Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows 7 Prof SP1: Ständig Umleitung auf Umfrage- und Werbeseiten (https://www.trojaner-board.de/172586-windows-7-prof-sp1-staendig-umleitung-umfrage-werbeseiten.html)

KokomikoM 01.11.2015 10:59
Windows 7 Prof SP1: Ständig Umleitung auf Umfrage- und Werbeseiten
 
Hallo,

seit einiger Zeit wird bei Aufruf auch seriöser Seiten (z. B. einer von mir betreuten Webseite ohne jegliche Werbeverträge), Jobbörse Arbeitsamt u. ä. ständig auf Werbeseiten umgeleitet.

Der PC wurde vor einigen Wochen komplett neu aufgesetzt, Windows 7 Prof SP 1 mit aktuellen Updates (allerdings nur wichtige, weil zuvor nach automatischer Installation aller Updates ständig Bluescreens kamen, daher auch die Formatierung des PC und Neuaufsetzen).

Wir benutzen Chrome als Browser und haben Emsisoft AntiMalware als Virenprogramm. Die Windows Firewall ist aktiv.

Aus irgend einem Grund kann ich allerdings den PC nicht mit der Windows eigenen Datensicherungsoption sichern. Obwohl die externe Festplatte, auf die ich sichern möchte, groß genug ist, bricht jeder Sicherungsversuch ab. Wir sichern daher nur unsere Daten durch easy2sync. Soweit die Vorgeschichte.

Die Logs warten laut Rückmeldung zu lang (?), daher jeweils in einem eigenen Beitrag:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:28-10-2015
durchgeführt von Conny (Administrator) auf *****-PC (29-10-2015 11:42:20)
Gestartet von C:\Users\*****\Downloads
Geladene Profile: Conny & ***** (Verfügbare Profile: Conny & *****)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2service.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe
(Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2guard.exe
(Hewlett-Packard) C:\Program Files\Hp\HP Software Update\hpwuschd2.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Hewlett-Packard Co.) C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe
(Belkin International, Inc.) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
(IT-Services Thomas Holz) C:\Program Files\Easy2Sync\Easy2Sync.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe
(Hewlett-Packard Co.) C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\prevhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [emsisoft anti-malware] => c:\program files\emsisoft anti-malware\a2guard.exe [5836888 2015-10-01] (Emsisoft Ltd)
HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [49208 2011-10-28] (Hewlett-Packard)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [FreePDF Assistant] => C:\Program Files\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [597552 2015-08-04] (Oracle Corporation)
HKLM\...\RunOnce: [*WerKernelReporting] => C:\Windows\SYSTEM32\WerFault.exe [360448 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\Run: [GoogleChromeAutoLaunch_126F62E87F3AA4A6DFABC54C712D0144] => C:\Program Files\Google\Chrome\Application\chrome.exe [811848 2015-10-20] (Google Inc.)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6495144 2015-09-16] (Piriform Ltd)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\MountPoints2: {3ae05b57-596f-11e5-9763-806e6f6e6963} - E:\autorun.exe
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\...\Run: [HP Officejet Pro 8600 (NET)] => C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe [1837672 2012-10-17] (Hewlett-Packard Co.)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Bubbles.scr [878592 2010-11-20] (Microsoft Corporation)
Startup: C:\Users\Conny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Belkin Netzwerk USB-Hub Kontrollzentrum.lnk [2015-09-19]
ShortcutTarget: Belkin Netzwerk USB-Hub Kontrollzentrum.lnk -> C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe (Belkin International, Inc.)
Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Belkin Network USB Hub Control Center.lnk [2015-09-20]
ShortcutTarget: Belkin Network USB Hub Control Center.lnk -> C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe (Belkin International, Inc.)
Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Easy2Sync für Dateien.lnk [2015-09-15]
ShortcutTarget: Easy2Sync für Dateien.lnk -> C:\Program Files\Easy2Sync\Easy2Sync.exe (IT-Services Thomas Holz)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.3.1
Tcpip\..\Interfaces\{5EE5D903-9E52-4B3E-A901-F02018F62DAB}: [DhcpNameServer] 192.168.3.1

Internet Explorer:
==================
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://www.google.de/?gws_rd=ssl
hxxp://jobboerse.arbeitsagentur.de/vamJB/startseite.html?kgr=as&aa=1&m=1
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_60\bin\ssv.dll [2015-10-08] (Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2015-10-28] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_60\bin\jp2ssv.dll [2015-10-08] (Oracle Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2015-09-12] (Microsoft Corporation)

FireFox:
========
FF Plugin: @java.com/DTPlugin,version=11.60.2 -> C:\Program Files\Java\jre1.8.0_60\bin\dtplugin\npDeployJava1.dll [2015-10-08] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.60.2 -> C:\Program Files\Java\jre1.8.0_60\bin\plugin2\npjp2.dll [2015-10-08] (Oracle Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2015-09-12] (Microsoft Corporation)
FF Plugin: @nvidia.com/3DVision -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll [2015-10-03] (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2015-10-03] (NVIDIA Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-19] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-19] (Google Inc.)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-07-03] (Adobe Systems Inc.)

Chrome:
=======
CHR StartupUrls: Default -> "hxxps://www.elkb.de/login.php","hxxps://owa.elkb.de/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fowa.elkb.de%2fowa%2f%23authRedirect%3dtrue","hxxps://www.kiv-portal.de/useradmin/","hxxp://www.symbaloo.com/home/mix/13eOhDN8dC","hxxps://www.google.de/","hxxp://www.n24.de/n24/","hxxps://www4.mewis-nt.net/lk02_schulung20/Meldewesen/Suche.aspx"
CHR NewTab: Default -> "chrome-extension://ldmiahjidflgnbiadknkmaimfpjkelng/html/newtab.html"
CHR DefaultSearchURL: Default -> hxxps://hulbee.com/?query={searchTerms}
CHR DefaultSearchKeyword: Default -> hulbee.com
CHR Profile: C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-09-12]
CHR Extension: (Google Docs) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-09-12]
CHR Extension: (1Password: Password Manager and Secure Wallet) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aomjjhallfgjeglblehebfpbcfeobpgk [2015-09-12]
CHR Extension: (Google Drive) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-09-12]
CHR Extension: (YouTube) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-08]
CHR Extension: (Auf den Amazon-Wunschzettel) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-09-12]
CHR Extension: (Google-Suche) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-09-12]
CHR Extension: (Google Tabellen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-09-12]
CHR Extension: (Trusted Shops-Erweiterung für Google Chrome) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcpnemckonbbmnoakbjgjkgokkbaeo [2015-10-08]
CHR Extension: (Google Text & Tabellen Offline) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-09-12]
CHR Extension: (AdBlock) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-10-11]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-09-12]
CHR Extension: (Avira SafeSearch) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmiahjidflgnbiadknkmaimfpjkelng [2015-09-12]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-12]
CHR Extension: (Google Mail) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-09-12]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 a2AntiMalware; C:\Program Files\Emsisoft Anti-Malware\a2service.exe [7084784 2015-10-01] (Emsisoft Ltd)
R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1883320 2015-10-07] (Microsoft Corporation)
R2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [921208 2015-10-03] (NVIDIA Corporation)
R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1872504 2015-10-03] (NVIDIA Corporation)
R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [4305016 2015-10-03] (NVIDIA Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 epp32; C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp32.sys [114200 2015-10-01] (Emsisoft GmbH)
R3 NvStreamKms; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [18552 2015-10-03] (NVIDIA Corporation)
R3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad32v.sys [44840 2015-08-11] (NVIDIA Corporation)
R2 sxuptp; C:\Windows\System32\DRIVERS\sxuptp.sys [62464 2007-09-27] (silex technology, Inc.)
U3 pwriypod; \??\C:\Users\Conny\AppData\Local\Temp\pwriypod.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-29 11:41 - 2015-10-29 11:41 - 00025312 _____ C:\Users\*****\Downloads\FRST-User.txt
2015-10-29 08:58 - 2015-10-29 08:58 - 00090620 _____ C:\Users\*****\Downloads\gmer.log
2015-10-29 08:47 - 2015-10-29 08:47 - 00380416 _____ C:\Users\*****\Downloads\Gmer-19357.exe
2015-10-29 08:47 - 2015-10-29 08:47 - 00380416 _____ C:\Users\*****\Downloads\Gmer-19357 (1).exe
2015-10-29 08:34 - 2015-10-29 11:40 - 00021554 _____ C:\Users\*****\Downloads\Addition.txt
2015-10-29 08:33 - 2015-10-29 11:42 - 00014213 _____ C:\Users\*****\Downloads\FRST.txt
2015-10-29 08:33 - 2015-10-29 11:42 - 00000000 ____D C:\FRST
2015-10-29 08:33 - 2015-10-29 08:33 - 01701376 _____ (Farbar) C:\Users\*****\Downloads\FRST.exe
2015-10-29 08:32 - 2015-10-29 11:40 - 00000474 _____ C:\Users\*****\Downloads\defogger_disable.log
2015-10-29 08:32 - 2015-10-29 08:32 - 00000000 _____ C:\Users\Conny\defogger_reenable
2015-10-29 08:31 - 2015-10-29 08:31 - 00050477 _____ C:\Users\*****\Downloads\Defogger.exe
2015-10-28 16:28 - 2015-10-28 16:28 - 00005784 _____ C:\Windows\PFRO.log
2015-10-10 18:59 - 2015-10-10 18:59 - 00000000 ____D C:\Users\*****\AppData\Roaming\dll-files.com
2015-10-10 18:58 - 2015-10-29 06:42 - 00008064 _____ C:\Windows\setupact.log
2015-10-10 18:58 - 2015-10-10 18:58 - 00000000 _____ C:\Windows\setuperr.log
2015-10-10 18:49 - 2015-10-10 18:49 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-10-10 18:49 - 2015-10-10 18:49 - 00000000 ____D C:\Program Files\CCleaner
2015-10-10 18:48 - 2015-10-10 18:48 - 06677440 _____ (Piriform Ltd) C:\Users\Conny\Downloads\ccsetup510.exe
2015-10-10 16:25 - 2015-10-10 16:25 - 00000000 ____D C:\Users\*****\AppData\LocalLow\Temp
2015-10-08 19:54 - 2015-10-03 03:19 - 00102520 _____ (NVIDIA Corporation) C:\Windows\system32\nvStreaming.exe
2015-10-08 19:51 - 2015-10-03 05:58 - 37882672 _____ C:\Windows\system32\nvcompiler.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 18359928 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv32.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 13518496 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 12032392 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 09368696 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys
2015-10-08 19:51 - 2015-10-03 05:58 - 02489976 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 01053304 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco3235850.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00921448 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdagenco3220103.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00916784 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco3235850.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00689272 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00673912 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00422056 _____ (NVIDIA Corporation) C:\Windows\system32\nvEncodeAPI.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00388024 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshim.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00369272 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFROpenGL.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00171352 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvhda32v.sys
2015-10-08 19:51 - 2015-10-03 05:58 - 00155792 _____ (NVIDIA Corporation) C:\Windows\system32\nvinit.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00128512 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim32.dll
2015-10-08 19:51 - 2015-10-03 05:58 - 00037208 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdap32.dll
2015-10-08 19:42 - 2015-10-08 19:42 - 00097888 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2015-10-08 19:42 - 2015-10-08 19:42 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-10-08 19:42 - 2015-10-08 19:42 - 00000000 ____D C:\Program Files\Java
2015-10-08 19:42 - 2015-10-08 19:42 - 00000000 ____D C:\Program Files\Common Files\Java
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\*****\AppData\Roaming\Sun
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\*****\AppData\LocalLow\Sun
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\*****\.oracle_jre_usage
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\Conny\AppData\Roaming\Sun
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\Conny\AppData\LocalLow\Sun
2015-10-08 19:40 - 2015-10-08 19:40 - 00000000 ____D C:\Users\Conny\.oracle_jre_usage
2015-10-08 19:39 - 2015-10-08 19:42 - 00000000 ____D C:\ProgramData\Oracle
2015-10-08 19:38 - 2015-10-08 19:38 - 00000000 ____D C:\Users\Conny\AppData\LocalLow\Oracle
2015-10-08 19:23 - 2015-10-08 19:23 - 00000017 _____ C:\Users\*****\AppData\Local\resmon.resmoncfg
2015-10-03 15:49 - 2015-10-29 06:42 - 00000000 ____D C:\Users\*****\AppData\Local\FreePDF_XP
2015-10-03 15:45 - 2015-10-03 15:45 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghostscript
2015-10-03 15:45 - 2015-10-03 15:45 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreePDF
2015-10-03 15:45 - 2015-10-03 15:45 - 00000000 ____D C:\ProgramData\FreePDF
2015-10-03 15:45 - 2015-10-03 15:45 - 00000000 ____D C:\Program Files\gs
2015-10-03 15:45 - 2015-10-03 15:45 - 00000000 ____D C:\Program Files\FreePDF_XP
2015-10-03 15:45 - 2012-06-21 06:25 - 00094208 _____ C:\Windows\system32\redmon32.dll
2015-10-03 15:45 - 2012-06-21 06:25 - 00039936 _____ C:\Windows\system32\unredmon.exe
2015-10-03 15:45 - 2012-06-21 06:25 - 00028435 _____ C:\Windows\system32\redmon.chm
2015-09-29 12:26 - 2015-09-29 12:26 - 00000000 ____D C:\Users\*****\AppData\Local\NVIDIA
2015-09-29 06:13 - 2015-09-29 06:13 - 00000000 ____D C:\Users\Conny\AppData\Local\NVIDIA Corporation
2015-09-29 06:13 - 2010-05-26 10:41 - 01998168 _____ (Microsoft Corporation) C:\Windows\system32\D3DX9_43.dll
2015-09-29 06:13 - 2010-05-26 10:41 - 00470880 _____ (Microsoft Corporation) C:\Windows\system32\d3dx10_43.dll
2015-09-29 06:13 - 2010-05-26 10:41 - 00248672 _____ (Microsoft Corporation) C:\Windows\system32\d3dx11_43.dll
2015-09-29 06:12 - 2015-10-03 05:58 - 01423120 _____ (NVIDIA Corporation) C:\Windows\system32\nvspcap.dll
2015-09-29 06:12 - 2015-10-03 05:58 - 01316000 _____ (NVIDIA Corporation) C:\Windows\system32\nvspbridge.dll
2015-09-29 06:12 - 2015-08-11 05:55 - 00044840 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad32v.sys
2015-09-29 06:11 - 2015-09-29 06:13 - 00000000 ____D C:\Users\Conny\AppData\Local\NVIDIA
2015-09-29 06:01 - 2015-09-29 06:01 - 00000000 ____D C:\Users\Conny\AppData\Roaming\Adobe
2015-09-29 04:52 - 2015-10-10 18:50 - 00000000 ____D C:\Windows\Minidump

