/08/2018 01:35:27 AM) (Source: WMPNetworkSvc) (EventID: 14332) (User: )
Description: Dienst "WMPNetworkSvc" konnte nicht ordnungsgemäß gestartet werden, da ein Fehler "0x80004005" in "CoCreateInstance(CLSID_UPnPDeviceFinder)" aufgetreten ist. Überprüfen Sie, ob der Dienst "UPnPHost" ausgeführt wird und ob die Windows-Komponente "UPnPHost" richtig installiert ist.

Error: (01/19/2018 12:29:27 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (01/19/2018 12:29:27 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.

Error: (01/15/2018 06:49:50 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (01/15/2018 06:49:50 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz
Prozentuale Nutzung des RAM: 56%
Installierter physikalischer RAM: 3893.78 MB
Verfügbarer physikalischer RAM: 1686.43 MB
Summe virtueller Speicher: 7785.76 MB
Verfügbarer virtueller Speicher: 5291.56 MB

==================== Laufwerke ================================

Drive c: (Windows) (Fixed) (Total:61.92 GB) (Free:35.8 GB) NTFS
Drive d: (Daten) (Fixed) (Total:100.71 GB) (Free:46.32 GB) NTFS
Drive e: (Pool) (Fixed) (Total:120.82 GB) (Free:120.03 GB) NTFS

\\?\Volume{d5fd9543-5596-11e6-85c6-806e6f6e6963}\ (Recovery) (Fixed) (Total:14.65 GB) (Free:8.54 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 46498277)
Partition 1: (Active) - (Size=14.6 GB) - (Type=27)
Partition 2: (Not Active) - (Size=61.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=100.7 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=120.8 GB) - (Type=05)

==================== Ende von Addition.txt ============================

cosinus · 14.04.2018, 15:56

Zitat:

als dem Link gefolgt wurde und sowohl persönliche- als auch Bankdaten preisgegeben wurden.

Euch ist aber schon klar, dass das niemand mehr rückgängig machen kann? Weder FRST noch irgendein Virenscanner oder sonstwas! Als erstes sollte sie vllt mal ihre Bank anrufen und fragen ob ihr Konto gesperrt werden sollte, je nachdem was für Daten sie alles angegeben hat.

uncle_tom · 14.04.2018, 20:41

Guten Abend Cosinus.

Zitat:

Zitat von cosinus

1 - klar, dass das niemand mehr rückgängig machen kann?

2 - Bank anrufen und fragen ob ihr Konto gesperrt werden sollte

1 - YEP! Deswegen auch meine "flapsige", im Kölner Umfeld bekannte "was weg ist, ist weg" - Bemerkung.

Anaolges hatte ich hier im Board gelesen. *Die* Daten sind unwiederbringlich in einem Paket, das vermutlich zum Verkauf steht. Zeitnahe Kontrolle der Kontobewegungen ist indiziert.

für den Hinweis!

2 - Ja, auf mein Drängen ist die betroffene Bank in Kenntnis gesetzt worden.
Aussage der Bankmitarbeiterin hatte den selben Tenor: Kontobewegungen beobachten und bei Unregelmäßigkeiten zurückbuchen lassen. Eine Kontosperrung und Eröffnung eines Neuen sei "bis auf Weiteres" nicht zwingend notwendig.
Das Ama-Konto ist *unverzüglich" mit einem neuen PW versehen worden (GöFreu hatte also noch Zugriff

); unbekannte Bestellungen waren nicht vorhanden.

Die Frederöffnung hier im TB hat den Hintergrund, dass ich unsicher bin, ob womöglich der Schlepptop Schnüffel-Soft o.ä. abbekommen hat. Insofern der Einsatz von FRST.

Wie, bitte, ist Deine Beurteilung der geposteten Logs?

Danke und viele Grüße aus der Domstadt am Rhein!

cosinus · 14.04.2018, 21:36

Bitte Avast deinstallieren. Wir deinstallieren dann am besten auch gleich weiteren unnötigen oder veralteten Krempel.

