Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.11.2019, 18:08   #1
Kikerikki
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Hallo liebes Forum,

habe soeben einen Zugriff auf meine VM welche in Unraid läuft miterlebt.

Habe auf der Maschine gearbeitet als ich sah dass plötzlich die Windows Taste gedrückt wurde, anschließend cmd eingetippt wurde. Habe noch gesehen dass er syskey eingab und mit Enter bestätigte - Windows teilte ihm mit dass es diesen Befehl nicht gibt
Ich glaube das wurde doch in einem Update abgestellt oder?
Naja jedenfalls hab ich die VM sofort heruntergefahren und vom Internet getrennt.
Momentan lasse ich den eset online Scanner drüberlaufen und hab auch die Logfiles von FRST beigefügt, hoffe ihr könnt mir helfen.
Windows Defender wurde von mir in der Registry deaktiviert weil die Programme (teilweise im Kompatibilitätsmodus) sonst nicht starten würden.

Danke und
LG Simon
Angehängte Dateien
Dateityp: txt FRST.txt (12,1 KB, 87x aufgerufen)
Dateityp: txt Addition.txt (23,0 KB, 111x aufgerufen)

Alt 03.11.2019, 19:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Zitat:
habe soeben einen Zugriff auf meine VM welche in Unraid läuft miterlebt.
Und das heißt bitte was genau? Unraid im Zusammenhang mit was?

Abgesehen davon analysieren wir keine Logs in Anhängen.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 03.11.2019, 19:23   #3
Kikerikki
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Ich habe einen Unraid Server als Nas und darin laufen 2 VM´s, Windows 10 ist die VM mit der ich die o.a. Probleme habe.

Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-11-2019
durchgeführt von SERVER (Administrator) auf DESKTOP-JR9GMQP (QEMU Standard PC (i440FX + PIIX, 1996)) (03-11-2019 17:46:26)
Gestartet von C:\Users\SERVER\Desktop
Geladene Profile: SERVER (Verfügbare Profile: SERVER)
Platform: Windows 10 Pro Version 1809 17763.107 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Adobe Inc. -> Adobe Systems) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
(ESET, spol. s r.o. -> ESET spol. s r.o.) C:\Users\SERVER\Desktop\ESETOnlineScanner_DEU.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL10_50.ELSAWINDB\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2019.19071.17920.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\Taskmgr.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(OpenVPN Technologies, Inc. -> ) C:\Program Files\OpenVPN\bin\openvpn-gui.exe
(OpenVPN Technologies, Inc. -> The OpenVPN Project) C:\Program Files\OpenVPN\bin\openvpnserv.exe
(TeamViewer GmbH -> TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrAdm.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrAuf.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrDba.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrHis.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrPas.exe
(Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\LcSvrSaz.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-243246889-991713277-1277218971-1001\...\Run: [OpenVPN-GUI] => C:\Program Files\OpenVPN\bin\openvpn-gui.exe [698328 2019-04-25] (OpenVPN Technologies, Inc. -> )
HKLM\Software\Microsoft\Active Setup\Installed Components: [OpenVPN_UserSetup] -> reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OPENVPN-GUI /t REG_SZ /d "C:\Program Files\OpenVPN\bin\openvpn-gui.exe" /f

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) ============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2365B538-7A60-44A1-A54B-1B5814C70449} - System32\Tasks\Microsoft\Windows\RetailDemo\CleanupOfflineContent => {61f77d5e-afe9-400b-a5e6-e9e80fc8e601} C:\Windows\System32\RDXTaskFactory.dll [411136 2018-09-15] (Microsoft Windows -> Microsoft Corporation)
Task: {6F1959AB-4F83-4518-9213-918EE2327A2F} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\MpCmdRun.exe [468120 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {6F3BDA3A-DA6B-490F-B83D-FB18BCD419F8} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [740544 2015-11-01] (@ByELDI -> @ByELDI) [Datei ist nicht signiert]
Task: {73E28287-5B1D-49BF-869E-A848C01978CB} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\MpCmdRun.exe [468120 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {8000084F-8E03-4734-A26C-B1793870290F} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\MpCmdRun.exe [468120 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {966BEF80-AFEB-4061-A01F-557BBDA6A4E1} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1240656 2019-09-10] (Adobe Inc. -> Adobe Systems)
Task: {C5A92A9F-E07E-4D9B-A209-B1E19A7D3501} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\MpCmdRun.exe [468120 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 0.0.0.0
Tcpip\..\Interfaces\{06a3ed82-e7db-4c7c-adb9-377bf8ebcf78}: [DhcpNameServer] 8.8.4.4 8.8.8.8
Tcpip\..\Interfaces\{909f6d9d-5ea4-412b-a470-5e9b9ed0df57}: [DhcpNameServer] 192.168.0.1 0.0.0.0