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-29 11:42 - 2015-09-12 23:23 - 00000000 ____D C:\Program Files\Emsisoft Anti-Malware
2015-10-29 11:26 - 2015-09-12 19:15 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-10-29 08:37 - 2009-07-14 05:34 - 00014960 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-10-29 08:37 - 2009-07-14 05:34 - 00014960 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-10-29 08:32 - 2015-09-12 18:10 - 00000000 ____D C:\Users\Conny
2015-10-29 06:53 - 2015-09-12 18:00 - 01941124 _____ C:\Windows\WindowsUpdate.log
2015-10-29 06:48 - 2015-09-12 18:13 - 01648476 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-29 06:42 - 2015-09-12 19:15 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-10-29 06:42 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-10-29 06:41 - 2015-09-12 18:32 - 00000000 ____D C:\ProgramData\NVIDIA
2015-10-28 16:28 - 2009-07-14 05:53 - 00032630 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2015-10-28 06:13 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2015-10-28 05:57 - 2015-09-12 23:43 - 00000000 ____D C:\Program Files\Microsoft Office 15
2015-10-10 18:54 - 2015-09-13 00:04 - 00000000 ____D C:\Users\*****
2015-10-10 18:50 - 2015-09-12 18:56 - 00000000 ____D C:\Windows\Panther
2015-10-10 18:38 - 2013-12-06 10:58 - 00001003 _____ C:\Windows\system32\README.txt
2015-10-08 19:54 - 2015-09-12 18:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
2015-10-08 19:54 - 2015-09-12 18:19 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2015-10-08 12:37 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\LogFiles
2015-10-03 05:58 - 2015-09-12 18:31 - 00105080 _____ (Khronos Group) C:\Windows\system32\OpenCL.dll
2015-10-03 05:58 - 2015-09-12 18:31 - 00028754 _____ C:\Windows\system32\nvinfo.pb
2015-10-03 05:58 - 2015-09-12 18:21 - 15002304 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2um.dll
2015-10-03 05:58 - 2015-09-12 18:21 - 12769216 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dum.dll
2015-10-03 05:58 - 2015-09-12 18:21 - 03154104 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi.dll
2015-10-03 03:22 - 2015-09-12 18:32 - 03937072 _____ (NVIDIA Corporation) C:\Windows\system32\nvcpl.dll
2015-10-03 03:22 - 2015-09-12 18:32 - 02580088 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvc.dll
2015-10-03 03:22 - 2015-09-12 18:32 - 02554488 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvcr.dll
2015-10-03 03:22 - 2015-09-12 18:32 - 00671536 _____ (NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
2015-10-03 03:22 - 2015-09-12 18:32 - 00374904 _____ (NVIDIA Corporation) C:\Windows\system32\nvmctray.dll
2015-10-03 03:22 - 2015-09-12 18:32 - 00061744 _____ (NVIDIA Corporation) C:\Windows\system32\nvshext.dll
2015-10-01 10:18 - 2015-09-12 18:32 - 05284082 _____ C:\Windows\system32\nvcoproc.bin
2015-09-29 06:13 - 2015-09-12 18:31 - 00000000 ____D C:\ProgramData\NVIDIA Corporation

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-09-13 00:29 - 2015-09-13 00:29 - 0000057 _____ () C:\ProgramData\Ament.ini

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-10-21 06:00

==================== Ende vom FRST.txt ============================
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:28-10-2015
durchgeführt von ***** (2015-10-29 08:34:45)
Gestartet von C:\Users\*****\Downloads
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2015-09-12 17:10:32)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3470161990-1196781242-1290971338-500 - Administrator - Disabled)
Conny (S-1-5-21-3470161990-1196781242-1290971338-1000 - Administrator - Enabled) => C:\Users\Conny
Gast (S-1-5-21-3470161990-1196781242-1290971338-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3470161990-1196781242-1290971338-1003 - Limited - Enabled)
***** (S-1-5-21-3470161990-1196781242-1290971338-1004 - Limited - Enabled) => C:\Users\*****

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Emsisoft Anti-Malware (Enabled - Up to date) {2F44E1F9-850B-1C7A-0E56-EB2E0A3E20C9}
AS: Emsisoft Anti-Malware (Enabled - Up to date) {9425001D-A331-13F4-34E6-D05C71B96A74}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.008.20082 - Adobe Systems Incorporated)
Belkin Netzwerk USB-Hub Kontrollzentrum (HKLM\...\Belkin Network USB Hub Control Center) (Version: 1.4.0 - Belkin International, Inc.)
CCleaner (HKLM\...\CCleaner) (Version: 5.10 - Piriform)
Easy2Sync für Dateien 7.03.00 (HKLM\...\{EF327022-B623-4B6A-C41D-411720425583}_is1) (Version: 7.03.00 - ITSTH)
Emsisoft Anti-Malware (HKLM\...\{5502032C-88C1-4303-99FE-B5CBD7684CEA}_is1) (Version: 10.0 - Emsisoft Ltd.)
FreePDF (Remove only) (HKLM\...\FreePDF_XP) (Version:  - )
Google Chrome (HKLM\...\Google Chrome) (Version: 46.0.2490.80 - Google Inc.)
Google Update Helper (Version: 1.3.28.15 - Google Inc.) Hidden
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.07) (Version: 9.07 - Artifex Software Inc.)
HP Officejet Pro 8600 - Grundlegende Software für das Gerät (HKLM\...\{E5F9BFAF-2FD9-4637-BA4E-5C2BC3A0763D}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
HP Officejet Pro 8600 Hilfe (HKLM\...\{FDE820DD-CC88-4395-AD5C-801365B8F316}) (Version: 28.0.0 - Hewlett Packard)
HP Update (HKLM\...\{97486FBE-A3FC-4783-8D55-EA37E9D171CC}) (Version: 5.005.000.001 - Hewlett-Packard)
I.R.I.S. OCR (HKLM\...\{CA6BCA2F-EDEB-408F-850B-31404BE16A61}) (Version: 12.3.4.0 - HP)
Java 8 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Extended DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 365 - de-de (HKLM\...\O365HomePremRetail - de-de) (Version: 15.0.4763.1003 - Microsoft Corporation)
NVIDIA 3D Vision Controller-Treiber 352.65 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 352.65 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 358.50 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 358.50 - NVIDIA Corporation)
NVIDIA GeForce Experience 2.5.14.5 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.5.14.5 - NVIDIA Corporation)
NVIDIA Grafiktreiber 358.50 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 358.50 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.34.3 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.34.3 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.15.0428 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.15.0428 - NVIDIA Corporation)
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
SHIELD Streaming (Version: 4.1.3000 - NVIDIA Corporation) Hidden
SHIELD Wireless Controller Driver (Version: 2.5.14.5 - NVIDIA Corporation) Hidden

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job =>
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job =>

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-09-29 06:12 - 2015-10-03 05:58 - 00011896 _____ () C:\Program Files\NVIDIA Corporation\Update Core\detoured.dll
2015-10-28 07:04 - 2015-10-20 15:08 - 01532744 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\libglesv2.dll
2015-10-28 07:04 - 2015-10-20 15:08 - 00081224 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\libegl.dll
2015-10-28 07:04 - 2015-10-20 15:08 - 16493384 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\PepperFlash\pepflashplayer.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Control Panel\Desktop\\Wallpaper -> C:\Users\*****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.3.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

MSCONFIG\Services: GfExperienceService => 2
MSCONFIG\Services: NvNetworkService => 2
MSCONFIG\Services: NvStreamSvc => 2
MSCONFIG\Services: Stereo Service => 2
MSCONFIG\startupreg: NvBackend => "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
MSCONFIG\startupreg: ShadowPlay => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap.dll,ShadowPlayOnSystemStart

==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{D7349D6F-C62B-4371-866A-795E479A49D7}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{726607FB-0BFA-4D69-A28C-9B81D8682767}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\outlook.exe
FirewallRules: [{60B46A1D-D736-46DC-B6F5-AAFAEB87F8FB}] => (Allow) C:\Users\Conny\AppData\Local\Microsoft\OneDrive\OneDrive.exe
FirewallRules: [{73B2AFB7-4C58-413C-B8E8-A70B6D81E787}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\FaxApplications.exe
FirewallRules: [{1060F448-F5B2-475E-A255-B9435791E4B4}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\DigitalWizards.exe
FirewallRules: [{AB329FCE-791A-470F-A48A-7B9C954314EF}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\SendAFax.exe
FirewallRules: [{C5AF1D91-B91C-4A7D-9A07-D30F0934CA2C}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\DeviceSetup.exe
FirewallRules: [{A44D39C1-9982-4187-AC42-FC4578877349}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe
FirewallRules: [{E58E1094-EF8C-4F34-BD26-7BC06E4DD51B}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\HPNetworkCommunicatorCom.exe
FirewallRules: [{627207C9-B8D2-4A6F-9AE1-78214C6A26DD}] => (Allow) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
FirewallRules: [{DA393966-1502-4E96-8E10-37C5F6769763}] => (Allow) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
FirewallRules: [{C1731172-AD8E-46C3-99C4-686A59FFF0EE}] => (Allow) LPort=19540
FirewallRules: [TCP Query User{F627FCD6-289F-40A7-A629-A5F0C45BEED2}C:\program files\belkin\network usb hub control center\connect.exe] => (Block) C:\program files\belkin\network usb hub control center\connect.exe
FirewallRules: [UDP Query User{A2D6A6C1-DD6A-4D43-BC23-0C4F7178017B}C:\program files\belkin\network usb hub control center\connect.exe] => (Block) C:\program files\belkin\network usb hub control center\connect.exe
FirewallRules: [{12B00C31-2078-4527-B65A-5069CF18BD20}] => (Allow) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe
FirewallRules: [{686ED6AA-3F46-4DCE-A37F-2DE951C0BDD2}] => (Allow) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe
FirewallRules: [{FEACB06C-2FD3-497E-BDFD-193F7E288557}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
FirewallRules: [{CF3D3950-88CB-467A-B09E-DD3C3640F078}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
FirewallRules: [{DB329E2D-A3C1-40CA-81D8-3952ED92B137}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe
FirewallRules: [{3C35D373-D20A-42DD-82AC-559A2537CC84}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe
FirewallRules: [{7DD6743A-D6E7-489D-AA85-B035D8D59AD9}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe
FirewallRules: [{98FE0F37-C9E2-4497-8F11-8C8AA211D6D9}] => (Allow) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{09293B82-4768-47F2-B87A-E11A097906BC}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Microsoft PS/2-Maus
Description: Microsoft PS/2-Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/29/2015 07:59:21 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (10/29/2015 06:54:32 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/28/2015 06:24:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (10/28/2015 05:49:50 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/27/2015 06:15:40 PM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/27/2015 11:02:30 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/27/2015 06:18:16 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/26/2015 05:11:11 PM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/26/2015 11:43:48 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

Error: (10/26/2015 05:47:56 AM) (Source: MsiInstaller) (EventID: 1024) (User: *****-PC)
Description: Produkt: Adobe Acrobat Reader DC - Deutsch - Update "{AC76BA86-7AD7-0000-2550-AC0F094E6500}" konnte nicht installiert werden. Fehlercode 1625. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127


Systemfehler:
=============
Error: (10/29/2015 06:43:11 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/28/2015 04:29:58 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/28/2015 07:20:50 AM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (10/28/2015 07:20:50 AM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (10/28/2015 05:38:30 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/27/2015 06:12:39 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (10/27/2015 11:13:18 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR5 gefunden.

Error: (10/27/2015 11:13:17 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR5 gefunden.

Error: (10/27/2015 11:13:17 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR5 gefunden.

Error: (10/27/2015 11:13:16 AM) (Source: Disk) (EventID: 11) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR5 gefunden.