Avast können wir einfach nicht mehr guten Gewissens empfehlen. => Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog
Auch andere Freewareanbieter wie Avira, AVG oder Panda springen auf diesen oder ähnlichen Zügen rauf, basteln Junkware in die Setups, arbeiten mit ASK zusammen etc; so was ist bei Sicherheitssoftware einfach inakzeptabel.

Lade Dir bitte von hier

Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
Klicke auf Optionen und wähle als Sprache Deutsch.
Suche im Uninstallerfeld nach den Programmen:

Adobe Flash Player 29 ActiveX

Adobe Flash Player 29 NPAPI

Avast Free Antivirus

OpenOffice 4.1.3

OpenOffice Updater

VLC Updater

Websuche
Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
Wähle anschließend den Modus "Moderat" aus.
Reste löschen:
Klicke auf dann auf und dann auf .

Gib Bescheid wenn Avast weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

uncle_tom · 15.04.2018, 08:53

Guten Morgen Cosinus.

Zitat:

Zitat von cosinus

Gib Bescheid wenn Avast weg ist

Avast sowie die anderen, von Dir genannten Progs sind mittels Revo bearbeitet worden.

Ein Neustart und erneuter Revo-Scan zeigte keines der in Rede stehenden Progs mehr.

Dass OpenOffice dran glauben musste, trifft hart da die ungemein beschränkten Mittel den Kauf und Einsatz von MS-Office verbieten aber Textverarbeitung und Tabellenkalkulation benötigt werden.

Darüberhinaus: Wie, bitte, lassen sich ohne Flashplayer (z.B. in Mediatheken) Beiträge zur Ansicht bringen? O.K., HTML5 habe ich gelesen, welches per se von Browsern unterstützt wird. Mal schauen, ob und wie sich die Deinstallation(en) auswirken.

Womöglich gibt es von Dir dazu eine zielführenden Kommentar. Einen solchen hattest Du ja für den Virenscanner bereits in Aussicht gestellt.

Lieben Dank für die bisherige Begleitung!

Ich schaue heute immer wieder ins Board da Göfreu (normalerweise mit Schlepptop) heute vom Hofe reitet und erst in zwei Wochen wieder hier ist.

Bis gegen später viele Grüße aus der Domstadt am Rhein!

cosinus · 15.04.2018, 09:21

OpenOffice sollte runter, weil es veraltet ist und auch noch eine ältere Version bei dir drauf war. Du kannst später LibreOffice installieren.
Der Flash Player ist so gut wie tot und wird auch im Prinzip nirgends mehr benötigt!

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

uncle_tom · 15.04.2018, 10:13

Zitat:

Zitat von cosinus

Malwarebytes Anti-Rootkit (MBAR)

Lieben Dank für den Libre-Hinweis!

MBAR hat im ersten Durchlauf nichts gefunden.

Neustart, Neuscan (keine Überraschung) wieder nichts gefunden.

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2018.04.15.02
  rootkit: v2018.04.05.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.18230
***** :: WEIB [administrator]

15.04.2018 10:46:22
mbar-log-2018-04-15 (10-46-22).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 203821
Time elapsed: 8 minute(s), 39 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Bis gegen später...

cosinus · 15.04.2018, 10:30

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

adwCleaner v7.1

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- Tracing Schlüssel löschen
- Prefetch-Dateien löschen
- Proxy wiederherstellen
- IE-Policies wiederherstellen
- Chrome-Policies wiederherstellen
- Winsock wiederherstellen
Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.

WICHTIG:
Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

uncle_tom · 15.04.2018, 10:53

Hallo Cosinus.

ADW hatte ich nach FAQ laufen lassen *aber* nach Aufruf "Bereinigen & Reparieren" und "Jetzt bereinigen" kam ich nicht mehr zur Prüfung, ob etwas gefunden wurde und in Folge konnte ich nicht "Jetzt bereinigen" drücken da sich der Schlepptop unerwartet herunterfuhr. Ich war's nicht! Ischschwöre.

