Trojaner-Board - Avira meldete TR/FireHooker.1825 und weitere Funde - Logs mit FRST erstellt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Avira meldete TR/FireHooker.1825 und weitere Funde - Logs mit FRST erstellt - Wie gehts weiter? (https://www.trojaner-board.de/182277-avira-meldete-tr-firehooker-1825-funde-logs-frst-erstellt-gehts.html)

Avira meldete TR/FireHooker.1825 und weitere Funde - Logs mit FRST erstellt - Wie gehts weiter?

Hallo zusammen,

Antivir meldete mir einen Fund von TR/FireHooker.1825. Daraufhin habe ich einen vollständigen Scan mit Antivir gemacht, der mit weitere Funde meldete. Da ich in mehreren Threads auf dieser Seite zu dem Thema gelesen habe, dass von Antivir abgeraten wird, habe ich Antivir dann erst deinstalliert und entsprechend der Posting-Anleitung einen Scan mit FRST gemacht.

Um aber auch wirklich die kompletten Log-Files (inklusive dem initialen Antivir-Fund) posten zu koennen, habe ich dann doch wieder Antivir installiert und einen vollstaendigen Scan gemacht. Dieser hat sich aber aufgehaengt und ich kann auch die Ereignisse nicht exportieren. Zum Zeitpunkt des Stillstandes zeigte Antivir 34 Funde und 18 Warnungen (Screenshot im Anhang).

Hier also die Logs von FRST:

FRST.txt

Code:

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-10-2016

durchgeführt von **** (Administrator) auf USER-PC (09-10-2016 13:46:13)

Gestartet von C:\Users\****\Downloads

Geladene Profile: **** (Verfügbare Profile: ****)

Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)

Internet Explorer Version 11 (Standard-Browser: FF)

Start-Modus: Normal

Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
 

==================== Prozesse (Nicht auf der Ausnahmeliste) =================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
 

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe

(AMD) C:\Windows\System32\atiesrxx.exe

(Logitech Inc.) C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe

(AMD) C:\Windows\System32\atieclxx.exe

(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe

(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX64\officeclicktorun.exe

(HP) C:\Windows\System32\HPSIsvc.exe

(Advanced Micro Devices, Inc.) C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe

(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe

(ZONER software) C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTray.exe

(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe

(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe

(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

(Malwarebytes Corp.) C:\Users\****\Downloads\mbar-1.09.3.1001.exe

(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

(Microsoft Corporation) C:\Windows\SysWOW64\cmd.exe

(Malwarebytes) C:\Users\****\Desktop\mbar\mbar.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MpCmdRun.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MpCmdRun.exe
 
 

==================== Registry (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
 

HKLM\...\Run: [NUSB3MON] => C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe [97280 2012-04-11] (Advanced Micro Devices, Inc.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2013-12-13] (Realtek Semiconductor)

HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1340192 2016-01-29] (Microsoft Corporation)

HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [766208 2013-11-01] (Advanced Micro Devices, Inc.)

HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2013-03-14] (shbox.de)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [HydraVisionDesktopManager] => C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe [389120 2013-11-01] (AMD)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [Zoner Photo Studio Autoupdate] => C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTRAY.EXE [563416 2015-07-12] (ZONER software)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: E - E:\SISetup.exe

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: {ad290ecd-f169-11e3-917f-806e6f6e6963} - F:\SISetup.exe

GroupPolicy: Beschränkung - Chrome <======= ACHTUNG

CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <======= ACHTUNG
 

==================== Internet (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
 

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

Tcpip\..\Interfaces\{7505CBA0-AB60-405B-86D6-EE7FED2226E7}: [DhcpNameServer] 192.168.178.1
 

Internet Explorer:

==================

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131204857259016678&GUID=EC93C3DD-F536-4795-808C-7F15CA2F92FE

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> DefaultScope {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll [2016-08-16] (Microsoft Corporation)

BHO: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files\AMD\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\GROOVEEX.DLL [2016-08-16] (Microsoft Corporation)

BHO-x32: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\ssv.dll [2015-01-21] (Oracle Corporation)

BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\jp2ssv.dll [2015-01-21] (Oracle Corporation)

DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2016-04-20] (Microsoft Corporation)

Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

Handler-x32: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)
 

FireFox:

========

FF ProfilePath: C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default [2016-10-09]

FF Homepage: Mozilla\Firefox\Profiles\y1tzaaes.default -> hxxps://www.google.de/?gws_rd=ssl

FF Extension: (Kein Name) - C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default\Extensions\abs@avira.com [2016-10-09]

FF Extension: (Skype) - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2016-05-25]

FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension

FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [ist nicht signiert]

FF HKLM-x32\...\Firefox\Extensions: [{9040A611-0394-4C63-AF96-15FAB386402B}] - C:\Windows\Installer\{4F7AC1F9-38C5-4713-91BB-50B6339D45ED}\{9040A611-0394-4C63-AF96-15FAB386402B}.xpi

FF Extension: (Download Protect) - C:\Windows\Installer\{4F7AC1F9-38C5-4713-91BB-50B6339D45ED}\{9040A611-0394-4C63-AF96-15FAB386402B}.xpi [2015-10-19]

FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_162.dll [2016-09-14] ()

FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_162.dll [2016-09-14] ()

FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1211151.dll [2014-04-15] (Adobe Systems, Inc.)

FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\plugin2\npjp2.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2014-06-06] (Microsoft Corporation)

FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-06-30] (Adobe Systems Inc.)

FF Plugin HKU\S-1-5-21-1489978219-3511543988-2120407459-1002: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\****\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2015-12-17] (Unity Technologies ApS)
 

Chrome: 

=======

CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
 

==================== Dienste (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2013-11-01] (Advanced Micro Devices, Inc.) [Datei ist nicht signiert]

R2 c2cautoupdatesvc; C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [1364096 2016-05-25] (Microsoft Corporation)

R2 c2cpnrsvc; C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [1687680 2016-05-25] (Microsoft Corporation)

R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe [3192560 2016-07-26] (Microsoft Corporation)

R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation)

R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation)

S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
 

===================== Treiber (Nicht auf der Ausnahmeliste) ======================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AODDriver4.2.0; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59648 2013-09-19] (Advanced Micro Devices)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)

R3 mbamchameleon; C:\Windows\system32\drivers\mbamchameleon.sys [109272 2016-10-09] (Malwarebytes)

R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-10-09] (Malwarebytes)

R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [289120 2015-11-13] (Microsoft Corporation)

S3 mvusbews; C:\Windows\System32\Drivers\mvusbews.sys [20480 2012-12-24] (Marvell Semiconductor, Inc.)

R3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [133816 2015-11-13] (Microsoft Corporation)
 

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Ein Monat: Erstellte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-09 13:46 - 2016-10-09 13:46 - 00014288 _____ C:\Users\****\Downloads\FRST.txt

2016-10-09 13:46 - 2016-10-09 13:46 - 00000000 ____D C:\FRST

2016-10-09 13:45 - 2016-10-09 13:45 - 02405376 _____ (Farbar) C:\Users\****\Downloads\FRST64.exe

2016-10-09 13:32 - 2016-10-09 13:43 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)

2016-10-09 13:32 - 2016-10-09 13:32 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys

2016-10-09 13:32 - 2016-10-09 13:32 - 00000000 ____D C:\ProgramData\Malwarebytes

2016-10-09 13:25 - 2016-10-09 13:33 - 00000000 ____D C:\Users\****\Desktop\mbar

2016-10-09 13:25 - 2016-10-09 13:31 - 00109272 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys

2016-10-09 13:18 - 2016-10-09 13:19 - 16563352 _____ (Malwarebytes Corp.) C:\Users\****\Downloads\mbar-1.09.3.1001.exe

2016-10-09 12:48 - 2016-10-09 12:48 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf

2016-10-09 12:38 - 2016-10-09 12:38 - 04443608 _____ (Avira Operations GmbH & Co. KG) C:\Users\****\Downloads\avira_de_av_57fa1df4c6029__ws.exe