==================== Memory info ===========================

Processor: Intel(R) Core(TM) i3 CPU 550 @ 3.20GHz
Prozentuale Nutzung des RAM: 67%
Installierter physikalischer RAM: 3063.11 MB
Verfügbarer physikalischer RAM: 1007.21 MB
Summe virtueller Speicher: 6124.53 MB
Verfügbarer virtueller Speicher: 3172.84 MB

==================== Laufwerke ================================

Drive c: (Packard Bell) (Fixed) (Total:457.45 GB) (Free:401.74 GB) NTFS
Drive d: (DATA) (Fixed) (Total:457.96 GB) (Free:437 GB) NTFS

==================== MBR & Partitionstabelle ==================

==================== Ende vom Addition.txt ============================

KokomikoM 01.11.2015 11:00
Gmer
 
Code:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-10-29 08:58:12
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD10EARS-22Y5B1 rev.80.00A80 931,51GB
Running: Gmer-19357.exe; Driver: C:\Users\Conny\AppData\Local\Temp\pwriypod.sys


---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwReplaceKey + 1525                                                                                      82C47B55 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                82C81BB2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- User code sections - GMER 2.1 ----

.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtCreateFile                                                          777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtCreateFile + 4                                                      777156B4 2 Bytes  [89, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtDeleteValueKey                                                      77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtDeleteValueKey + 4                                                  77715934 2 Bytes  [8C, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtOpenFile                                                            77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtOpenFile + 4                                                        77715DC4 2 Bytes  [86, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtOpenProcess                                                          77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtOpenProcess + 4                                                      77715E74 2 Bytes  [80, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetContextThread                                                    77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetContextThread + 4                                                77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetInformationFile                                                  77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetInformationFile + 4                                              77716724 2 Bytes  [83, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetValueKey                                                          777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSetValueKey + 4                                                      777168F4 2 Bytes  [8F, 71]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSuspendThread                                                        77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtSuspendThread + 4                                                    77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtTerminateThread                                                      777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] ntdll.dll!NtTerminateThread + 4                                                  777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Windows\system32\taskeng.exe[1296] kernel32.dll!TerminateProcess                                                    75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Windows\system32\taskeng.exe[1296] kernel32.dll!CreateProcessInternalW                                              75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] kernel32.dll!CreateProcessInternalW + 4                                          75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!SendMessageA                                                          7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!PostMessageA                                                          7760B446 6 Bytes  JMP 719C000A
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!PostMessageW                                                          7761447B 6 Bytes  JMP 7199000A
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!SendMessageW                                                          77615539 6 Bytes  JMP 719F000A
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!mouse_event                                                          77626209 6 Bytes  JMP 71AB000A
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!SendInput                                                            77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!SendInput + 4                                                        7763701D 2 Bytes  [A4, 71]
.text  C:\Windows\system32\taskeng.exe[1296] USER32.dll!keybd_event                                                          7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Windows\system32\taskeng.exe[1296] ADVAPI32.dll!CreateServiceW                                                      762B70C4 6 Bytes  JMP 7193000A
.text  C:\Windows\system32\taskeng.exe[1296] ADVAPI32.dll!CreateServiceA                                                      762D3264 6 Bytes  JMP 7196000A
.text  C:\Program Files\Emsisoft Anti-Malware\a2service.exe[1368] ntdll.dll!RtlFreeActivationContextStack + 44                776FF5F6 7 Bytes  JMP 0961B734 C:\Program Files\Emsisoft Anti-Malware\a2update.dll
.text  C:\Program Files\Emsisoft Anti-Malware\a2service.exe[1368] kernel32.dll!GetSystemInfo + B                              75BEDDBD 7 Bytes  JMP 0961B520 C:\Program Files\Emsisoft Anti-Malware\a2update.dll
.text  C:\Program Files\Emsisoft Anti-Malware\a2service.exe[1368] kernel32.dll!GetSystemTime + B                              75BEEB5C 7 Bytes  JMP 095BB3CC C:\Program Files\Emsisoft Anti-Malware\a2update.dll
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtCreateFile                                                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtCreateFile + 4                                              777156B4 2 Bytes  [89, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtDeleteValueKey                                              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtDeleteValueKey + 4                                          77715934 2 Bytes  [8C, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtOpenFile                                                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtOpenFile + 4                                                77715DC4 2 Bytes  [86, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtOpenProcess                                                77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtOpenProcess + 4                                            77715E74 2 Bytes  [80, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetContextThread                                            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetContextThread + 4                                        77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetInformationFile                                          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetInformationFile + 4                                      77716724 2 Bytes  [83, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetValueKey                                                777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSetValueKey + 4                                            777168F4 2 Bytes  [8F, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSuspendThread                                              77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtSuspendThread + 4                                          77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtTerminateThread                                            777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ntdll.dll!NtTerminateThread + 4                                        777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] kernel32.dll!TerminateProcess                                          75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] kernel32.dll!CreateProcessInternalW                                    75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] kernel32.dll!CreateProcessInternalW + 4                                75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!SendMessageA                                                7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!PostMessageA                                                7760B446 6 Bytes  JMP 719C000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!PostMessageW                                                7761447B 6 Bytes  JMP 7199000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!SendMessageW                                                77615539 6 Bytes  JMP 719F000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!mouse_event                                                  77626209 6 Bytes  JMP 71AB000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!SendInput                                                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!SendInput + 4                                                7763701D 2 Bytes  [A4, 71]
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] USER32.dll!keybd_event                                                  7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ADVAPI32.dll!CreateServiceW                                            762B70C4 6 Bytes  JMP 7193000A
.text  C:\Users\Meggle\Downloads\Gmer-19357.exe[2164] ADVAPI32.dll!CreateServiceA                                            762D3264 6 Bytes  JMP 7196000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtCreateFile                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtCreateFile + 4              777156B4 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtDeleteValueKey              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtDeleteValueKey + 4          77715934 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtOpenFile                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtOpenFile + 4                77715DC4 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtOpenProcess                  77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtOpenProcess + 4              77715E74 2 Bytes  [6B, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetContextThread            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetContextThread + 4        77716654 2 Bytes  [68, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetInformationFile          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetInformationFile + 4      77716724 2 Bytes  [6E, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetValueKey                  777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSetValueKey + 4              777168F4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSuspendThread                77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtSuspendThread + 4            77716984 2 Bytes  [62, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtTerminateThread              777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ntdll.dll!NtTerminateThread + 4          777169C4 2 Bytes  [65, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] kernel32.dll!TerminateProcess            75BE2D15 6 Bytes  JMP 715D000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] kernel32.dll!CreateProcessInternalW      75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] kernel32.dll!CreateProcessInternalW + 4  75BF08A6 2 Bytes  [5F, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] WS2_32.dll!WSALookupServiceBeginW        75B4575A 6 Bytes  JMP 7199000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] WS2_32.dll!connect                      75B46BDD 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] WS2_32.dll!listen                        75B4B001 6 Bytes  JMP 719C000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] WS2_32.dll!WSAConnect                    75B4CC3F 6 Bytes  JMP 719F000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!SendMessageA                  7760AD60 6 Bytes  JMP 718D000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!PostMessageA                  7760B446 6 Bytes  JMP 7187000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!PostMessageW                  7761447B 6 Bytes  JMP 7184000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!SendMessageW                  77615539 6 Bytes  JMP 718A000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!mouse_event                  77626209 6 Bytes  JMP 7196000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!SendInput                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!SendInput + 4                7763701D 2 Bytes  [8F, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] USER32.dll!keybd_event                  7765EC3B 6 Bytes  JMP 7193000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ADVAPI32.dll!CreateServiceW              762B70C4 6 Bytes  JMP 717E000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe[2228] ADVAPI32.dll!CreateServiceA              762D3264 6 Bytes  JMP 7181000A
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtCreateFile                                                          777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtCreateFile + 4                                                      777156B4 2 Bytes  [89, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtDeleteValueKey                                                      77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtDeleteValueKey + 4                                                  77715934 2 Bytes  [8C, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtOpenFile                                                            77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtOpenFile + 4                                                        77715DC4 2 Bytes  [86, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtOpenProcess                                                        77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtOpenProcess + 4                                                    77715E74 2 Bytes  [80, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetContextThread                                                    77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetContextThread + 4                                                77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetInformationFile                                                  77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetInformationFile + 4                                              77716724 2 Bytes  [83, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetValueKey                                                        777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSetValueKey + 4                                                    777168F4 2 Bytes  [8F, 71]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSuspendThread                                                      77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtSuspendThread + 4                                                  77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtTerminateThread                                                    777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] ntdll.dll!NtTerminateThread + 4                                                777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Windows\system32\taskhost.exe[2288] kernel32.dll!TerminateProcess                                                  75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Windows\system32\taskhost.exe[2288] kernel32.dll!CreateProcessInternalW                                            75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] kernel32.dll!CreateProcessInternalW + 4                                        75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!SendMessageA                                                        7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!PostMessageA                                                        7760B446 6 Bytes  JMP 719C000A
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!PostMessageW                                                        7761447B 6 Bytes  JMP 7199000A
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!SendMessageW                                                        77615539 6 Bytes  JMP 719F000A
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!mouse_event                                                          77626209 6 Bytes  JMP 71AB000A
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!SendInput                                                            77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!SendInput + 4                                                        7763701D 2 Bytes  [A4, 71]
.text  C:\Windows\system32\taskhost.exe[2288] USER32.dll!keybd_event                                                          7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Windows\system32\taskhost.exe[2288] ADVAPI32.dll!CreateServiceW                                                    762B70C4 6 Bytes  JMP 7193000A
.text  C:\Windows\system32\taskhost.exe[2288] ADVAPI32.dll!CreateServiceA                                                    762D3264 6 Bytes  JMP 7196000A
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtCreateFile                                                              777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtCreateFile + 4                                                          777156B4 2 Bytes  [89, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtDeleteValueKey                                                          77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtDeleteValueKey + 4                                                      77715934 2 Bytes  [8C, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtOpenFile                                                                77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtOpenFile + 4                                                            77715DC4 2 Bytes  [86, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtOpenProcess                                                              77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtOpenProcess + 4                                                          77715E74 2 Bytes  [80, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetContextThread                                                        77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetContextThread + 4                                                    77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetInformationFile                                                      77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetInformationFile + 4                                                  77716724 2 Bytes  [83, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetValueKey                                                              777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSetValueKey + 4                                                          777168F4 2 Bytes  [8F, 71]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSuspendThread                                                            77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtSuspendThread + 4                                                        77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtTerminateThread                                                          777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] ntdll.dll!NtTerminateThread + 4                                                      777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Windows\system32\Dwm.exe[2372] kernel32.dll!TerminateProcess                                                        75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Windows\system32\Dwm.exe[2372] kernel32.dll!CreateProcessInternalW                                                  75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] kernel32.dll!CreateProcessInternalW + 4                                              75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!SendMessageA                                                              7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!PostMessageA                                                              7760B446 6 Bytes  JMP 719C000A
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!PostMessageW                                                              7761447B 6 Bytes  JMP 7199000A
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!SendMessageW                                                              77615539 6 Bytes  JMP 719F000A
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!mouse_event                                                              77626209 6 Bytes  JMP 71AB000A
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!SendInput                                                                77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!SendInput + 4                                                            7763701D 2 Bytes  [A4, 71]
.text  C:\Windows\system32\Dwm.exe[2372] USER32.dll!keybd_event                                                              7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Windows\system32\Dwm.exe[2372] ADVAPI32.dll!CreateServiceW                                                          762B70C4 6 Bytes  JMP 7193000A
.text  C:\Windows\system32\Dwm.exe[2372] ADVAPI32.dll!CreateServiceA                                                          762D3264 6 Bytes  JMP 7196000A
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtCreateFile                                                          777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtCreateFile + 4                                                      777156B4 2 Bytes  [83, 71]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtDeleteValueKey                                                      77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtDeleteValueKey + 4                                                  77715934 2 Bytes  [86, 71]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtOpenFile                                                            77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtOpenFile + 4                                                        77715DC4 2 Bytes  [80, 71]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtOpenProcess                                                        77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtOpenProcess + 4                                                    77715E74 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetContextThread                                                    77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetContextThread + 4                                                77716654 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetInformationFile                                                  77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetInformationFile + 4                                              77716724 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetValueKey                                                        777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSetValueKey + 4                                                    777168F4 2 Bytes  [89, 71]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSuspendThread                                                      77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtSuspendThread + 4                                                  77716984 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtTerminateThread                                                    777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] ntdll.dll!NtTerminateThread + 4                                                777169C4 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Windows\System32\rundll32.exe[2396] kernel32.dll!TerminateProcess                                                  75BE2D15 6 Bytes  JMP 716C000A
.text  C:\Windows\System32\rundll32.exe[2396] kernel32.dll!CreateProcessInternalW                                            75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] kernel32.dll!CreateProcessInternalW + 4                                        75BF08A6 2 Bytes  [6E, 71]
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!SendMessageA                                                        7760AD60 6 Bytes  JMP 719C000A
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!PostMessageA                                                        7760B446 6 Bytes  JMP 7196000A
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!PostMessageW                                                        7761447B 6 Bytes  JMP 7193000A
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!SendMessageW                                                        77615539 6 Bytes  JMP 7199000A
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!mouse_event                                                          77626209 6 Bytes  JMP 71A5000A
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!SendInput                                                            77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!SendInput + 4                                                        7763701D 2 Bytes  [9E, 71]
.text  C:\Windows\System32\rundll32.exe[2396] USER32.dll!keybd_event                                                          7765EC3B 6 Bytes  JMP 71A2000A
.text  C:\Windows\System32\rundll32.exe[2396] ADVAPI32.dll!CreateServiceW                                                    762B70C4 6 Bytes  JMP 718D000A
.text  C:\Windows\System32\rundll32.exe[2396] ADVAPI32.dll!CreateServiceA                                                    762D3264 6 Bytes  JMP 7190000A
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtCreateFile                                                                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtCreateFile + 4                                                              777156B4 2 Bytes  [89, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtDeleteValueKey                                                              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtDeleteValueKey + 4                                                          77715934 2 Bytes  [8C, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtOpenFile                                                                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtOpenFile + 4                                                                77715DC4 2 Bytes  [86, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtOpenProcess                                                                  77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtOpenProcess + 4                                                              77715E74 2 Bytes  [80, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetContextThread                                                            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetContextThread + 4                                                        77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetInformationFile                                                          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetInformationFile + 4                                                      77716724 2 Bytes  [83, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetValueKey                                                                  777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSetValueKey + 4                                                              777168F4 2 Bytes  [8F, 71]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSuspendThread                                                                77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtSuspendThread + 4                                                            77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtTerminateThread                                                              777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] ntdll.dll!NtTerminateThread + 4                                                          777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Windows\Explorer.EXE[2568] kernel32.dll!TerminateProcess                                                            75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Windows\Explorer.EXE[2568] kernel32.dll!CreateProcessInternalW                                                      75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] kernel32.dll!CreateProcessInternalW + 4                                                  75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Windows\Explorer.EXE[2568] ADVAPI32.dll!CreateServiceW                                                              762B70C4 6 Bytes  JMP 7193000A
.text  C:\Windows\Explorer.EXE[2568] ADVAPI32.dll!CreateServiceA                                                              762D3264 6 Bytes  JMP 7196000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!SendMessageA                                                                  7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!PostMessageA                                                                  7760B446 6 Bytes  JMP 719C000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!PostMessageW                                                                  7761447B 6 Bytes  JMP 7199000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!SendMessageW                                                                  77615539 6 Bytes  JMP 719F000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!mouse_event                                                                  77626209 6 Bytes  JMP 71AB000A
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!SendInput                                                                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!SendInput + 4                                                                7763701D 2 Bytes  [A4, 71]
.text  C:\Windows\Explorer.EXE[2568] USER32.dll!keybd_event                                                                  7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Windows\Explorer.EXE[2568] WS2_32.dll!WSALookupServiceBeginW                                                        75B4575A 6 Bytes  JMP 7157000A
.text  C:\Windows\Explorer.EXE[2568] WS2_32.dll!connect                                                                      75B46BDD 6 Bytes  JMP 7160000A
.text  C:\Windows\Explorer.EXE[2568] WS2_32.dll!listen                                                                        75B4B001 6 Bytes  JMP 715A000A
.text  C:\Windows\Explorer.EXE[2568] WS2_32.dll!WSAConnect                                                                    75B4CC3F 6 Bytes  JMP 715D000A
.text  C:\Program Files\Emsisoft Anti-Malware\a2guard.exe[2980] ntdll.dll!RtlFreeActivationContextStack + 44                  776FF5F6 7 Bytes  JMP 03C10890 C:\Program Files\Emsisoft Anti-Malware\a2framework.dll
.text  C:\Program Files\Emsisoft Anti-Malware\a2guard.exe[2980] kernel32.dll!GetSystemInfo + B                                75BEDDBD 7 Bytes  JMP 03C1067C C:\Program Files\Emsisoft Anti-Malware\a2framework.dll
.text  C:\Program Files\Emsisoft Anti-Malware\a2guard.exe[2980] kernel32.dll!GetSystemTime + B                                75BEEB5C 7 Bytes  JMP 03BABEF8 C:\Program Files\Emsisoft Anti-Malware\a2framework.dll
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtCreateFile                                      777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtCreateFile + 4                                  777156B4 2 Bytes  [89, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtDeleteValueKey                                  77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtDeleteValueKey + 4                              77715934 2 Bytes  [8C, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtOpenFile                                        77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtOpenFile + 4                                    77715DC4 2 Bytes  [86, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtOpenProcess                                    77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtOpenProcess + 4                                77715E74 2 Bytes  [80, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetContextThread                                77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetContextThread + 4                            77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetInformationFile                              77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetInformationFile + 4                          77716724 2 Bytes  [83, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetValueKey                                    777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSetValueKey + 4                                777168F4 2 Bytes  [8F, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSuspendThread                                  77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtSuspendThread + 4                              77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtTerminateThread                                777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ntdll.dll!NtTerminateThread + 4                            777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] kernel32.dll!TerminateProcess                              75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] kernel32.dll!CreateProcessInternalW                        75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] kernel32.dll!CreateProcessInternalW + 4                    75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!SendMessageA                                    7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!PostMessageA                                    7760B446 6 Bytes  JMP 719C000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!PostMessageW                                    7761447B 6 Bytes  JMP 7199000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!SendMessageW                                    77615539 6 Bytes  JMP 719F000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!mouse_event                                      77626209 6 Bytes  JMP 71AB000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!SendInput                                        77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!SendInput + 4                                    7763701D 2 Bytes  [A4, 71]