Log dennoch:

Code:

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 7.1.0.0
# -------------------------------
# Build:    04-12-2018
# Database: 2018-04-11.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-15-2018
# Duration: 00:00:01
# OS:       Windows 7 Home Premium
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

Deleted       C:\Users\*****\AppData\Local\Temp\OpenOffice-Update_de.exe

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Websuche

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

cosinus · 15.04.2018, 11:02

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

uncle_tom · 15.04.2018, 11:15

Zitat:

Zitat von cosinus

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.03.2018
durchgeführt von ***** (Administrator) auf WEIB (15-04-2018 12:05:52)
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** (Verfügbare Profile: test & *****)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Hewlett-Packard Company) C:\Windows\System32\hpservice.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Brother\ControlCenter3\BrccMCtl.exe
(Brother Industries, Ltd.) C:\Program Files (x86)\Browny02\BrYNSvc.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM-x32\...\Run: [ControlCenter3] => C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe [114688 2008-12-24] (Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2629632 2012-09-25] (Brother Industries, Ltd.)
Winlogon\Notify\igfxcui: C:\windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-19\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-20\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-18\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Als een item is opgenomen in de fixlist, zal een registeritem worden verwijderd of hersteld naar de standaard waarde.)

Tcpip\Parameters: [DhcpNameServer] 192.168.3.1
Tcpip\..\Interfaces\{5BDBD86E-C4A4-4AD5-99DF-C0BD92553BD5}: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{9330138E-F7F5-4365-B0F3-C412E795A61B}: [DhcpNameServer] 192.168.3.1

Internet Explorer:
==================
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKLM -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> DefaultScope {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2083001547-3444015985-450198440-1001 -> {2FCCADD3-7045-4654-A7EB-B4F3C1BFE889} URL = hxxp://www1.online/?w=RD2121&q={searchTerms}

FireFox:
========
FF DefaultProfile: yrnfcg09.default
FF ProfilePath: C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default [2018-04-15]
FF Homepage: Mozilla\Firefox\Profiles\yrnfcg09.default -> hxxps://www.google.de/
FF Extension: (uBlock Origin) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\uBlock0@raymondhill.net.xpi [2018-02-26]
FF Extension: (NoScript) - C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\yrnfcg09.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2018-02-26]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2017-12-01] (Foxit Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.2.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=2.2.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)
FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2018-02-09] (VideoLAN)

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
S3 AdobeFlashPlayerUpdateSvc; C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X]

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 rismcx64; C:\windows\System32\DRIVERS\rismcx64.sys [59008 2009-07-20] (RICOH Company, Ltd.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-04-15 11:36 - 2018-04-15 11:40 - 000000000 ____D C:\AdwCleaner
2018-04-15 11:34 - 2018-04-15 11:34 - 007256272 _____ (Malwarebytes) C:\Users\*****\Desktop\adwcleaner_7.1.0.0.exe
2018-04-15 10:46 - 2018-04-15 10:46 - 000255928 _____ (Malwarebytes) C:\windows\system32\Drivers\4133661B.sys
2018-04-15 10:33 - 2018-04-15 10:33 - 000255928 _____ (Malwarebytes) C:\windows\system32\Drivers\6332F669.sys
2018-04-15 10:33 - 2018-04-15 10:33 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-04-15 10:31 - 2018-04-15 10:56 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2018-04-15 10:31 - 2018-04-15 10:55 - 000000000 ____D C:\Users\*****\Desktop\mbar
2018-04-15 10:31 - 2018-04-15 10:45 - 000192952 _____ (Malwarebytes) C:\windows\system32\Drivers\mbamchameleon.sys
2018-04-15 10:30 - 2018-04-15 10:30 - 014178840 _____ (Malwarebytes Corp.) C:\Users\*****\Desktop\mbar-1.10.3.1001.exe
2018-04-15 08:41 - 2018-04-15 08:41 - 000001041 _____ C:\Users\Public\Desktop\Revo Uninstaller.lnk
2018-04-15 08:41 - 2018-04-15 08:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Revo Uninstaller
2018-04-15 08:41 - 2018-04-15 08:41 - 000000000 ____D C:\Program Files\VS Revo Group
2018-04-14 11:13 - 2018-04-14 11:46 - 000017961 _____ C:\Users\*****\Desktop\Addition.txt
2018-04-14 11:12 - 2018-04-15 12:06 - 000006829 _____ C:\Users\*****\Desktop\FRST.txt
2018-04-14 11:12 - 2018-04-15 12:05 - 000000000 ____D C:\FRST
2018-04-14 11:11 - 2018-04-14 11:11 - 002403328 _____ (Farbar) C:\Users\*****\Desktop\FRST64.exe