Internet Explorer:
==================
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre-9\bin\ssv.dll => Keine Datei
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre-9\bin\jp2ssv.dll [2019-10-31] (Oracle America, Inc. -> Oracle Corporation)
Handler-x32: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\ElsaWin\bin\wiprot.dll [2017-03-14] (TODO: <Company name>) [Datei ist nicht signiert]

Edge: 
======
DownloadDir: C:\Users\SERVER\Downloads

FireFox:
========
FF DefaultProfile: 5hs1wg29.default
FF ProfilePath: C:\Users\SERVER\AppData\Roaming\Mozilla\Firefox\Profiles\5hs1wg29.default [2019-10-24]
FF ProfilePath: C:\Users\SERVER\AppData\Roaming\Mozilla\Firefox\Profiles\r8hgtbna.default-release [2019-11-03]
FF Extension: (MyJDownloader Browser Erweiterung) - C:\Users\SERVER\AppData\Roaming\Mozilla\Firefox\Profiles\r8hgtbna.default-release\Extensions\jid1-OY8Xu5BsKZQa6A@jetpack.xpi [2019-10-26] [UpdateUrl:hxxps://my.jdownloader.org/extensions/firefox.json]
FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\SERVER\AppData\Roaming\Mozilla\Firefox\Profiles\r8hgtbna.default-release\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2019-10-24]
FF Plugin-x32: @java.com/DTPlugin,version=12.0.0.0 -> C:\Program Files (x86)\Java\jre-9\bin\dtplugin\npDeployJava1.dll [2019-10-31] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=12.0.0.0 -> C:\Program Files (x86)\Java\jre-9\bin\plugin2\npjp2.dll [2019-10-31] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2019-02-18] (Adobe Systems, Incorporated -> Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 LcSvrAdm; C:\ElsaWin\bin\LcSvrAdm.exe [262656 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R3 LcSvrAuf; C:\ElsaWin\bin\LcSvrAuf.exe [1352704 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R2 LcSvrDba; C:\ElsaWin\bin\LcSvrDba.exe [435712 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R2 LcSvrHis; C:\ElsaWin\bin\LcSvrHis.exe [387072 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R2 LcSvrPAS; C:\ElsaWin\bin\LcSvrPas.exe [519680 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R2 LcSvrSaz; C:\ElsaWin\bin\LcSvrSaz.exe [438784 2017-03-14] (Volkswagen AG) [Datei ist nicht signiert]
R2 MSSQL$ELSAWINDB; C:\Program Files\Microsoft SQL Server\MSSQL10_50.ELSAWINDB\MSSQL\Binn\sqlservr.exe [62218696 2012-06-29] (Microsoft Corporation -> Microsoft Corporation)
S3 OpenVPNService; C:\Program Files\OpenVPN\bin\openvpnserv2.exe [24192 2018-03-06] (OpenVPN Technologies, Inc. ->  )
R2 OpenVPNServiceInteractive; C:\Program Files\OpenVPN\bin\openvpnserv.exe [74712 2019-04-25] (OpenVPN Technologies, Inc. -> The OpenVPN Project)
S3 OpenVPNServiceLegacy; C:\Program Files\OpenVPN\bin\openvpnserv.exe [74712 2019-04-25] (OpenVPN Technologies, Inc. -> The OpenVPN Project)
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [5381624 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation)
S4 SQLAgent$ELSAWINDB; C:\Program Files\Microsoft SQL Server\MSSQL10_50.ELSAWINDB\MSSQL\Binn\SQLAGENT.EXE [441288 2012-06-29] (Microsoft Corporation -> Microsoft Corporation)
R2 TeamViewer; C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe [12054872 2019-10-10] (TeamViewer GmbH -> TeamViewer GmbH)
S3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\NisSrv.exe [3004048 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)