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] USER32.dll!keybd_event                                      7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ADVAPI32.dll!CreateServiceW                                762B70C4 6 Bytes  JMP 7193000A
.text  C:\Program Files\Hp\HP Software Update\hpwuschd2.exe[2992] ADVAPI32.dll!CreateServiceA                                762D3264 6 Bytes  JMP 7196000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtCreateFile                                                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtCreateFile + 4                                              777156B4 2 Bytes  [89, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtDeleteValueKey                                              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtDeleteValueKey + 4                                          77715934 2 Bytes  [8C, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtOpenFile                                                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtOpenFile + 4                                                77715DC4 2 Bytes  [86, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtOpenProcess                                                77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtOpenProcess + 4                                            77715E74 2 Bytes  [80, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetContextThread                                            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetContextThread + 4                                        77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetInformationFile                                          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetInformationFile + 4                                      77716724 2 Bytes  [83, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetValueKey                                                777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSetValueKey + 4                                            777168F4 2 Bytes  [8F, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSuspendThread                                              77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtSuspendThread + 4                                          77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtTerminateThread                                            777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ntdll.dll!NtTerminateThread + 4                                        777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] kernel32.dll!TerminateProcess                                          75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] kernel32.dll!CreateProcessInternalW                                    75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] kernel32.dll!CreateProcessInternalW + 4                                75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!SendMessageA                                                7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!PostMessageA                                                7760B446 6 Bytes  JMP 719C000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!PostMessageW                                                7761447B 6 Bytes  JMP 7199000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!SendMessageW                                                77615539 6 Bytes  JMP 719F000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!mouse_event                                                  77626209 6 Bytes  JMP 71AB000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!SendInput                                                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!SendInput + 4                                                7763701D 2 Bytes  [A4, 71]
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] USER32.dll!keybd_event                                                  7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ADVAPI32.dll!CreateServiceW                                            762B70C4 6 Bytes  JMP 7193000A
.text  C:\Program Files\FreePDF_XP\fpassist.exe[3016] ADVAPI32.dll!CreateServiceA                                            762D3264 6 Bytes  JMP 7196000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtCreateFile                                777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtCreateFile + 4                            777156B4 2 Bytes  [80, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtDeleteValueKey                            77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtDeleteValueKey + 4                        77715934 2 Bytes  [83, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtOpenFile                                  77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtOpenFile + 4                              77715DC4 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtOpenProcess                              77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtOpenProcess + 4                          77715E74 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetContextThread                          77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetContextThread + 4                      77716654 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetInformationFile                        77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetInformationFile + 4                    77716724 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetValueKey                              777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSetValueKey + 4                          777168F4 2 Bytes  [86, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSuspendThread                            77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtSuspendThread + 4                        77716984 2 Bytes  [6E, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtTerminateThread                          777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] ntdll.dll!NtTerminateThread + 4                      777169C4 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] kernel32.dll!TerminateProcess                        75BE2D15 6 Bytes  JMP 7169000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] kernel32.dll!CreateProcessInternalW                  75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] kernel32.dll!CreateProcessInternalW + 4              75BF08A6 2 Bytes  [6B, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!SendMessageA                              7760AD60 6 Bytes  JMP 7199000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!PostMessageA                              7760B446 6 Bytes  JMP 7193000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!PostMessageW                              7761447B 6 Bytes  JMP 7190000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!SendMessageW                              77615539 6 Bytes  JMP 7196000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!mouse_event                                77626209 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!SendInput                                  77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!SendInput + 4                              7763701D 2 Bytes  [9B, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] USER32.dll!keybd_event                                7765EC3B 6 Bytes  JMP 719F000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] advapi32.DLL!CreateServiceW                          762B70C4 6 Bytes  JMP 718A000A
.text  C:\Program Files\Common Files\Java\Java Update\jusched.exe[3040] advapi32.DLL!CreateServiceA                          762D3264 6 Bytes  JMP 718D000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtCreateFile                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtCreateFile + 4              777156B4 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtDeleteValueKey              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtDeleteValueKey + 4          77715934 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtOpenFile                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtOpenFile + 4                77715DC4 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtOpenProcess                  77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtOpenProcess + 4              77715E74 2 Bytes  [6B, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetContextThread            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetContextThread + 4        77716654 2 Bytes  [68, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetInformationFile          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetInformationFile + 4      77716724 2 Bytes  [6E, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetValueKey                  777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSetValueKey + 4              777168F4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSuspendThread                77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtSuspendThread + 4            77716984 2 Bytes  [62, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtTerminateThread              777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ntdll.dll!NtTerminateThread + 4          777169C4 2 Bytes  [65, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] kernel32.dll!TerminateProcess            75BE2D15 6 Bytes  JMP 715D000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] kernel32.dll!CreateProcessInternalW      75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] kernel32.dll!CreateProcessInternalW + 4  75BF08A6 2 Bytes  [5F, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!SendMessageA                  7760AD60 6 Bytes  JMP 718D000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!PostMessageA                  7760B446 6 Bytes  JMP 7187000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!PostMessageW                  7761447B 6 Bytes  JMP 7184000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!SendMessageW                  77615539 6 Bytes  JMP 718A000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!mouse_event                  77626209 6 Bytes  JMP 7196000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!SendInput                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!SendInput + 4                7763701D 2 Bytes  [8F, 71]
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] USER32.dll!keybd_event                  7765EC3B 6 Bytes  JMP 7193000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ADVAPI32.dll!CreateServiceW              762B70C4 6 Bytes  JMP 717E000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] ADVAPI32.dll!CreateServiceA              762D3264 6 Bytes  JMP 7181000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] WS2_32.dll!WSALookupServiceBeginW        75B4575A 6 Bytes  JMP 7199000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] WS2_32.dll!connect                      75B46BDD 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] WS2_32.dll!listen                        75B4B001 6 Bytes  JMP 719C000A
.text  C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe[3084] WS2_32.dll!WSAConnect                    75B4CC3F 6 Bytes  JMP 719F000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtCreateFile                        777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtCreateFile + 4                    777156B4 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtDeleteValueKey                    77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtDeleteValueKey + 4                77715934 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtOpenFile                          77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtOpenFile + 4                      77715DC4 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtOpenProcess                      77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtOpenProcess + 4                  77715E74 2 Bytes  [6B, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetContextThread                  77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetContextThread + 4              77716654 2 Bytes  [68, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetInformationFile                77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetInformationFile + 4            77716724 2 Bytes  [6E, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetValueKey                      777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSetValueKey + 4                  777168F4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSuspendThread                    77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtSuspendThread + 4                77716984 2 Bytes  [62, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtTerminateThread                  777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ntdll.dll!NtTerminateThread + 4              777169C4 2 Bytes  [65, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] kernel32.dll!TerminateProcess                75BE2D15 6 Bytes  JMP 715D000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] kernel32.dll!CreateProcessInternalW          75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] kernel32.dll!CreateProcessInternalW + 4      75BF08A6 2 Bytes  [5F, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!SendMessageA                      7760AD60 6 Bytes  JMP 718D000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!PostMessageA                      7760B446 6 Bytes  JMP 7187000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!PostMessageW                      7761447B 6 Bytes  JMP 7184000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!SendMessageW                      77615539 6 Bytes  JMP 718A000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!mouse_event                        77626209 6 Bytes  JMP 7196000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!SendInput                          77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!SendInput + 4                      7763701D 2 Bytes  [8F, 71]
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] USER32.dll!keybd_event                        7765EC3B 6 Bytes  JMP 7193000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ADVAPI32.dll!CreateServiceW                  762B70C4 6 Bytes  JMP 717E000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] ADVAPI32.dll!CreateServiceA                  762D3264 6 Bytes  JMP 7181000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] WS2_32.dll!WSALookupServiceBeginW            75B4575A 6 Bytes  JMP 7199000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] WS2_32.dll!connect                            75B46BDD 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] WS2_32.dll!listen                            75B4B001 6 Bytes  JMP 719C000A
.text  C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe[3104] WS2_32.dll!WSAConnect                        75B4CC3F 6 Bytes  JMP 719F000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtCreateFile                                                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtCreateFile + 4                                              777156B4 2 Bytes  [89, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtDeleteValueKey                                              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtDeleteValueKey + 4                                          77715934 2 Bytes  [8C, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtOpenFile                                                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtOpenFile + 4                                                77715DC4 2 Bytes  [86, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtOpenProcess                                                77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtOpenProcess + 4                                            77715E74 2 Bytes  [80, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetContextThread                                            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetContextThread + 4                                        77716654 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetInformationFile                                          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetInformationFile + 4                                      77716724 2 Bytes  [83, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetValueKey                                                777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSetValueKey + 4                                            777168F4 2 Bytes  [8F, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSuspendThread                                              77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtSuspendThread + 4                                          77716984 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtTerminateThread                                            777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ntdll.dll!NtTerminateThread + 4                                        777169C4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] kernel32.dll!TerminateProcess                                          75BE2D15 6 Bytes  JMP 7172000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] kernel32.dll!CreateProcessInternalW                                    75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] kernel32.dll!CreateProcessInternalW + 4                                75BF08A6 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!SendMessageA                                                7760AD60 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!PostMessageA                                                7760B446 6 Bytes  JMP 719C000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!PostMessageW                                                7761447B 6 Bytes  JMP 7199000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!SendMessageW                                                77615539 6 Bytes  JMP 719F000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!mouse_event                                                  77626209 6 Bytes  JMP 71AB000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!SendInput                                                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!SendInput + 4                                                7763701D 2 Bytes  [A4, 71]
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] USER32.dll!keybd_event                                                  7765EC3B 6 Bytes  JMP 71A8000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ADVAPI32.dll!CreateServiceW                                            762B70C4 6 Bytes  JMP 7193000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] ADVAPI32.dll!CreateServiceA                                            762D3264 6 Bytes  JMP 7196000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] WS2_32.dll!WSALookupServiceBeginW                                      75B4575A 6 Bytes  JMP 7166000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] WS2_32.dll!connect                                                      75B46BDD 6 Bytes  JMP 716F000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] WS2_32.dll!listen                                                      75B4B001 6 Bytes  JMP 7169000A
.text  C:\Program Files\Easy2Sync\Easy2Sync.exe[3188] WS2_32.dll!WSAConnect                                                  75B4CC3F 6 Bytes  JMP 716C000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtCreateFile                                    777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtCreateFile + 4                                777156B4 2 Bytes  [83, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtDeleteValueKey                                77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtDeleteValueKey + 4                            77715934 2 Bytes  [86, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtOpenFile                                      77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtOpenFile + 4                                  77715DC4 2 Bytes  [80, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtOpenProcess                                  77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtOpenProcess + 4                              77715E74 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetContextThread                              77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetContextThread + 4                          77716654 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetInformationFile                            77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetInformationFile + 4                        77716724 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetValueKey                                  777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSetValueKey + 4                              777168F4 2 Bytes  [89, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSuspendThread                                77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtSuspendThread + 4                            77716984 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtTerminateThread                              777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ntdll.dll!NtTerminateThread + 4                          777169C4 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] kernel32.dll!TerminateProcess                            75BE2D15 6 Bytes  JMP 716C000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] kernel32.dll!CreateProcessInternalW                      75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] kernel32.dll!CreateProcessInternalW + 4                  75BF08A6 2 Bytes  [6E, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ADVAPI32.dll!CreateServiceW                              762B70C4 6 Bytes  JMP 718D000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] ADVAPI32.dll!CreateServiceA                              762D3264 6 Bytes  JMP 7190000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!SendMessageA                                  7760AD60 6 Bytes  JMP 719C000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!PostMessageA                                  7760B446 6 Bytes  JMP 7196000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!PostMessageW                                  7761447B 6 Bytes  JMP 7193000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!SendMessageW                                  77615539 6 Bytes  JMP 7199000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!mouse_event                                    77626209 6 Bytes  JMP 71A5000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!SendInput                                      77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!SendInput + 4                                  7763701D 2 Bytes  [9E, 71]
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] USER32.dll!keybd_event                                    7765EC3B 6 Bytes  JMP 71A2000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] WS2_32.dll!WSALookupServiceBeginW                        75B4575A 6 Bytes  JMP 7160000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] WS2_32.dll!connect                                        75B46BDD 6 Bytes  JMP 7169000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] WS2_32.dll!listen                                        75B4B001 6 Bytes  JMP 7163000A
.text  C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3428] WS2_32.dll!WSAConnect                                    75B4CC3F 6 Bytes  JMP 7166000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtCreateFile                            777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtCreateFile + 4                        777156B4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtDeleteValueKey                        77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtDeleteValueKey + 4                    77715934 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtOpenFile                              77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtOpenFile + 4                          77715DC4 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtOpenProcess                            77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtOpenProcess + 4                        77715E74 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetContextThread                      77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetContextThread + 4                  77716654 2 Bytes  [6E, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetInformationFile                    77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetInformationFile + 4                77716724 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetValueKey                            777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSetValueKey + 4                        777168F4 2 Bytes  [80, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSuspendThread                          77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtSuspendThread + 4                      77716984 2 Bytes  [68, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtTerminateThread                        777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ntdll.dll!NtTerminateThread + 4                    777169C4 2 Bytes  [6B, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] kernel32.dll!TerminateProcess                      75BE2D15 6 Bytes  JMP 7163000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] kernel32.dll!CreateProcessInternalW                75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] kernel32.dll!CreateProcessInternalW + 4            75BF08A6 2 Bytes  [65, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] WS2_32.dll!WSALookupServiceBeginW                  75B4575A 6 Bytes  JMP 719F000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] WS2_32.dll!connect                                75B46BDD 6 Bytes  JMP 71AB000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] WS2_32.dll!listen                                  75B4B001 6 Bytes  JMP 71A2000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] WS2_32.dll!WSAConnect                              75B4CC3F 6 Bytes  JMP 71A5000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!SendMessageA                            7760AD60 6 Bytes  JMP 7193000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!PostMessageA                            7760B446 6 Bytes  JMP 718D000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!PostMessageW                            7761447B 6 Bytes  JMP 718A000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!SendMessageW                            77615539 6 Bytes  JMP 7190000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!mouse_event                            77626209 6 Bytes  JMP 719C000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!SendInput                              77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!SendInput + 4                          7763701D 2 Bytes  [95, 71]
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] USER32.dll!keybd_event                            7765EC3B 6 Bytes  JMP 7199000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ADVAPI32.dll!CreateServiceW                        762B70C4 6 Bytes  JMP 7184000A
.text  C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe[3492] ADVAPI32.dll!CreateServiceA                        762D3264 6 Bytes  JMP 7187000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtCreateFile                                777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtCreateFile + 4                            777156B4 2 Bytes  [80, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtDeleteValueKey                            77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtDeleteValueKey + 4                        77715934 2 Bytes  [83, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtOpenFile                                  77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtOpenFile + 4                              77715DC4 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtOpenProcess                              77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtOpenProcess + 4                          77715E74 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetContextThread                          77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetContextThread + 4                      77716654 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetInformationFile                        77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetInformationFile + 4                    77716724 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetValueKey                              777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSetValueKey + 4                          777168F4 2 Bytes  [86, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSuspendThread                            77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtSuspendThread + 4                        77716984 2 Bytes  [6E, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtTerminateThread                          777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] ntdll.dll!NtTerminateThread + 4                      777169C4 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] kernel32.dll!TerminateProcess                        75BE2D15 6 Bytes  JMP 7169000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] kernel32.dll!CreateProcessInternalW                  75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] kernel32.dll!CreateProcessInternalW + 4              75BF08A6 2 Bytes  [6B, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!SendMessageA                              7760AD60 6 Bytes  JMP 7199000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!PostMessageA                              7760B446 6 Bytes  JMP 7193000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!PostMessageW                              7761447B 6 Bytes  JMP 7190000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!SendMessageW                              77615539 6 Bytes  JMP 7196000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!mouse_event                                77626209 6 Bytes  JMP 71A2000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!SendInput                                  77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!SendInput + 4                              7763701D 2 Bytes  [9B, 71]
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] USER32.dll!keybd_event                                7765EC3B 6 Bytes  JMP 719F000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] advapi32.DLL!CreateServiceW                          762B70C4 6 Bytes  JMP 718A000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] advapi32.DLL!CreateServiceA                          762D3264 6 Bytes  JMP 718D000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] WS2_32.dll!WSALookupServiceBeginW                    75B4575A 6 Bytes  JMP 715D000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] WS2_32.dll!connect                                    75B46BDD 6 Bytes  JMP 7166000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] WS2_32.dll!listen                                    75B4B001 6 Bytes  JMP 7160000A
.text  C:\Program Files\Common Files\Java\Java Update\jucheck.exe[4320] WS2_32.dll!WSAConnect                                75B4CC3F 6 Bytes  JMP 7163000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtCreateFile                                  777156B0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtCreateFile + 4                              777156B4 2 Bytes  [7A, 71] {JP 0x73}
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtDeleteValueKey                              77715930 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtDeleteValueKey + 4                          77715934 2 Bytes  [7D, 71] {JGE 0x73}
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtOpenFile                                    77715DC0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtOpenFile + 4                                77715DC4 2 Bytes  [77, 71] {JA 0x73}
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtOpenProcess                                77715E70 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtOpenProcess + 4                            77715E74 2 Bytes  [71, 71] {JNO 0x73}
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetContextThread                            77716650 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetContextThread + 4                        77716654 2 Bytes  [6E, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetInformationFile                          77716720 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetInformationFile + 4                      77716724 2 Bytes  [74, 71] {JZ 0x73}
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetValueKey                                777168F0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSetValueKey + 4                            777168F4 2 Bytes  [80, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSuspendThread                              77716980 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtSuspendThread + 4                          77716984 2 Bytes  [68, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtTerminateThread                            777169C0 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ntdll.dll!NtTerminateThread + 4                        777169C4 2 Bytes  [6B, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] kernel32.dll!TerminateProcess                          75BE2D15 6 Bytes  JMP 7163000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] kernel32.dll!CreateProcessInternalW                    75BF08A2 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] kernel32.dll!CreateProcessInternalW + 4                75BF08A6 2 Bytes  [65, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ADVAPI32.dll!CreateServiceW                            762B70C4 6 Bytes  JMP 7184000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] ADVAPI32.dll!CreateServiceA                            762D3264 6 Bytes  JMP 7187000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!SendMessageA                                7760AD60 6 Bytes  JMP 7193000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!PostMessageA                                7760B446 6 Bytes  JMP 718D000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!PostMessageW                                7761447B 6 Bytes  JMP 718A000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!SendMessageW                                77615539 6 Bytes  JMP 7190000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!mouse_event                                  77626209 6 Bytes  JMP 719C000A
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!SendInput                                    77637019 3 Bytes  [FF, 25, 1E]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!SendInput + 4                                7763701D 2 Bytes  [95, 71]
.text  C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[5220] USER32.dll!keybd_event                                  7765EC3B 6 Bytes  JMP 7199000A