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-04-15 12:04 - 2016-12-10 15:48 - 000000000 ____D C:\Users\*****\AppData\LocalLow\Mozilla
2018-04-15 11:49 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-04-15 11:49 - 2009-07-14 06:45 - 000021664 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-04-15 11:48 - 2011-04-12 09:43 - 000698926 _____ C:\windows\system32\perfh007.dat
2018-04-15 11:48 - 2011-04-12 09:43 - 000149034 _____ C:\windows\system32\perfc007.dat
2018-04-15 11:48 - 2009-07-14 07:13 - 001618320 _____ C:\windows\system32\PerfStringBackup.INI
2018-04-15 11:48 - 2009-07-14 05:20 - 000000000 ____D C:\windows\inf
2018-04-15 11:41 - 2009-07-14 07:08 - 000000006 ____H C:\windows\Tasks\SA.DAT
2018-04-15 09:29 - 2016-11-12 21:49 - 000058016 _____ C:\Users\*****\AppData\Local\GDIPFONTCACHEV1.DAT
2018-04-15 09:27 - 2017-11-25 15:06 - 000000000 ____D C:\ProgramData\AVAST Software
2018-04-15 09:27 - 2016-12-10 15:47 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2018-04-15 09:27 - 2016-11-12 23:56 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2018-04-15 09:27 - 2009-07-14 06:45 - 000267816 _____ C:\windows\system32\FNTCACHE.DAT
2018-04-15 09:26 - 2016-07-29 16:19 - 000000000 ____D C:\windows\system32\Macromed
2018-04-15 09:25 - 2016-07-29 16:19 - 000000000 ____D C:\windows\SysWOW64\Macromed
2018-04-15 09:13 - 2016-11-13 00:45 - 000000000 ___RD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice 4.1.3
2018-04-15 09:13 - 2016-11-13 00:45 - 000000000 ____D C:\Program Files (x86)\OpenOffice 4
2018-04-14 11:31 - 2016-11-13 00:56 - 000000000 ____D C:\Users\*****\AppData\Roaming\vlc
2018-04-14 11:01 - 2017-07-04 08:53 - 000004378 _____ C:\windows\System32\Tasks\Adobe Flash Player Updater
2018-04-14 11:01 - 2016-07-29 16:19 - 000804864 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerApp.exe
2018-04-14 11:01 - 2016-07-29 16:19 - 000144896 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerCPLApp.cpl

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2016-11-12 22:55 - 2016-11-12 22:55 - 000000000 _____ () C:\Users\*****\AppData\Roaming\gdfw.log
2016-11-12 22:54 - 2016-11-12 22:54 - 000000779 _____ () C:\Users\*****\AppData\Roaming\gdscan.log

Einige Dateien in TEMP:
====================
2017-08-24 23:11 - 2017-06-29 11:43 - 003700288 _____ (Foxit Corporation) C:\Users\*****\AppData\Local\Temp\FoxitUpdater.exe
2017-06-04 16:11 - 2017-06-04 16:11 - 003932096 _____ (Geek Unіnstaller) C:\Users\*****\AppData\Local\Temp\geek64.exe
2016-10-13 10:18 - 2016-10-13 10:18 - 171330228 _____ () C:\Users\*****\AppData\Local\Temp\OpenOffice_4.1.3_Win_x86_install_de.exe
2017-11-25 14:50 - 2017-11-25 14:50 - 001490656 _____ (Microsoft Corporation) C:\Users\*****\AppData\Local\Temp\WdfCoInstaller01007.dll