S3 WinDefend; C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1909.6-0\MsMpEng.exe [103384 2019-10-20] (Microsoft Windows Publisher -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 BALLOON; C:\Windows\System32\drivers\balloon.sys [50376 2019-04-12] (Red Hat, Inc. -> Red Hat, Inc.)
R3 FTDIBUS; C:\Windows\system32\drivers\ftdibus.sys [129448 2017-09-19] (Future Technology Devices International Ltd -> Future Technology Devices International Ltd.)
R3 FTSER2K; C:\Windows\system32\drivers\ftser2k.sys [89792 2017-09-19] (Future Technology Devices International Ltd -> Future Technology Devices International Ltd.)
S3 kmloop; C:\Windows\System32\drivers\loop.sys [17408 2018-09-15] (Microsoft Windows -> Microsoft Corporation)
R3 netkvm; C:\Windows\System32\drivers\netkvm.sys [143048 2019-04-12] (Red Hat, Inc. -> Red Hat, Inc.)
R3 QxlDod; C:\Windows\System32\drivers\qxldod.sys [93896 2019-04-11] (Red Hat, Inc. -> Red Hat Inc.)
S4 RsFx0153; C:\Windows\System32\DRIVERS\RsFx0153.sys [321992 2012-06-29] (Microsoft Corporation -> Microsoft Corporation)
R3 tap0901; C:\Windows\System32\drivers\tap0901.sys [37360 2019-04-23] (Microsoft Windows Hardware Compatibility Publisher -> The OpenVPN Project)
R3 VirtioSerial; C:\Windows\System32\drivers\vioser.sys [74952 2019-04-12] (Red Hat, Inc. -> Red Hat, Inc.)
S3 WdBoot; C:\Windows\system32\drivers\wd\WdBoot.sys [46688 2019-10-20] (Microsoft Windows Early Launch Anti-Malware Publisher -> Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\wd\WdFilter.sys [350136 2019-10-20] (Microsoft Windows -> Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\drivers\wd\WdNisDrv.sys [54200 2019-10-20] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-11-2019
durchgeführt von SERVER (03-11-2019 17:48:30)
Gestartet von C:\Users\SERVER\Desktop
Windows 10 Pro Version 1809 17763.107 (X64) (2019-10-20 00:52:24)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-243246889-991713277-1277218971-500 - Administrator - Disabled)
DefaultAccount (S-1-5-21-243246889-991713277-1277218971-503 - Limited - Disabled)
Gast (S-1-5-21-243246889-991713277-1277218971-501 - Limited - Disabled)
SERVER (S-1-5-21-243246889-991713277-1277218971-1001 - Administrator - Enabled) => C:\Users\SERVER
WDAGUtilityAccount (S-1-5-21-243246889-991713277-1277218971-504 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 19.010.20098 - Adobe Systems Incorporated)
Adobe SVG Viewer 3.0 (HKLM-x32\...\Adobe SVG Viewer) (Version:  3.0 - )
BitTorrent (HKU\S-1-5-21-243246889-991713277-1277218971-1001\...\BitTorrent) (Version: 7.10.5.45374 - BitTorrent Inc.)
BMW Standard Tools (HKLM-x32\...\{ 70994916-61E9-40D2-A30C-89D2C030017F}_is1) (Version: 2.12.0 - BMW Group)
ElsaWin (HKLM-x32\...\ElsaWin) (Version: 6.00 - )
FordEtis IDS 20181212.3 (HKLM-x32\...\1492-6894-0638-6774) (Version: 20181212.3 - Ford Motor Company)
Java 9 (HKLM-x32\...\{27F77A89-05E5-515A-B827-3267967CEC02}) (Version: 9.0.0.0 - Oracle Corporation)
JDownloader 2 (HKLM-x32\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
Microsoft OneDrive (HKU\S-1-5-21-243246889-991713277-1277218971-1001\...\OneDriveSetup.exe) (Version: 19.174.0902.0013 - Microsoft Corporation)