2016-10-03 11:05 - 2016-10-03 11:05 - 00028480 _____ C:\Users\****\Downloads\Protokoll 28.9.16.pdf

2016-09-27 12:32 - 2016-09-29 17:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
 

==================== Ein Monat: Geänderte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-09 13:38 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2016-10-09 13:38 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2016-10-09 13:36 - 2011-04-12 09:43 - 00699092 _____ C:\Windows\system32\perfh007.dat

2016-10-09 13:36 - 2011-04-12 09:43 - 00149232 _____ C:\Windows\system32\perfc007.dat

2016-10-09 13:36 - 2009-07-14 07:13 - 01619284 _____ C:\Windows\system32\PerfStringBackup.INI

2016-10-09 13:36 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf

2016-10-09 13:33 - 2014-06-05 13:06 - 00000000 ____D C:\ProgramData\Package Cache

2016-10-09 13:30 - 2015-10-19 14:16 - 00001032 _____ C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job

2016-10-09 13:30 - 2015-10-19 14:16 - 00001010 _____ C:\Windows\Tasks\OiU4I3rMXgM.job

2016-10-09 13:30 - 2014-06-20 12:33 - 00000000 ____D C:\Users\****\AppData\Local\FreePDF_XP

2016-10-09 13:30 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT

2016-10-09 13:26 - 2014-06-06 10:26 - 00000000 ____D C:\Users\****\AppData\Roaming\Skype

2016-10-09 12:50 - 2015-11-25 21:56 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job

2016-10-07 12:31 - 2014-06-11 22:12 - 00000000 ____D C:\Users\****\Documents\Barbara

2016-09-30 22:08 - 2014-12-26 12:21 - 00004476 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task

2016-09-29 17:57 - 2014-06-06 09:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service

2016-09-22 17:29 - 2014-06-06 09:48 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft

2016-09-22 17:29 - 2014-06-06 09:44 - 00000000 ____D C:\Program Files\Microsoft Office 15

2016-09-16 12:35 - 2016-03-15 17:15 - 00000000 ____D C:\Users\****\AppData\Local\CrashDumps

2016-09-14 10:50 - 2015-11-25 21:56 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2016-09-14 10:50 - 2015-11-25 21:56 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2016-09-14 10:50 - 2015-11-25 21:56 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\SysWOW64\Macromed

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\system32\Macromed
 

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
 

2015-10-20 11:14 - 2015-10-20 11:14 - 0000000 _____ () C:\Users\****\AppData\Local\ars.cache

2015-10-20 11:14 - 2015-10-20 11:14 - 0003624 _____ () C:\Users\****\AppData\Local\census.cache

2015-10-19 16:35 - 2015-10-19 16:35 - 0000036 _____ () C:\Users\****\AppData\Local\housecall.guid.cache

2015-10-19 14:17 - 2015-10-19 14:17 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
 

Dateien, die verschoben oder gelöscht werden sollten:

====================

C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
 
 

Einige Dateien in TEMP:

====================

C:\Users\****\AppData\Local\Temp\4027.exe

C:\Users\****\AppData\Local\Temp\8297.exe

C:\Users\****\AppData\Local\Temp\APNSetup.exe

C:\Users\****\AppData\Local\Temp\avgC0B2.exe

C:\Users\****\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-8u31-windows-au.exe

C:\Users\****\AppData\Local\Temp\Quarantine.exe

C:\Users\****\AppData\Local\Temp\SkypeSetup.exe

C:\Users\****\AppData\Local\Temp\sqlite3.dll
 
 

==================== Bamital & volsnap ======================
 

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
 

C:\Windows\system32\winlogon.exe => Datei ist digital signiert

C:\Windows\system32\wininit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert

C:\Windows\explorer.exe => Datei ist digital signiert

C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert

C:\Windows\system32\svchost.exe => Datei ist digital signiert

C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert

C:\Windows\system32\services.exe => Datei ist digital signiert

C:\Windows\system32\User32.dll => Datei ist digital signiert

C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert

C:\Windows\system32\userinit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert