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\windows\system32\winlogon.exe => Datei ist digital signiert
C:\windows\system32\wininit.exe => Datei ist digital signiert
C:\windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\windows\explorer.exe => Datei ist digital signiert
C:\windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\windows\system32\svchost.exe => Datei ist digital signiert
C:\windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\windows\system32\services.exe => Datei ist digital signiert
C:\windows\system32\User32.dll => Datei ist digital signiert
C:\windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\windows\system32\userinit.exe => Datei ist digital signiert
C:\windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\windows\system32\rpcss.dll => Datei ist digital signiert
C:\windows\system32\dnsapi.dll => Datei ist digital signiert
C:\windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2016-03-31 08:58

==================== Ende von FRST.txt ============================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.03.2018
durchgeführt von ***** (15-04-2018 12:06:18)
Gestartet von C:\Users\*****\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2016-11-12 17:26:41)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-2083001547-3444015985-450198440-500 - Administrator - Disabled)
Gast (S-1-5-21-2083001547-3444015985-450198440-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2083001547-3444015985-450198440-1005 - Limited - Enabled)
***** (S-1-5-21-2083001547-3444015985-450198440-1001 - Administrator - Enabled) => C:\Users\*****
test (S-1-5-21-2083001547-3444015985-450198440-1000 - Administrator - Enabled) => C:\Users\test

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Brother MFL-Pro Suite DCP-J315W (HKLM-x32\...\{FB83EAC4-E3F6-4666-B45B-44522F2344B6}) (Version: 2.0.0.0 - Brother Industries, Ltd.)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 9.0.1.1049 - Foxit Software Inc.)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
IrfanView 4.50 (32-bit) (HKLM-x32\...\IrfanView) (Version: 4.50 - Irfan Skiljan)
Microsoft .NET Framework 4.6.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.01055 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 59.0.2 (x64 en-US) (HKLM\...\Mozilla Firefox 59.0.2 (x64 en-US)) (Version: 59.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 59.0.2.6656 - Mozilla)
Personal Backup 5.8.5.0 (64-bit) (HKLM\...\Personal Backup 5_is1) (Version: 5.8.5.0 - Dr. J. Rathlev)
Revo Uninstaller 2.0.5 (HKLM\...\{A28DBDA2-3CC7-4ADC-8BFE-66D7743C6C97}_is1) (Version: 2.0.5 - VS Revo Group, Ltd.)
VLC media player (HKLM-x32\...\VLC media player) (Version: 3.0.0 - VideoLAN)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\windows\system32\igfxpph.dll [2011-12-19] (Intel Corporation)
ContextMenuHandlers6: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll [2017-12-11] (Foxit Software Inc.)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {57971E43-CDE9-4ABC-B1CC-BE0547047EB9} - System32\Tasks\Adobe Flash Player Updater => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-12-15 17:30 - 2009-02-27 17:38 - 000139264 ____R () C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\*****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.3.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{D9C452B2-B419-4F7F-A7FF-605D9F45313F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{CB4CCAFE-125C-48A2-9714-9D4AFD46E856}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

15-04-2018 08:59:03 Revo Uninstaller's restore point - Websuche (Chrome)
15-04-2018 09:06:44 Revo Uninstaller's restore point - Websuche (Chrome)
15-04-2018 09:08:39 Revo Uninstaller's restore point - VLC Updater
15-04-2018 09:11:41 Revo Uninstaller's restore point - OpenOffice Updater
15-04-2018 09:12:35 Revo Uninstaller's restore point - OpenOffice 4.1.3
15-04-2018 09:14:48 Revo Uninstaller's restore point - Avast Free Antivirus
15-04-2018 09:25:04 Revo Uninstaller's restore point - Adobe Flash Player 29 NPAPI

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Bluetooth-Gerät (PAN)
Description: Bluetooth-Gerät (PAN)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: BthPan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/15/2018 11:43:08 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/15/2018 10:45:06 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/15/2018 09:29:16 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/15/2018 09:25:04 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".

Details:
AddWin32ServiceFiles: Unable to back up image of service Avast Antivirus since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (04/15/2018 09:25:04 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".