Microsoft Primary Interoperability Assemblies 2005 (HKLM-x32\...\{2C303EE0-A595-3543-A71A-931C7AC40EDE}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Report Viewer Redistributable 2008 SP1 (HKLM-x32\...\Microsoft Report Viewer Redistributable 2008 (KB971119)) (Version:  - Microsoft Corporation)
Microsoft SQL Server 2008 R2 (64-bit) (HKLM\...\Microsoft SQL Server 2008 R2) (Version:  - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Native Client (HKLM\...\{79A2C6E8-C727-4D12-B4B3-19790C181DEA}) (Version: 10.52.4000.0 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Policies (HKLM-x32\...\{D21BC5B2-CBAC-48FA-A701-B5A63C1CA7B8}) (Version: 10.50.1600.1 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Setup (English) (HKLM\...\{C3525BF7-3698-4CD3-A8C3-69BD6F57BA3B}) (Version: 10.52.4000.0 - Microsoft Corporation)
Microsoft SQL Server 2008 Setup Support Files  (HKLM\...\{B40EE88B-400A-4266-A17B-E3DE64E94431}) (Version: 10.1.2731.0 - Microsoft Corporation)
Microsoft SQL Server Browser (HKLM-x32\...\{BF9BF038-FE03-429D-9B26-2FA0FD756052}) (Version: 10.52.4000.0 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{3A9FC03D-C685-4831-94CF-4EDFD3749497}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 Query Tools ENU (HKLM-x32\...\{DDFD8348-058C-4F4B-85E5-6D740D4AB3FE}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server VSS Writer (HKLM\...\{288D79EE-A2D1-42AF-9597-B0ADCC23A8ED}) (Version: 10.52.4000.0 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual Studio Tools for Applications 2.0 - ENU (HKLM-x32\...\{4ECF4BDC-8387-329A-ABE9-CF5798F84BB2}) (Version: 9.0.35191 - Microsoft Corporation)
Mozilla Firefox 70.0.1 (x64 de) (HKLM\...\Mozilla Firefox 70.0.1 (x64 de)) (Version: 70.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 70.0 - Mozilla)
OpenVPN 2.4.7-I607-Win10  (HKLM\...\OpenVPN) (Version: 2.4.7-I607-Win10 - OpenVPN Technologies, Inc.)
Service Pack 2 for SQL Server 2008 R2 (KB2630458) (64-bit) (HKLM\...\KB2630458) (Version: 10.52.4000.0 - Microsoft Corporation)
SQL Server 2008 R2 SP2 Common Files (HKLM\...\{234F6B0D-10AE-4BB7-B2F3-E48D4861952D}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Common Files (HKLM\...\{36F70DEE-1EBF-4707-AFA2-E035EEAEBAA1}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Services (HKLM\...\{FA7394B8-CE65-4F9E-AC99-F372AD365424}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Services (HKLM\...\{FBD367D1-642F-47CF-B79B-9BE48FB34007}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Shared (HKLM\...\{A2122A9C-A699-4365-ADF8-68FEAC125D61}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Database Engine Shared (HKLM\...\{C942A025-A840-4BF2-8987-849C0DD44574}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Management Studio (HKLM\...\{51E5BC99-A087-4CFF-8D93-462903EA7E12}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
SQL Server 2008 R2 SP2 Management Studio (HKLM\...\{72AB7E6F-BC24-481E-8C45-1AB5B3DD795D}) (Version: 10.52.4000.0 - Microsoft Corporation) Hidden
Sql Server Customer Experience Improvement Program (HKLM\...\{F31183CF-E10F-4DE1-BB59-6C0FF38E481E}) (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
TAP-Windows 9.23.3 (HKLM\...\TAP-Windows) (Version: 9.23.3 - OpenVPN Technologies, Inc.)
TeamViewer 14 (HKLM-x32\...\TeamViewer) (Version: 14.7.1965 - TeamViewer)
WinRAR 5.71 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