C:\Windows\system32\rpcss.dll => Datei ist digital signiert

C:\Windows\system32\dnsapi.dll => Datei ist digital signiert

C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert

C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
 
 

LastRegBack: 2016-09-12 14:04
 

==================== Ende von FRST.txt ============================

Addition.txt

Code:

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-10-2016

durchgeführt von **** (09-10-2016 13:46:38)

Gestartet von C:\Users\****\Downloads

Windows 7 Home Premium Service Pack 1 (X64) (2014-06-05 10:57:20)

Start-Modus: Normal

==========================================================
 
 

==================== Konten: =============================
 

Administrator (S-1-5-21-1489978219-3511543988-2120407459-500 - Administrator - Disabled)

**** (S-1-5-21-1489978219-3511543988-2120407459-1002 - Administrator - Enabled) => C:\Users\****

Gast (S-1-5-21-1489978219-3511543988-2120407459-501 - Limited - Disabled)
 

==================== Sicherheits-Center ========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
 

AV: Microsoft Security Essentials (Enabled - Up to date) {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}

AS: Microsoft Security Essentials (Enabled - Up to date) {CDE0C533-D3CD-62A1-E772-AFADDF863628}

AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 

==================== Installierte Programme ======================
 

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
 

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.017.20053 - Adobe Systems Incorporated)

Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 13.0.0.111 - Adobe Systems Incorporated)

Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)

Adobe Shockwave Player 12.1 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.1.1.151 - Adobe Systems, Inc.)

AMD Catalyst Install Manager (HKLM\...\{76E8353E-9CE9-ED86-8631-7FBE17A17C31}) (Version: 8.0.915.0 - Advanced Micro Devices, Inc.)

CDBurnerXP (HKLM-x32\...\{7E265513-8CDA-4631-B696-F40D983F3B07}_is1) (Version: 4.5.2.4291 - CDBurnerXP)

FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )

GPL Ghostscript (HKLM\...\GPL Ghostscript 9.07) (Version: 9.07 - Artifex Software Inc.)

HP LaserJet Professional P1100-P1560-P1600 Series (HKLM\...\HP LaserJet Professional P1100-P1560-P1600 Series) (Version:  - )

HydraVision (x32 Version: 4.2.252.0 - Advanced Micro Devices, Inc.) Hidden

Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

K-Lite Mega Codec Pack 10.1.0 (HKLM-x32\...\KLiteCodecPack_is1) (Version: 10.1.0 - )

Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft Office Home and Student 2013 - de-de (HKLM\...\HomeStudentRetail - de-de) (Version: 15.0.4859.1002 - Microsoft Corporation)

Microsoft OneDrive (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\OneDriveSetup.exe) (Version: 17.0.4023.1211 - Microsoft Corporation)

Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.9.218.0 - Microsoft Corporation)

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50428.0 - Microsoft Corporation)

Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)

Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)

Mozilla Firefox 49.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.1 (x86 de)) (Version: 49.0.1 - Mozilla)

Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.1.6109 - Mozilla)

Office 15 Click-to-Run Extensibility Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Licensing Component (Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Localization Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.82.317.2014 - Realtek)

Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7106 - Realtek Semiconductor Corp.)

RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version:  - )

Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 8.3.0.9150 - Microsoft Corporation)

Skype™ 7.18 (HKLM-x32\...\{FC965A47-4839-40CA-B618-18F486F042C6}) (Version: 7.18.112 - Skype Technologies S.A.)

swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden

Unity Web Player (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\UnityWebPlayer) (Version: 5.3.1f1 - Unity Technologies ApS)

WinRAR 5.01 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.01.0 - win.rar GmbH)

Zoner Photo Studio 17 (HKLM\...\ZonerPhotoStudio17_DE_is1) (Version: 17.0.1.12 - ZONER software)
 

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

Task: {72C198F0-903C-4306-AD89-71360CF8C1A3} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-16] (Adobe Systems Incorporated)

Task: {7D7BD082-F568-4851-957A-28F7AC566514} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {A300AED3-EC1E-4D98-B013-581F8ECF5E1A} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {ADE9974E-1DC0-42DE-9AEE-253713621360} - \OiU4I3rMXgM -> Keine Datei <==== ACHTUNG