Details:
AddWin32ServiceFiles: Unable to back up image of service aswbIDSAgent since QueryServiceConfig API failed

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (04/15/2018 09:25:04 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".

Details:
AddLegacyDriverFiles: Unable to back up image of binary aswVmm.

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (04/15/2018 09:25:04 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".

Details:
AddLegacyDriverFiles: Unable to back up image of binary aswSP.

System Error:
Das System kann die angegebene Datei nicht finden.
.

Error: (04/15/2018 09:25:04 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: )
Description: Fehler beim Kryptografiedienst während der Verarbeitung des "OnIdentity()"-Aufrufobjekts "System Writer".

Details:
AddLegacyDriverFiles: Unable to back up image of binary aswSnx.

System Error:
Das System kann die angegebene Datei nicht finden.
.


Systemfehler:
=============
Error: (04/15/2018 11:40:41 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "BrYNSvc" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (04/15/2018 11:40:41 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (04/15/2018 11:40:41 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "HP Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (04/15/2018 09:24:23 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Avast Antivirus" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (04/05/2018 01:50:02 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎05.‎04.‎2018 um 01:48:51 unerwartet heruntergefahren.

Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "aswbIDSAgent" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (03/08/2018 12:54:34 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst aswbIDSAgent erreicht.

Error: (03/08/2018 01:35:27 AM) (Source: WMPNetworkSvc) (EventID: 14332) (User: )
Description: Dienst "WMPNetworkSvc" konnte nicht ordnungsgemäß gestartet werden, da ein Fehler "0x80004005" in "CoCreateInstance(CLSID_UPnPDeviceFinder)" aufgetreten ist. Überprüfen Sie, ob der Dienst "UPnPHost" ausgeführt wird und ob die Windows-Komponente "UPnPHost" richtig installiert ist.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz
Prozentuale Nutzung des RAM: 45%
Installierter physikalischer RAM: 3893.78 MB
Verfügbarer physikalischer RAM: 2115.76 MB
Summe virtueller Speicher: 7785.76 MB
Verfügbarer virtueller Speicher: 6351.65 MB

==================== Laufwerke ================================

Drive c: (Windows) (Fixed) (Total:61.92 GB) (Free:35.4 GB) NTFS
Drive d: (Daten) (Fixed) (Total:100.71 GB) (Free:46.32 GB) NTFS
Drive e: (Pool) (Fixed) (Total:120.82 GB) (Free:120.19 GB) NTFS

\\?\Volume{d5fd9543-5596-11e6-85c6-806e6f6e6963}\ (Recovery) (Fixed) (Total:14.65 GB) (Free:8.54 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 46498277)
Partition 1: (Active) - (Size=14.6 GB) - (Type=27)
Partition 2: (Not Active) - (Size=61.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=100.7 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=120.8 GB) - (Type=05)

==================== Ende von Addition.txt ============================

cosinus · 15.04.2018, 11:36

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\S-1-5-19\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-20\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-18\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

uncle_tom · 15.04.2018, 12:20

Vorherige Anweisungen wurden befolgt.

Nach Start FRST und Klick auf Entfernen-Button kommt ein Fenster hoch mit dem Inhalt ich wisse anscheinend nicht, was ich tue und das Prg würde beendet um Schaden abzuwenden.

Aufgefallen war mir, dass auch der Button "Untersuchen" angeleuchtet war. Von daher wurde kein Fixlog.txt erstellt.

EIEIEIEI!

Einer Eingebung folgend habe ich zu Fuss den Wordpad-Editor aufgerufen und *dort* die Zeilen hineinkopiert.

Ergebnis: Es lief!!!!

Danach gab es einen Hinweis und der Schleptop wurde unmittelbar darauf neu gestartet.

Jetzt schaue ich mal, ob die von Dir erwartete Datei erstellt wurde.

Ja, *ich* wars...