Packages:
=========
Mail und Kalender -> C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.12026.20218.0_x64__8wekyb3d8bbwe [2019-10-20] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x64__8wekyb3d8bbwe [2019-10-20] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1811.1.0_x86__8wekyb3d8bbwe [2019-10-20] (Microsoft Corporation) [MS Ad]
Microsoft Solitaire Collection -> C:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.4.10022.0_x64__8wekyb3d8bbwe [2019-10-20] (Microsoft Studios) [MS Ad]
MSN Wetter -> C:\Program Files\WindowsApps\Microsoft.BingWeather_4.32.12463.0_x64__8wekyb3d8bbwe [2019-10-20] (Microsoft Corporation) [MS Ad]

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)

==================== Codecs (Nicht auf der Ausnahmeliste) ====================

==================== Verknüpfungen & WMI ========================

==================== Geladene Module (Nicht auf der Ausnahmeliste) =============

2017-03-14 14:13 - 2017-03-14 14:13 - 000031232 _____ () [Datei ist nicht signiert] C:\ElsaWin\bin\SvrAufPS.dll
2019-11-03 17:12 - 2019-11-03 17:17 - 001195008 _____ (ESET) [Datei ist nicht signiert] C:\Users\SERVER\AppData\Local\ESET\ESETOnlineScanner\esets_apiW_a.DLL
2017-03-14 14:10 - 2017-03-14 14:10 - 000353792 _____ (Volkswagen AG) [Datei ist nicht signiert] C:\ElsaWin\bin\vfc10u.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ========

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ==================

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) =================

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ==========

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2018-09-15 08:31 - 2018-09-15 08:31 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Andere Bereiche ===========================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path -> C:\ProgramData\Oracle\Java\javapath;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;%SYSTEMROOT%\System32\OpenSSH\;C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE\;C:\Program Files (x86)\Microsoft SQL Server\100\DTS\Binn\;c:\ediabas\bin
HKU\S-1-5-21-243246889-991713277-1277218971-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Off)
 ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

HKLM\...\StartupApproved\Run: => "SecurityHealth"
HKU\S-1-5-21-243246889-991713277-1277218971-1001\...\StartupApproved\Run: => "OneDrive"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{4F318648-9709-46B7-87A8-3F18B4E7E7DE}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{77446AB9-4DFF-46C1-81F3-E0AA1D7FFA18}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{18B3085B-D266-461A-A699-88677C91390E}] => (Allow) C:\Users\SERVER\AppData\Roaming\BitTorrent\BitTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{2D0E9756-2BA0-4088-9194-9615C40C52F3}] => (Allow) C:\Users\SERVER\AppData\Roaming\BitTorrent\BitTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{FB4FEA4C-26EF-4913-8EA8-47D745E497C7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe (TeamViewer GmbH -> TeamViewer GmbH)
FirewallRules: [{77B89E6D-F569-4C7E-8544-26E0B6B8B5E3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe (TeamViewer GmbH -> TeamViewer GmbH)
FirewallRules: [{BABC55E6-5D28-4357-9C47-26594F5A746C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (TeamViewer GmbH -> TeamViewer GmbH)
FirewallRules: [{7D584EDF-760E-48C3-9C10-EF9F1B25DE66}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (TeamViewer GmbH -> TeamViewer GmbH)
FirewallRules: [TCP Query User{44083467-F600-4A3E-8EE5-D964C4FF621D}C:\fordetis\jre\bin\java.exe] => (Allow) C:\fordetis\jre\bin\java.exe
FirewallRules: [UDP Query User{BE44600E-7D1B-45BC-9973-95F1A7B4044E}C:\fordetis\jre\bin\java.exe] => (Allow) C:\fordetis\jre\bin\java.exe
FirewallRules: [{E9F26C8D-5EAC-4CD5-85C7-E441D3B2C6EF}] => (Allow) LPort=135
FirewallRules: [{8644E11A-9C62-4C2B-90B0-1CB3CBE4906A}] => (Allow) LPort=135
FirewallRules: [{4F6820C1-A592-4566-84AA-6DEA72CF8429}] => (Allow) C:\ElsaWin\bin\ElsaWin.exe (Volkswagen AG) [Datei ist nicht signiert]
FirewallRules: [{B595EB3B-775E-4BDC-86F8-750C64F5C22F}] => (Allow) C:\ElsaWin\bin\ElsaWin.exe (Volkswagen AG) [Datei ist nicht signiert]
FirewallRules: [{01F3F8EE-9C34-46FB-B519-B3935C42BD04}] => (Allow) C:\ElsaWin\bin\ElsaWin.exe (Volkswagen AG) [Datei ist nicht signiert]
FirewallRules: [{C0426027-2C88-4766-B5AB-0C90D0A2C801}] => (Allow) C:\ElsaWin\bin\ElsaWin.exe (Volkswagen AG) [Datei ist nicht signiert]

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:999.4 GB) (Free:561.93 GB) (56%)

==================== Fehlerhafte Geräte im Gerätemanager ============

Name: Microsoft KM-TEST Loopback Adapter
Description: Microsoft Loopbackadapter für KM-TEST
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: kmloop
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: ========================

Applikationsfehler:
==================
Error: (11/03/2019 05:51:40 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0x12064

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000000974

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:51:40
57573@17:51:27

Error: (11/03/2019 05:50:42 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0x116e4