---- EOF - GMER 2.1 ----
Es gab keine Defrogger.txt

cosinus 01.11.2015 12:48
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

KokomikoM 01.11.2015 20:17
Weitere Logfiles
 
Hallo,

unser Emsisoft hat nichts gefunden.

Ich habe heute Mittag, ehe wir losmussten, noch nach Anleitung einen Malwarebytes-Scan gemacht, musste aber weg, ehe er fertig war. Ich bin noch nicht zu Hause. Kann das Logfile erst später hochladen.

Danke für deine Mühe. Sonst habe ich keine Scans gemacht.

Gruß,
Conny

Malwarebytes hat etwas gefunden. Übrigens wird auch von dieser Seite, wenn ich versuche, den Scrollbalken zu nutzen, auf eine andere Seite umgeleitet. Das geschieht nur nicht, wenn ich alle Scripte blockiere, aber dann kann ich hier nicht posten.

Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 01.11.2015
Suchlaufzeit: 11:13
Protokolldatei: malwarebytes.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.11.01.02
Rootkit-Datenbank: v2015.10.28.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: Conny

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 316337
Abgelaufene Zeit: 5 Min., 14 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 6
PUP.Optional.PricePeep, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.pricepeep00.pricepeep.net_0.localstorage, In Quarantäne, [aa2cafc92e5d0d2928822e4c6a99ea16],
PUP.Optional.PricePeep, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.pricepeep00.pricepeep.net_0.localstorage-journal, In Quarantäne, [0fc73a3e0685c373109ae09a000314ec],
PUP.Optional.ReMarkable, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.re-markable00.re-markable.net_0.localstorage, In Quarantäne, [ad29ff793d4ec274f5d087f5bb489b65],
PUP.Optional.ReMarkable, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.re-markable00.re-markable.net_0.localstorage-journal, In Quarantäne, [d303b6c20982092d2a9b93e97e8557a9],
PUP.Optional.ReMarkit.PrxySvrRST, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.re-markit00.re-markit.co_0.localstorage, In Quarantäne, [55819ddbf9920c2a7ea2a4f7768d30d0],
PUP.Optional.ReMarkit.PrxySvrRST, C:\Users\Meggle\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.re-markit00.re-markit.co_0.localstorage-journal, In Quarantäne, [6d697305187392a42bf5a3f804ff629e],

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

cosinus 01.11.2015 23:33
Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).




2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.




3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


KokomikoM 03.11.2015 23:34
Kann gerade nichts machen ...
 
Hallo und danke, dass du dich um uns kümmerst.

Ich will nur kurz Bescheid sagen: Ich kann gerade die Schritte nicht machen, weil ich in dieser Woche beruflich so viel um die Ohren habe, dass ich abends zu kaputt bin (komme auch gerade erst heim). Ich kann es vermutlich erst am Samstag tun. Bitte nicht verärgert sein, ich kann es leider gerade nicht ändern. Jetzt muss ich unbedingt schlafen.