Fixlog:

Code:

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.03.2018
durchgeführt von ***** (15-04-2018 13:11:27) Run:1
Gestartet von C:\Users\*****\Desktop
Geladene Profile: ***** (Verfügbare Profile: test & *****)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKU\S-1-5-19\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-20\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-21-2083001547-3444015985-450198440-1001\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
HKU\S-1-5-18\...\Winlogon: [Shell] C:\windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) <==== ACHTUNG
emptytemp:
         
*****************

"HKU\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => erfolgreich entfernt
"HKU\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => erfolgreich entfernt
"HKU\S-1-5-21-2083001547-3444015985-450198440-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => erfolgreich entfernt
"HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => erfolgreich entfernt

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27731601 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 16876208 B
Edge => 0 B
Chrome => 0 B
Firefox => 404938863 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 16802 B
systemprofile32 => 66356 B
LocalService => 0 B
NetworkService => 72296 B
test => 30633 B
***** => 550658768 B

RecycleBin => 1389076798 B
EmptyTemp: => 2.2 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 13:11:44 ====

Das war knapp

....

cosinus · 15.04.2018, 12:43

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:

1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

Installiere das Programm in den vorgegebenen Pfad.
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM nach dem Neustart, klicke auf Berichte.
Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

Starte die Installationsdatei.
Akzeptiere die Nutzungsbedingungen.
Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
Code:
ATTFilter
```
notepad "%tmp%\log.txt"
         
```
Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

uncle_tom · 15.04.2018, 13:31

mbam:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 15.04.18
Scan-Zeit: 13:54
Protokolldatei: ca66394a-40a3-11e8-8281-88ae1dafe986.json
Administrator: Ja

-Softwaredaten-
Version: 3.4.5.2467
Komponentenversion: 1.0.342
Version des Aktualisierungspakets: 1.0.4740
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Weib\*****

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 244084
Erkannte Bedrohungen: 6
In die Quarantäne verschobene Bedrohungen: 6
Abgelaufene Zeit: 1 Min., 47 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.StartPage.ShrtCln, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}, In Quarantäne, [4006], [396863],1.0.4740
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-2083001547-3444015985-450198440-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}, In Quarantäne, [4006], [396863],1.0.4740

Registrierungswert: 4
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-2083001547-3444015985-450198440-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}|FAVICONURL, In Quarantäne, [4006], [396863],1.0.4740
PUP.Optional.StartPage.ShrtCln, HKU\S-1-5-21-2083001547-3444015985-450198440-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}|URL, In Quarantäne, [4006], [396863],1.0.4740
PUP.Optional.StartPage.ShrtCln, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}|FAVICONURL, In Quarantäne, [4006], [396862],1.0.4740
PUP.Optional.StartPage.ShrtCln, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2FCCADD3-7045-4654-A7EB-B4F3C1BFE889}|URL, In Quarantäne, [4006], [396862],1.0.4740

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

(end)

Code:

ATTFilter

14:05:16 # product=EOS
# version=8
# flags=0
# esetonlinescanner_deu.exe=2.0.19.0
# EOSSerial=
# end=init
# utc_time=2018-04-15 12:05:16
# local_time=2018-04-15 14:05:16 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
14:05:25 # product=EOS
# version=8
# flags=0
# esetonlinescanner_deu.exe=2.0.19.0
# EOSSerial=66b02f64e152b146a10d359be0800e0d
# end=init
# utc_time=2018-04-15 12:05:25
# local_time=2018-04-15 14:05:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
14:06:16 Updating
14:06:16 Update Init
14:06:19 Update Download
14:15:20 Call m_esets_charon_send
14:15:20 Call m_esets_charon_destroy
14:16:25 RecursiveRemoveDirectoryAndAllFiles: C:\Users\*****\AppData\Local\ESET\ESETOnlineScanner\Quarantine\

checkup.txt:

Results of screen317's Security Check version 1.009
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Malwarebytes
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamtray.exe
windows defender MpCmdRun.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

15.04.2018, 11:02	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken. __________________ Logfiles bitte immer in CODE-Tags posten

Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST

Log-Analyse und Auswertung: Win 7 - 64/ Phishing / Achtung-Hinweise lt. FRST