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x000000000000046C

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:50:42
57573@17:50:31

Error: (11/03/2019 05:40:13 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xee4c

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000001280

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:40:13
57573@17:40:04

Error: (11/03/2019 05:40:00 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xe58c

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000001F4C

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:40:00
57573@17:39:53

Error: (11/03/2019 05:29:55 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xda90

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000001234

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:29:55
57573@17:29:46

Error: (11/03/2019 05:29:39 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xd1c0

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000000384

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:29:39
57573@17:29:30

Error: (11/03/2019 05:29:23 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xc8f4

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000000384

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:29:23
57573@17:29:13

Error: (11/03/2019 05:29:07 PM) (Source: ESENT) (EventID: 623) (User: )
Description: SearchIndexer (7044,D,23) Windows: Der Versionsspeicher für Instanz 0 hat seine maximale Größe von 128 MB erreicht. Wahrscheinlich verhindert eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde.

Mögliche lange andauernde Transaktion:

	Sitzungs-ID: 0x000002A465BE17E0:0xc014

	Sitzungskontext: 0x00000000

	Thread-ID des Sitzungskontexts: 0x0000000000000498

	Bereinigung: 1

	Ablaufverfolgung der Sitzung:

45861@17:29:07
57573@17:29:00


Systemfehler:
=============
Error: (11/03/2019 05:21:18 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/03/2019 05:21:18 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\SERVER\AppData\Local\Temp\ehdrv.sys

Error: (11/03/2019 05:21:17 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/03/2019 05:21:17 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\SERVER\AppData\Local\Temp\ehdrv.sys

Error: (11/03/2019 05:21:17 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/03/2019 05:21:17 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\SERVER\AppData\Local\Temp\ehdrv.sys

Error: (11/03/2019 05:21:17 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Treiber konnte nicht geladen werden.

Error: (11/03/2019 05:21:17 PM) (Source: Application Popup) (EventID: 1060) (User: )
Description: \??\C:\Users\SERVER\AppData\Local\Temp\ehdrv.sys


Windows Defender:
===================================
Date: 2019-10-24 22:53:41.731
Description: 
Von Windows Defender Antivirus wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=VirTool:Win32/DefenderTamperingRestore&threatid=2147741622&enterprise=0
Name: VirTool:Win32/DefenderTamperingRestore
ID: 2147741622
Schweregrad: Schwerwiegend
Kategorie: Tool
Pfad: regkeyvalue:_hklm\software\policies\microsoft\windows defender\\DisableAntiSpyware
Erkennungsursprung: Unbekannt
Erkennungstyp: Konkret
Erkennungsquelle: System
Benutzer: NT-AUTORITÄT\SYSTEM
Prozessname: Unknown
Signaturversion: AV: 1.305.553.0, AS: 1.305.553.0, NIS: 1.305.553.0
Modulversion: AM: 1.1.16500.1, NIS: 1.1.16500.1

==================== Speicherinformationen =========================== 

BIOS: EFI Development Kit II / OVMF 0.0.0 02/06/2015
Prozessor: Intel(R) Xeon(R) CPU E3-1271 v3 @ 3.60GHz
Prozentuale Nutzung des RAM: 40%
Installierter physikalischer RAM: 8189 MB
Verfügbarer physikalischer RAM: 4869.63 MB
Summe virtueller Speicher: 9469 MB
Verfügbarer virtueller Speicher: 6261.73 MB

==================== Laufwerke ================================

Drive c: (SYSTEM) (Fixed) (Total:999.4 GB) (Free:562 GB) NTFS

\\?\Volume{f91734bc-345d-47eb-8f09-8fc3b3a52f08}\ (Wiederherstellung) (Fixed) (Total:0.49 GB) (Free:0.47 GB) NTFS
\\?\Volume{e71a9514-947c-470d-a444-9915ebb35080}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

==================== MBR & Partitionstabelle ====================

==========================================================
Disk: 0 (Protective MBR) (Size: 1000 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt =======================
         
__________________

Alt 03.11.2019, 19:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Dann bitte das beachten --> https://www.trojaner-board.de/108423...-anfragen.html


Zitat:
Bereinigung von gewerblich genutzten Rechnern

Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT-Abteilung eurer Firma zuständig.



Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.11.2019, 20:13   #5
Kikerikki
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Ich nutze diesen Server Privat, er steht in der Garage und dient als Datenspeicher, ich habe ihn geschenkt bekommen und nutze ihn nicht gewerblich.

Auf dieser VM ist lediglich Software die ich zum Fehlerspeicher auslesen meiner 2 Autos benötige und die zu installieren ist - ein guter Aufwand - deshalb wärs toll wenn ich den (nehme mal an) Trojaner aufspüren und eliminieren könnte

Hatte sowas noch nie, hab allerdings schon ein wenig nach RAT Angriffen gegoogled jedoch nichts wirklich brauchbares gefunden.
Scheinbar wurde irgendein Programm ins System inplementiert, gibt es da noch Vorschläge welche Tools ich drüberlaufen lassen könnte?
Malwarebyte Eset und RUN PE Detector haben nichts gefunden.

Falls dennoch keine Hilfe zu erwarten ist gebt mir bitte bescheid.

Danke und LG


Alt 03.11.2019, 20:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Standard

Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!



Dann auch bitte die Instruktionen richtig lesen und umsetzen. Das andere Log ist noch nicht in CODE-Tags gepostet.
__________________
--> Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!

Antwort

Themen zu Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!
befehl, cmd, deaktiviert, defender, eset, forum, interne, internet, logfiles, online, plötzlich, programme, registry, scan, scanner, schließe, starte, starten, syskey, tan, update, windows, würde, zugriff, zunge




Ähnliche Themen: Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!


  1. Pc durch Syskey gesperrt, bei CMD Command (dir e:\windows\system32\config\regback\) steht dann "Unzulässige Funktion"
    Log-Analyse und Auswertung - 02.09.2017 (19)
  2. xxx.exe ungültiges Bild, bei jedem Versuch ein Programm zu starten, Betriebssystem Windows 7, Avira Antivirus Pro - Update nicht mögl.
    Plagegeister aller Art und deren Bekämpfung - 26.06.2017 (36)
  3. Windows 10: Vermutung Trojaner auf neuem Rechner, Versuch bei Apple Account Kreditkartendaten zu hackem
    Log-Analyse und Auswertung - 12.07.2016 (12)
  4. Windows 7 : Facebook Login Versuch aus Taiwan
    Log-Analyse und Auswertung - 28.09.2015 (5)
  5. Windows 7 bootet unregelmäßig und meist er st nach dem dritten Versuch
    Log-Analyse und Auswertung - 30.10.2014 (15)
  6. Windows 7, Seitenaufbau mit Chrome erst beim 2. oder 3. Versuch
    Log-Analyse und Auswertung - 01.09.2014 (11)
  7. Optimieren eines Windows 7 Acer Laptops
    Alles rund um Windows - 07.04.2014 (5)
  8. Windows Vista: Nachwehen eines BKA Virus ?
    Log-Analyse und Auswertung - 17.11.2013 (12)
  9. Windows 7, Virenbefall nach Download HDvid-Codec, Befall mit Nav-Links, Versuch mit Spyhunter zu beheben
    Log-Analyse und Auswertung - 16.10.2013 (37)
  10. Wieder mal eine Auswertung eines OTLPE-Logs eines GVU/GEMA Trojaner infizierten Systems
    Log-Analyse und Auswertung - 29.06.2013 (10)
  11. Windows 7, Anwendung beim Versuch zu kopieren verschwindet/fehlende Adminrechte
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (3)
  12. Windows Verschlüsselungstrojaner: Versuch des abgesichterten Modus führt zu Bluescreen
    Log-Analyse und Auswertung - 24.06.2012 (9)
  13. Der Versuch eines viralen Hacks
    Nachrichten - 06.02.2012 (0)
  14. Nach fehlerhaften Recovery Versuch startet Windows nicht mehr [WIN7]
    Alles rund um Windows - 03.02.2012 (3)
  15. Syskey Modus 3
    Alles rund um Windows - 08.04.2003 (3)
  16. Syskey Modus 2
    Alles rund um Windows - 02.03.2003 (0)

Zum Thema Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! - Hallo liebes Forum, habe soeben einen Zugriff auf meine VM welche in Unraid läuft miterlebt. Habe auf der Maschine gearbeitet als ich sah dass plötzlich die Windows Taste gedrückt wurde, - Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s!...
Archiv
Du betrachtest: Windows 10 VM: Remotesteuerung und Versuch eines SYSKEY´s! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.