Gruß
Conny

KokomikoM 04.11.2015 07:12
Liste der Anhänge anzeigen (Anzahl: 1)
Bei meiner Version von Adware (über euren Link heruntergeladen) ist bei Optionen noch eine Auswahl "Löschen Tracing-Schlüssel" und die ist auch vorausgewählt. Ist das korrekt oder habe ich an dieser Stelle schon ein Fake-Programm geholt?

Falls es korrekt ist, soll ich diese Option ausgewählt lassen? Gefunden hat das Programm übrigens unter "Dateien" vier Elemente.

Jetzt muss ich allerdings leider erst zur Arbeit und bin wieder erst spät abends daheim.

cosinus 04.11.2015 11:53
Diese Option ist neu hinzugekommen. Bitte anhaken.

KokomikoM 05.11.2015 22:56
AdWAre
 
Hier kommt der Log von Adware, aber das Junkware Removal Tool hat sich aufgehängt und nichts ging mehr am PC, gar nichts.
Auch nach fast drei Stunden hat keine Taste reagiert, gar nichts. Ich lasse ihn jetzt noch einmal über Nacht laufen, falls die 3 Stunden nicht gereicht hatten und schaue morgen früh noch einmal nach.

Log von Adware Cleaner:

Code:
# AdwCleaner v5.018 - Bericht erstellt am 05/11/2015 um 20:34:51
# Aktualisiert am 05/11/2015 von Xplode
# Datenbank : 2015-11-03.2 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x86)
# Benutzername : Conny - *****-PC
# Gestartet von : C:\Users\*****\Desktop\AdwCleaner_5.018.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****


***** [ Dateien ] *****

[-] Datei Gelöscht : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.pricepeep00.pricepeep.net_0.localstorage
[-] Datei Gelöscht : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.pricepeep00.pricepeep.net_0.localstorage-journal
[-] Datei Gelöscht : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.re-markable00.re-markable.net_0.localstorage
[-] Datei Gelöscht : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.re-markable00.re-markable.net_0.localstorage-journal

***** [ DLLs ] *****


***** [ Verknüpfungen ] *****


***** [ Aufgabenplanung ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Internetbrowser ] *****


*************************

:: "Tracing" Schlüssel gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Chrome Richtlinien gelöscht

########## EOF - \AdwCleaner\AdwCleaner[C1].txt - [1443 Bytes] ##########

KokomikoM 07.11.2015 09:47
JRT tut nichts
 
Hallo,

ich habe es jetzt also noch einmal über Nacht versucht, das Tool stand am Morgen noch immer nur mit blinkendem Cursor an derselben Stelle.

Was kann/soll ich jetzt tun? Heute bin ich zu Hause, leider muss ich morgen zu einem Empfang und kann wieder nicht viel tun. (Ist gerade eine ungünstige Zeit, um sich etwas Übles einzufangen!).

Ich habe versucht, mir die Logs auch mal durchzulesen. Verstehen kann ich natürlich nicht alles, aber das hier irritiert mich:

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.

Für die Festplatten C (hier liegt das Betriebssystem) und D (hier sind unsere Daten gespeichert) ist die Option "Wiederherstellungspunkte" aber doch aktiviert.

Mich wundert zwar, dass es nur wenige Wiederherstellungspunkte gibt, aber es gibt welche. Kann dann die o. g. Option tatsächlich deaktiviert sein?

Was mich auch irritiert, ist, dass immer wieder Fehler auf einer (gar nicht vorhandenen) Harddisk5 aufgeführt werden:
Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR5 gefunden.

Aber wenn diese Fragen hier zu weit führen, ignoriere sie bitte.

Was kann ich denn statt des nicht funktionierenden JRT tun?

cosinus 07.11.2015 20:43
Rechner neu starten, JRT neu runterladen auf den Desktop. Sicherstellen, dass dein Virenscanner ausgeschaltet ist - dann nochmal probieren.

KokomikoM 08.11.2015 00:26
Versuche es gerade noch einmal
 
Ich hatte es genauso gemacht: Rechner neu gestartet, JRT neu heruntergeladen, Virensoftware deaktiviert und jrt gestartet - dasselbe Ergebnis wie die Male zuvor, nämlich gar keines bis jetzt.

Begonnen um 22:53 Uhr, jetzt (00:30 Uhr) steht es noch immer auf

checking processes
_

Ist das normal? Wie lange dauert denn normalerweise so ein Scan? Das letzte Mal lief das Ding (oder eben auch nicht) die ganze Nacht und stand am Morgen immer noch an dieser Stelle. Das kann doch dann nichts getan haben, oder doch?

cosinus 08.11.2015 02:26
Dann lass JRT erstmal weg und mach mit dem nächsten Schritt weiter.

KokomikoM 08.11.2015 10:14
FRST-Log
 
Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:07-11-2015
durchgeführt von Conny (Administrator) auf *****-PC (08-11-2015 10:05:09)
Gestartet von C:\Users\*****\Desktop
Geladene Profile: Conny & ***** (Verfügbare Profile: Conny & *****)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2service.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2guard.exe
(Hewlett-Packard) C:\Program Files\Hp\HP Software Update\hpwuschd2.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Hewlett-Packard Co.) C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe
(Belkin International, Inc.) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
(IT-Services Thomas Holz) C:\Program Files\Easy2Sync\Easy2Sync.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe
(Hewlett-Packard Co.) C:\Program Files\Hp\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [emsisoft anti-malware] => c:\program files\emsisoft anti-malware\a2guard.exe [5836888 2015-10-01] (Emsisoft Ltd)
HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [49208 2011-10-28] (Hewlett-Packard)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [FreePDF Assistant] => C:\Program Files\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [597040 2015-10-06] (Oracle Corporation)
HKLM\...\RunOnce: [*WerKernelReporting] => C:\Windows\SYSTEM32\WerFault.exe [360448 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6495144 2015-09-16] (Piriform Ltd)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\RunOnce: [Report] => \AdwCleaner\AdwCleaner[C1].txt [1520 2015-11-05] ()
HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\MountPoints2: {3ae05b57-596f-11e5-9763-806e6f6e6963} - E:\autorun.exe
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\...\Run: [HP Officejet Pro 8600 (NET)] => C:\Program Files\Hp\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe [1837672 2012-10-17] (Hewlett-Packard Co.)
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Bubbles.scr [878592 2010-11-20] (Microsoft Corporation)
Startup: C:\Users\Conny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Belkin Netzwerk USB-Hub Kontrollzentrum.lnk [2015-09-19]
ShortcutTarget: Belkin Netzwerk USB-Hub Kontrollzentrum.lnk -> C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe (Belkin International, Inc.)
Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Belkin Network USB Hub Control Center.lnk [2015-09-20]
ShortcutTarget: Belkin Network USB Hub Control Center.lnk -> C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe (Belkin International, Inc.)
Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Easy2Sync für Dateien.lnk [2015-09-15]
ShortcutTarget: Easy2Sync für Dateien.lnk -> C:\Program Files\Easy2Sync\Easy2Sync.exe (IT-Services Thomas Holz)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.3.1
Tcpip\..\Interfaces\{5EE5D903-9E52-4B3E-A901-F02018F62DAB}: [DhcpNameServer] 192.168.3.1

Internet Explorer:
==================
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://www.google.de/?gws_rd=ssl
hxxp://jobboerse.arbeitsagentur.de/vamJB/startseite.html?kgr=as&aa=1&m=1
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_65\bin\ssv.dll [2015-11-01] (Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2015-10-28] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_65\bin\jp2ssv.dll [2015-11-01] (Oracle Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2015-09-12] (Microsoft Corporation)

FireFox:
========
FF Plugin: @java.com/DTPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\dtplugin\npDeployJava1.dll [2015-11-01] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.65.2 -> C:\Program Files\Java\jre1.8.0_65\bin\plugin2\npjp2.dll [2015-11-01] (Oracle Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2015-09-12] (Microsoft Corporation)
FF Plugin: @nvidia.com/3DVision -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll [2015-10-03] (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2015-10-03] (NVIDIA Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-11-01] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-11-01] (Google Inc.)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2015-10-23] (Adobe Systems Inc.)

Chrome:
=======
CHR StartupUrls: Default -> "hxxps://www.elkb.de/login.php","hxxps://owa.elkb.de/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fowa.elkb.de%2fowa%2f%23authRedirect%3dtrue","hxxps://www.kiv-portal.de/useradmin/","hxxp://www.symbaloo.com/home/mix/13eOhDN8dC","hxxps://www.google.de/","hxxp://www.n24.de/n24/","hxxps://www4.mewis-nt.net/lk02_schulung20/Meldewesen/Suche.aspx"
CHR NewTab: Default -> "chrome-extension://ldmiahjidflgnbiadknkmaimfpjkelng/html/newtab.html"
CHR DefaultSearchURL: Default -> hxxps://hulbee.com/?query={searchTerms}
CHR DefaultSearchKeyword: Default -> hulbee.com
CHR Profile: C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-09-12]
CHR Extension: (Google Docs) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-09-12]
CHR Extension: (1Password: Password Manager and Secure Wallet) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\aomjjhallfgjeglblehebfpbcfeobpgk [2015-09-12]
CHR Extension: (Google Drive) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-01]
CHR Extension: (YouTube) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-08]
CHR Extension: (Auf den Amazon-Wunschzettel) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-09-12]
CHR Extension: (Google-Suche) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-01]
CHR Extension: (Google Tabellen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-09-12]
CHR Extension: (Trusted Shops-Erweiterung für Google Chrome) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcpnemckonbbmnoakbjgjkgokkbaeo [2015-11-01]
CHR Extension: (Google Text & Tabellen Offline) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-09-12]
CHR Extension: (AdBlock) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-11-01]
CHR Extension: (Avira SafeSearch) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmiahjidflgnbiadknkmaimfpjkelng [2015-09-12]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-12]
CHR Extension: (Google Mail) - C:\Users\Conny\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-09-12]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 a2AntiMalware; C:\Program Files\Emsisoft Anti-Malware\a2service.exe [7084784 2015-10-01] (Emsisoft Ltd)
R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1883320 2015-10-07] (Microsoft Corporation)
S4 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [921208 2015-10-03] (NVIDIA Corporation)
S4 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1872504 2015-10-03] (NVIDIA Corporation)
S4 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [4305016 2015-10-03] (NVIDIA Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 epp32; C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp32.sys [114200 2015-10-01] (Emsisoft GmbH)
S3 NvStreamKms; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [18552 2015-10-03] (NVIDIA Corporation)
R3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad32v.sys [44840 2015-08-11] (NVIDIA Corporation)
R2 sxuptp; C:\Windows\System32\DRIVERS\sxuptp.sys [62464 2007-09-27] (silex technology, Inc.)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-11-08 10:05 - 2015-11-08 10:05 - 00012776 _____ C:\Users\*****\Desktop\FRST.txt
2015-11-08 10:04 - 2015-11-08 10:04 - 01702400 _____ (Farbar) C:\Users\*****\Desktop\FRST.exe
2015-11-08 09:09 - 2015-11-08 09:09 - 00000000 ____D C:\Users\*****\AppData\Local\Microsoft Help
2015-11-07 22:48 - 2015-10-05 23:26 - 01801288 _____ (Malwarebytes) C:\Users\Conny\Desktop\JRT.exe
2015-11-06 00:06 - 2015-11-06 00:06 - 00001185 _____ C:\Windows\IE11_main.log
2015-11-05 23:58 - 2015-11-05 23:58 - 00000000 ____D C:\Users\*****\AppData\Roaming\Neos Eureka S.r.l
2015-11-04 06:57 - 2015-11-05 20:34 - 00000000 ____D C:\AdwCleaner
2015-11-01 20:42 - 2015-11-01 20:42 - 00002209 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2015-11-01 20:42 - 2015-11-01 20:42 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
2015-11-01 20:41 - 2015-11-08 09:47 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-11-01 20:41 - 2015-11-08 09:05 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-11-01 11:33 - 2015-11-01 11:33 - 00002473 _____ C:\Users\Conny\Downloads\malware.txt
2015-11-01 11:11 - 2015-11-01 11:11 - 00000000 ____D C:\ProgramData\Malwarebytes
2015-11-01 11:09 - 2015-11-01 11:09 - 00000000 ____D C:\Program Files\Common Files\Java
2015-10-29 14:19 - 2015-09-29 03:59 - 00552960 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2015-10-29 14:19 - 2015-09-29 03:49 - 00686080 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2015-10-29 14:19 - 2015-09-15 18:36 - 01061376 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2015-10-29 14:19 - 2015-09-15 18:36 - 00248832 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2015-10-29 14:19 - 2015-09-15 18:36 - 00221184 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2015-10-29 14:18 - 2015-09-29 04:05 - 03990976 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-10-29 14:18 - 2015-09-29 04:05 - 03936192 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-10-29 14:18 - 2015-09-29 04:02 - 01308160 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00655360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00400896 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00259584 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00172032 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2015-10-29 14:18 - 2015-09-29 03:59 - 00043008 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2015-10-29 14:18 - 2015-09-29 03:58 - 00262656 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2015-10-29 14:18 - 2015-09-29 03:58 - 00069632 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2015-10-29 14:18 - 2015-09-29 03:58 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2015-10-29 14:18 - 2015-09-29 03:58 - 00038912 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2015-10-29 14:18 - 2015-09-29 03:58 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2015-10-29 14:18 - 2015-09-29 03:58 - 00017408 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2015-10-29 14:18 - 2015-09-29 03:53 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2015-10-29 14:18 - 2015-09-29 03:53 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2015-10-29 14:18 - 2015-09-29 03:49 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2015-10-29 14:18 - 2015-09-29 02:43 - 00225792 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2015-10-29 14:18 - 2015-09-29 02:43 - 00124416 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2015-10-29 14:18 - 2015-09-29 02:43 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2015-10-29 14:18 - 2015-09-25 18:59 - 02955776 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 02061824 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 00566784 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 00093696 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 00035840 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-10-29 14:18 - 2015-09-25 18:59 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2015-10-29 14:18 - 2015-09-25 18:58 - 00136192 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-10-29 14:18 - 2015-09-25 18:58 - 00073728 _____ (Microsoft Corporation) C:\Windows\system32\WinSetupUI.dll
2015-10-29 14:18 - 2015-09-25 18:58 - 00035328 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-10-29 14:18 - 2015-09-25 18:58 - 00011776 _____ (Microsoft Corporation) C:\Windows\system32\wu.upgrade.ps.dll
2015-10-29 14:18 - 2015-09-18 19:58 - 00345688 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2015-10-29 14:18 - 2015-09-16 04:45 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2015-10-29 14:18 - 2015-09-16 04:32 - 00047616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2015-10-29 14:18 - 2015-09-16 04:26 - 00047104 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2015-10-29 14:18 - 2015-09-16 04:26 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2015-10-29 14:18 - 2015-09-16 04:23 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2015-10-29 14:18 - 2015-09-16 04:23 - 00102912 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2015-10-29 14:18 - 2015-09-16 04:22 - 00620032 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2015-10-29 14:18 - 2015-09-16 04:18 - 00667648 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2015-10-29 14:18 - 2015-09-16 04:15 - 00416256 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2015-10-29 14:18 - 2015-09-16 04:10 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2015-10-29 14:18 - 2015-09-16 04:04 - 00130048 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2015-10-29 14:18 - 2015-09-16 03:58 - 00230400 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2015-10-29 14:18 - 2015-09-16 03:56 - 00689152 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2015-10-29 14:18 - 2015-09-16 03:56 - 00686080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2015-10-29 14:18 - 2015-09-16 03:55 - 02052608 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2015-10-29 14:18 - 2015-09-16 03:34 - 01311232 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2015-10-29 14:18 - 2015-09-16 03:32 - 00710144 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2015-10-29 14:18 - 2015-09-15 18:42 - 00139096 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2015-10-29 14:18 - 2015-09-15 18:42 - 00067520 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2015-10-29 14:18 - 2015-09-15 18:36 - 00100352 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2015-10-29 14:18 - 2015-09-15 18:36 - 00022016 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2015-10-29 14:18 - 2015-09-15 18:36 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2015-10-29 14:18 - 2015-09-15 18:35 - 00022528 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2015-10-29 14:18 - 2015-08-06 18:44 - 12875776 _____ (Microsoft Corporation) C:\Windows\system32\shell32.dll
2015-10-29 14:18 - 2015-08-06 18:44 - 01498624 _____ (Microsoft Corporation) C:\Windows\system32\ExplorerFrame.dll
2015-10-29 14:17 - 2015-10-01 18:50 - 00096768 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2015-10-29 14:17 - 2015-10-01 18:50 - 00050688 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2015-10-29 14:17 - 2015-10-01 18:50 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2015-10-29 14:17 - 2015-10-01 18:50 - 00028160 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2015-10-29 14:17 - 2015-10-01 18:50 - 00016896 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2015-10-29 14:17 - 2015-10-01 17:53 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2015-10-29 14:17 - 2015-09-16 04:58 - 20357632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2015-10-29 14:17 - 2015-09-16 04:45 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2015-10-29 14:17 - 2015-09-16 04:33 - 00504832 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2015-10-29 14:17 - 2015-09-16 04:33 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2015-10-29 14:17 - 2015-09-16 04:32 - 00341504 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2015-10-29 14:17 - 2015-09-16 04:31 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2015-10-29 14:17 - 2015-09-16 04:28 - 02279936 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2015-10-29 14:17 - 2015-09-16 04:24 - 00480256 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2015-10-29 14:17 - 2015-09-16 04:22 - 00663552 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2015-10-29 14:17 - 2015-09-16 04:07 - 00168960 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2015-10-29 14:17 - 2015-09-16 04:06 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2015-10-29 14:17 - 2015-09-16 04:05 - 04527616 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2015-10-29 14:17 - 2015-09-16 04:05 - 00279040 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2015-10-29 14:17 - 2015-09-16 03:58 - 12853760 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2015-10-29 14:17 - 2015-09-16 03:55 - 01155072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2015-10-29 14:17 - 2015-09-16 03:37 - 02011136 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2015-10-29 13:16 - 2015-10-29 13:16 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_09_00.Wdf
2015-10-29 08:33 - 2015-11-08 10:05 - 00000000 ____D C:\FRST
2015-10-28 16:28 - 2015-11-02 05:57 - 00006452 _____ C:\Windows\PFRO.log
2015-10-10 18:59 - 2015-10-10 18:59 - 00000000 ____D C:\Users\*****\AppData\Roaming\dll-files.com
2015-10-10 18:58 - 2015-11-08 09:04 - 00013251 _____ C:\Windows\setupact.log
2015-10-10 18:58 - 2015-10-10 18:58 - 00000000 _____ C:\Windows\setuperr.log
2015-10-10 18:49 - 2015-10-10 18:49 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-10-10 18:49 - 2015-10-10 18:49 - 00000000 ____D C:\Program Files\CCleaner
2015-10-10 18:48 - 2015-10-10 18:48 - 06677440 _____ (Piriform Ltd) C:\Users\Conny\Downloads\ccsetup510.exe
2015-10-10 16:25 - 2015-10-10 16:25 - 00000000 ____D C:\Users\*****\AppData\LocalLow\Temp

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-11-08 09:55 - 2015-09-12 23:23 - 00000000 ____D C:\Program Files\Emsisoft Anti-Malware
2015-11-08 09:53 - 2015-09-12 18:10 - 00000000 ____D C:\Users\Conny
2015-11-08 09:13 - 2009-07-14 05:34 - 00014960 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-11-08 09:13 - 2009-07-14 05:34 - 00014960 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-11-08 09:08 - 2015-09-12 18:00 - 01462604 _____ C:\Windows\WindowsUpdate.log
2015-11-08 09:05 - 2015-10-03 15:49 - 00000000 ____D C:\Users\*****\AppData\Local\FreePDF_XP
2015-11-08 09:05 - 2009-07-14 05:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-11-07 07:32 - 2015-09-12 23:49 - 00000000 ____D C:\Program Files\Microsoft Office
2015-11-07 07:31 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2015-11-05 23:56 - 2015-09-12 18:32 - 00000000 ____D C:\ProgramData\NVIDIA
2015-11-01 20:42 - 2015-09-12 19:15 - 00000000 ____D C:\Program Files\Google
2015-11-01 20:41 - 2015-09-12 19:15 - 00000000 ____D C:\Users\Conny\AppData\Local\Deployment
2015-11-01 11:11 - 2015-10-08 19:40 - 00000000 ____D C:\Users\*****\.oracle_jre_usage
2015-11-01 11:10 - 2015-10-08 19:42 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-11-01 11:08 - 2015-10-08 19:42 - 00097888 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2015-11-01 11:08 - 2015-10-08 19:42 - 00000000 ____D C:\Program Files\Java
2015-11-01 11:08 - 2015-10-08 19:40 - 00000000 ____D C:\Users\Conny\.oracle_jre_usage
2015-10-31 14:28 - 2015-09-12 18:13 - 01648476 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-29 15:31 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2015-10-29 14:48 - 2015-09-14 18:45 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2015-10-29 14:28 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\system32\de-DE
2015-10-29 14:27 - 2015-09-14 21:39 - 00000000 ____D C:\Windows\system32\MRT
2015-10-29 14:21 - 2015-09-14 21:39 - 141105520 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2015-10-28 16:28 - 2009-07-14 05:53 - 00032630 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2015-10-28 06:13 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2015-10-28 05:57 - 2015-09-12 23:43 - 00000000 ____D C:\Program Files\Microsoft Office 15
2015-10-10 18:54 - 2015-09-13 00:04 - 00000000 ____D C:\Users\*****
2015-10-10 18:50 - 2015-09-29 04:52 - 00000000 ____D C:\Windows\Minidump
2015-10-10 18:50 - 2015-09-12 18:56 - 00000000 ____D C:\Windows\Panther
2015-10-10 18:38 - 2013-12-06 10:58 - 00001003 _____ C:\Windows\system32\README.txt

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-09-13 00:29 - 2015-09-13 00:29 - 0000057 _____ () C:\ProgramData\Ament.ini

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-10-31 11:01

==================== Ende vom FRST.txt ============================
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:07-11-2015
durchgeführt von Conny (2015-11-08 10:05:52)
Gestartet von C:\Users\*****\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2015-09-12 17:10:32)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3470161990-1196781242-1290971338-500 - Administrator - Disabled)
Conny (S-1-5-21-3470161990-1196781242-1290971338-1000 - Administrator - Enabled) => C:\Users\Conny
Gast (S-1-5-21-3470161990-1196781242-1290971338-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3470161990-1196781242-1290971338-1003 - Limited - Enabled)
***** (S-1-5-21-3470161990-1196781242-1290971338-1004 - Limited - Enabled) => C:\Users\*****

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Emsisoft Anti-Malware (Enabled - Up to date) {2F44E1F9-850B-1C7A-0E56-EB2E0A3E20C9}
AS: Emsisoft Anti-Malware (Enabled - Up to date) {9425001D-A331-13F4-34E6-D05C71B96A74}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.009.20077 - Adobe Systems Incorporated)
Belkin Netzwerk USB-Hub Kontrollzentrum (HKLM\...\Belkin Network USB Hub Control Center) (Version: 1.4.0 - Belkin International, Inc.)
CCleaner (HKLM\...\CCleaner) (Version: 5.10 - Piriform)
Easy2Sync für Dateien 7.03.00 (HKLM\...\{EF327022-B623-4B6A-C41D-411720425583}_is1) (Version: 7.03.00 - ITSTH)
Emsisoft Anti-Malware (HKLM\...\{5502032C-88C1-4303-99FE-B5CBD7684CEA}_is1) (Version: 10.0 - Emsisoft Ltd.)
FreePDF (Remove only) (HKLM\...\FreePDF_XP) (Version:  - )
Google Chrome (HKLM\...\Google Chrome) (Version: 46.0.2490.80 - Google Inc.)
Google Update Helper (Version: 1.3.28.15 - Google Inc.) Hidden
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.07) (Version: 9.07 - Artifex Software Inc.)
HP Officejet Pro 8600 - Grundlegende Software für das Gerät (HKLM\...\{E5F9BFAF-2FD9-4637-BA4E-5C2BC3A0763D}) (Version: 28.0.1315.0 - Hewlett-Packard Co.)
HP Officejet Pro 8600 Hilfe (HKLM\...\{FDE820DD-CC88-4395-AD5C-801365B8F316}) (Version: 28.0.0 - Hewlett Packard)
HP Update (HKLM\...\{97486FBE-A3FC-4783-8D55-EA37E9D171CC}) (Version: 5.005.000.001 - Hewlett-Packard)
I.R.I.S. OCR (HKLM\...\{CA6BCA2F-EDEB-408F-850B-31404BE16A61}) (Version: 12.3.4.0 - HP)
Java 8 Update 65 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218065F0}) (Version: 8.0.650.17 - Oracle Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Extended DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office 365 - de-de (HKLM\...\O365HomePremRetail - de-de) (Version:  - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\...\OneDriveSetup.exe) (Version: 17.3.4604.0120 - Microsoft Corporation)
NVIDIA 3D Vision Controller-Treiber 352.65 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 352.65 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 358.50 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 358.50 - NVIDIA Corporation)
NVIDIA GeForce Experience 2.5.14.5 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.5.14.5 - NVIDIA Corporation)
NVIDIA Grafiktreiber 358.50 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 358.50 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.34.3 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.34.3 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.15.0428 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.15.0428 - NVIDIA Corporation)
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4763.1003 - Microsoft Corporation) Hidden
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
SHIELD Streaming (Version: 4.1.3000 - NVIDIA Corporation) Hidden
SHIELD Wireless Controller Driver (Version: 2.5.14.5 - NVIDIA Corporation) Hidden

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

25-10-2015 08:57:18 Geplanter Prüfpunkt
29-10-2015 14:19:12 Windows Update
04-11-2015 05:48:26 Windows Update
05-11-2015 20:40:16 JRT Pre-Junkware Removal
05-11-2015 23:00:27 JRT Pre-Junkware Removal
07-11-2015 07:21:15 Windows Update
07-11-2015 22:48:49 JRT Pre-Junkware Removal

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {25434921-E039-4ECC-AC7B-4FDFFE06D32F} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-10-07] (Microsoft Corporation)
Task: {2AC9DB49-5EC9-4D9B-8685-0A7967C7570C} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-09-16] (Piriform Ltd)
Task: {2F896EA2-88BA-47C2-AE79-F0FC289EEA41} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-11-01] (Google Inc.)
Task: {388351BF-10C5-4B85-9203-A815F57420CF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-11-01] (Google Inc.)
Task: {3B4DC244-972A-424D-A98A-697678218BF6} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated)
Task: {6B1E79D1-C09C-4877-8685-AD6CDFA8A2BE} - System32\Tasks\Microsoft\Office\Office Subscription Maintenance => C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\OLicenseHeartbeat.exe [2015-10-28] (Microsoft Corporation)
Task: {CE98C4A3-C735-4F74-8723-5B91ACE064EA} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2015-10-07] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-09-12 18:32 - 2015-10-03 03:22 - 00106104 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax.dll
2015-10-03 15:45 - 2012-06-21 06:25 - 00094208 _____ () C:\Windows\System32\redmon32.dll
2015-09-29 06:12 - 2015-10-03 05:58 - 00011896 _____ () C:\Program Files\NVIDIA Corporation\Update Core\detoured.dll
2015-09-12 23:43 - 2015-10-07 18:01 - 00080040 _____ () C:\Program Files\Microsoft Office 15\ClientX86\ApiClient.dll
2015-11-01 20:42 - 2015-10-20 15:08 - 01532744 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\libglesv2.dll
2015-11-01 20:42 - 2015-10-20 15:08 - 00081224 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\libegl.dll
2015-11-01 20:42 - 2015-10-20 15:08 - 16493384 _____ () C:\Program Files\Google\Chrome\Application\46.0.2490.80\PepperFlash\pepflashplayer.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3470161990-1196781242-1290971338-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Conny\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-3470161990-1196781242-1290971338-1004\Control Panel\Desktop\\Wallpaper -> C:\Users\*****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.3.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

MSCONFIG\Services: GfExperienceService => 2
MSCONFIG\Services: MBAMService => 2
MSCONFIG\Services: NvNetworkService => 2
MSCONFIG\Services: NvStreamSvc => 2
MSCONFIG\Services: Stereo Service => 2
MSCONFIG\startupreg: NvBackend => "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
MSCONFIG\startupreg: ShadowPlay => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap.dll,ShadowPlayOnSystemStart

==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{D7349D6F-C62B-4371-866A-795E479A49D7}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{726607FB-0BFA-4D69-A28C-9B81D8682767}] => (Allow) C:\Program Files\Microsoft Office 15\root\Office15\outlook.exe
FirewallRules: [{60B46A1D-D736-46DC-B6F5-AAFAEB87F8FB}] => (Allow) C:\Users\Conny\AppData\Local\Microsoft\OneDrive\OneDrive.exe
FirewallRules: [{73B2AFB7-4C58-413C-B8E8-A70B6D81E787}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\FaxApplications.exe
FirewallRules: [{1060F448-F5B2-475E-A255-B9435791E4B4}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\DigitalWizards.exe
FirewallRules: [{AB329FCE-791A-470F-A48A-7B9C954314EF}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\bin\SendAFax.exe
FirewallRules: [{C5AF1D91-B91C-4A7D-9A07-D30F0934CA2C}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\DeviceSetup.exe
FirewallRules: [{A44D39C1-9982-4187-AC42-FC4578877349}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\HPNetworkCommunicator.exe
FirewallRules: [{E58E1094-EF8C-4F34-BD26-7BC06E4DD51B}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8600\Bin\HPNetworkCommunicatorCom.exe
FirewallRules: [{627207C9-B8D2-4A6F-9AE1-78214C6A26DD}] => (Allow) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
FirewallRules: [{DA393966-1502-4E96-8E10-37C5F6769763}] => (Allow) C:\Program Files\Belkin\Network USB Hub Control Center\Connect.exe
FirewallRules: [{C1731172-AD8E-46C3-99C4-686A59FFF0EE}] => (Allow) LPort=19540
FirewallRules: [TCP Query User{F627FCD6-289F-40A7-A629-A5F0C45BEED2}C:\program files\belkin\network usb hub control center\connect.exe] => (Block) C:\program files\belkin\network usb hub control center\connect.exe
FirewallRules: [UDP Query User{A2D6A6C1-DD6A-4D43-BC23-0C4F7178017B}C:\program files\belkin\network usb hub control center\connect.exe] => (Block) C:\program files\belkin\network usb hub control center\connect.exe
FirewallRules: [{12B00C31-2078-4527-B65A-5069CF18BD20}] => (Allow) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe
FirewallRules: [{686ED6AA-3F46-4DCE-A37F-2DE951C0BDD2}] => (Allow) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe
FirewallRules: [{FEACB06C-2FD3-497E-BDFD-193F7E288557}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
FirewallRules: [{CF3D3950-88CB-467A-B09E-DD3C3640F078}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
FirewallRules: [{DB329E2D-A3C1-40CA-81D8-3952ED92B137}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe
FirewallRules: [{3C35D373-D20A-42DD-82AC-559A2537CC84}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe
FirewallRules: [{7DD6743A-D6E7-489D-AA85-B035D8D59AD9}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe
FirewallRules: [{98FE0F37-C9E2-4497-8F11-8C8AA211D6D9}] => (Allow) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{E0805556-ACD3-41E8-801F-52495FF922A1}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Microsoft PS/2-Maus
Description: Microsoft PS/2-Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (11/08/2015 09:20:18 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: OfficeClickToRun.exe, Version: 15.0.4763.1002, Zeitstempel: 0x5615aee8
Name des fehlerhaften Moduls: OfficeClickToRun.exe, Version: 15.0.4763.1002, Zeitstempel: 0x5615aee8
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000c5866
ID des fehlerhaften Prozesses: 0x7d0
Startzeit der fehlerhaften Anwendung: 0xOfficeClickToRun.exe0
Pfad der fehlerhaften Anwendung: OfficeClickToRun.exe1
Pfad des fehlerhaften Moduls: OfficeClickToRun.exe2
Berichtskennung: OfficeClickToRun.exe3

Error: (11/07/2015 10:55:20 PM) (Source: Windows Search Service) (EventID: 3100) (User: )
Description: Der Filterhostprozess kann nicht initialisiert werden. Der Vorgang wird abgebrochen.

Details:
        Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.  (HRESULT : 0x800705b4) (0x800705b4)

Error: (11/07/2015 10:15:16 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/04/2015 07:30:12 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/03/2015 11:06:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/02/2015 06:27:03 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/01/2015 08:38:14 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm iexplore.exe, Version 11.0.9600.18057 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1624

Startzeit: 01d114dc9569c946

Endzeit: 0

Anwendungspfad: C:\Program Files\Internet Explorer\iexplore.exe

Berichts-ID:

Error: (11/01/2015 08:18:06 PM) (Source: Windows Backup) (EventID: 4103) (User: )
Description: Die Sicherung wurde aufgrund eines Fehlers beim Schreiben am Sicherungsspeicherort "J:\" nicht abgeschlossen. Fehler: "Der Sicherungsort wurde nicht gefunden oder ist ungültig. Überprüfen Sie die Sicherungseinstellungen und den Sicherungsort. (0x81000006)"

Error: (11/01/2015 07:34:16 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (10/31/2015 11:01:06 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"1".
Die abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="*",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".


Systemfehler:
=============
Error: (11/08/2015 09:20:43 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Microsoft Office-Klick-und-Los-Dienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (11/08/2015 09:06:12 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (11/08/2015 09:04:51 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎08.‎11.‎2015 um 09:03:25 unerwartet heruntergefahren.

Error: (11/08/2015 08:41:11 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Modules Installer" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053

Error: (11/08/2015 08:41:11 AM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Windows Modules Installer erreicht.

Error: (11/08/2015 03:40:35 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Modules Installer" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053

Error: (11/08/2015 03:40:35 AM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Windows Modules Installer erreicht.

Error: (11/08/2015 03:40:35 AM) (Source: DCOM) (EventID: 10005) (User: )
Description: 1053TrustedInstaller{752073A1-23F2-4396-85F0-8FDB879ED0ED}

Error: (11/07/2015 10:49:26 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (11/07/2015 09:20:41 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)


==================== Memory info ===========================

Processor: Intel(R) Core(TM) i3 CPU 550 @ 3.20GHz
Prozentuale Nutzung des RAM: 66%
Installierter physikalischer RAM: 3063.11 MB
Verfügbarer physikalischer RAM: 1019.55 MB
Summe virtueller Speicher: 6124.53 MB
Verfügbarer virtueller Speicher: 3674.89 MB

==================== Laufwerke ================================

Drive c: (Packard Bell) (Fixed) (Total:457.45 GB) (Free:402.17 GB) NTFS
Drive d: (DATA) (Fixed) (Total:457.96 GB) (Free:436.82 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: B760C75B)
Partition 1: (Not Active) - (Size=16 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=457.5 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=458 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================
Ich sehe im Logfile von Frst jede Menge Extensions bei Google. Dabei ist mir eingefallen, dass sich unter Einstellungen beim Chrome keine Seite mit installierten Extensions öffnet. Der Tab schließt sich sofort. Ich habe also keine Übersicht, ob und welche Extensions tatsächlich installiert sind. Ich wollte - als das mit der Umleitung auftrat - einen Skript-Blocker als Extension nutzen und dabei fiel mir auf, dass sich die Tabs beim Aufruf von Extensions immer wieder schlossen. (Habe ich leider vergessen zu schreiben). Korrektur: Als ich gerade noch einmal nachgesehen habe, konnte ich die Erweiterungsseite anzeigen. Dort waren nur die Google-Bearbeitungserweiterungen für Dokumente, Präsentationen und Tabellen aufgeführt. Ich habe alles gelöscht. Mit diesem PC hat man MS Office zur Verfügung und braucht das andere nicht. Die Erweiterungsoption funktioniert also wieder.

Nachdem ich heute morgen den PC wieder 'abwürgen' musste, weil JRT wieder nicht funktionierte, ist um 9 Uhr unser wöchentlicher Emsisoft-Scan angesprungen. Das Programm JRT war vom Desktop verschwunden. Emsisoft fand zwei Probleme, hier ist der Log des Surfschutzprotokolls (wurde bisher nicht angezeigt):
Code:
Emsisoft Anti-Malware - Version 10.0
SP log

Datum        PID        Anwendung        Vorgang        Fund       
06.11.2015 00:00:07        3580        C:\Program Files\Google\Chrome\Application\chrome.exe        Von Regel geblockt        adfarm1.adition.com       
06.11.2015 00:00:07        3580        C:\Program Files\Google\Chrome\Application\chrome.exe        Von Regel geblockt        smartadserver.com       
05.11.2015 23:58:12        5420        C:\Program Files\Google\Chrome\Application\chrome.exe        Von Regel geblockt        adfarm1.adition.com       
05.11.2015 23:58:06        5420        C:\Program Files\Google\Chrome\Application\chrome.exe        Von Regel geblockt        smartadserver.com       
05.11.2015 22:50:47        4544        C:\Program Files\Google\Chrome\Application\chrome.exe        Von Regel geblockt        adfarm1.adition.com
Mir scheinen dies die Rückstände von JRT zu sein?
Code:
Emsisoft Anti-Malware v. 10.0.0.5735
(C) 2003-2015 Emsisoft - www.emsisoft.com

ID  Object
0    Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS erkannt: Setting.DisableRegistryTools (A)
1    Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR erkannt: Setting.DisableTaskMgr (A)
Hier ist das Ergebnis des heutigen Scans:
Code:
Emsisoft Anti-Malware - Version 10.0.0.5735
Letztes Update: 08.11.2015 09:07:00
Benutzerkonto: Planer

Scaneinstellungen:

Scantyp:
Objekte: Rootkits, Speicher, Traces, C:\, D:\

Erkenne PUPs: Aus
Archive scannen: An
ADS-Scan: An
Dateierweiterungen: Aus
Advanced Caching: An
Direct Disk Access: Aus

Scan Beginn:        08.11.2015 09:07:09
Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR          Setting.DisableTaskMgr (A)
Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS          Setting.DisableRegistryTools (A)

Gescannt        290053
Gefunden        2

Scan Ende:        08.11.2015 09:51:02
Scanzeit:        0:43:53

Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS        Unter Quarantäne: Setting.DisableRegistryTools (A)
Value: HKEY_USERS\S-1-5-21-3470161990-1196781242-1290971338-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR        Unter Quarantäne: Setting.DisableTaskMgr (A)

Unter Quarantäne:        2
Soweit Emsisoft

KokomikoM 08.11.2015 11:42
Fehler gefunden
 
Liste der Anhänge anzeigen (Anzahl: 1)
Ich weiß jetzt, weshalb JRT nicht funktioniert hat: Ich habe zwar - wie angewiesen - mein Emsisoft deaktiviert, aber was ich gar nicht wusste, ist, dass im Hintergrund auch der Windows Defender lief. Der muss JRT ständig als Malware blockiert haben. Eigentlich deaktiviere ich den Defender, wenn ich ein eigenes Antiviren- und Malwareprogramm benutze. Ich muss es beim Neuaufsetzen vergessen haben.

Aber mir ist noch etwas aufgefallen. In meinem Administrator-Benutzerkonto gibt es auf dem Deskop zwei Desktop.ini Das alleine ist vielleicht noch nicht so ungewöhnlich. Seltsam aber ist - und das habe ich noch auf keinem PC gesehen - dass eine dieser beiden Dateien mit einem Schloss versehen ist. Ist das normal?Anhang 76635

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.6.4 (09.28.2015:1)
OS: Windows 7 Professional x86
Ran by Conny on 08.11.2015 at 11:27:09,27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Chrome


[C:\Users\Conny\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - default search provider reset

[C:\Users\Conny\Appdata\Local\Google\Chrome\User Data\Default\Preferences] - Extensions Deleted:

[C:\Users\Conny\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - default search provider reset

[C:\Users\Conny\Appdata\Local\Google\Chrome\User Data\Default\Secure Preferences] - Extensions Deleted:
[]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 08.11.2015 at 11:29:48,81
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:11 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19