Task: {AE600C85-6840-4BB0-8A2B-17BADC972A43} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-14] (Adobe Systems Incorporated)

Task: {CEAD94A9-4626-43B5-B7CB-2D15F55FB900} - \y8qEEDYWvv7Cbw383j4Vau -> Keine Datei <==== ACHTUNG
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
 

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

Task: C:\Windows\Tasks\OiU4I3rMXgM.job => C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe <==== ACHTUNG

Task: C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe <==== ACHTUNG
 

==================== Verknüpfungen =============================
 

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
 

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
 

2014-06-15 11:54 - 2012-08-31 15:03 - 00288768 _____ () C:\Windows\System32\HP1100LM.DLL

2014-06-05 16:42 - 2010-06-17 20:56 - 00087040 _____ () C:\Windows\System32\redmonnt.dll

2014-06-15 11:55 - 2012-08-31 15:02 - 00074240 _____ () C:\Windows\system32\spool\PRTPROCS\x64\HP1100PP.DLL

2013-11-01 11:46 - 2013-11-01 11:46 - 00214528 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Container.PerformanceTuning.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 00814592 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 03650560 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Platform.dll

2014-06-06 09:44 - 2016-05-24 09:51 - 00116416 _____ () C:\Program Files\Microsoft Office 15\ClientX64\ApiClient.dll

2013-11-01 11:46 - 2013-11-01 11:46 - 00102400 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Proxy.Native.dll

2016-02-13 12:51 - 2014-09-09 14:30 - 00603648 _____ () C:\Program Files\Zoner\Photo Studio 17\Program32\SpiderMonkey.dll
 

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
 
 

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
 
 

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
 
 

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
 
 

==================== Hosts Inhalt: ===============================
 

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
 

2009-07-14 04:34 - 2015-10-19 16:28 - 00000828 ____A C:\Windows\system32\Drivers\etc\hosts
 
 

==================== Andere Bereiche ============================
 

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
 

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Control Panel\Desktop\\Wallpaper -> C:\Users\****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

DNS Servers: 192.168.178.1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Windows Firewall ist aktiviert.
 

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
 
 

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

FirewallRules: [{9953F994-B195-4E7A-B0D4-8AF85BB15A10}] => (Allow) C:\Program files (x86)\raidxpert2\apache\bin\httpd.exe

FirewallRules: [{75755B2B-2D8D-4626-8BF7-409EF38237CC}] => (Allow) C:\Users\****\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe

FirewallRules: [{370D7732-133F-47A0-87BB-4C485DA0AD41}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{CF93DD83-D737-48B3-A18C-EB9C9084E126}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe

FirewallRules: [{EDE5E21A-6908-43CC-B637-6DB8ACB44953}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F0C7E402-FCE1-4522-BC66-DB5722E68475}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F7755498-107E-4233-B483-A7D591016373}] => (Allow) C:\Program Files\Zoner\Photo Studio 17\Program32\MediaServer.exe
 

==================== Wiederherstellungspunkte =========================
 

25-07-2016 13:05:53 Windows Update

02-08-2016 10:06:44 Windows Update

03-08-2016 12:48:41 Windows Update

08-08-2016 10:27:48 Windows Update

18-08-2016 16:59:42 Windows Update

26-08-2016 09:37:19 Windows Update

04-09-2016 12:38:04 Windows Update

04-09-2016 15:42:06 Windows Update

04-09-2016 19:44:47 Windows Update

08-09-2016 08:51:33 Windows Update

12-09-2016 13:40:04 Windows Update

21-09-2016 12:10:19 Windows Update

29-09-2016 09:37:34 Windows Update

07-10-2016 11:00:52 Windows Update
 

==================== Fehlerhafte Geräte im Gerätemanager =============
 

Name: Teredo Tunneling Pseudo-Interface

Description: Microsoft-Teredo-Tunneling-Adapter

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: Microsoft

Service: tunnel

Problem: : This device cannot start. (Code10)

Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.

On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
 
 

==================== Fehlereinträge in der Ereignisanzeige: =========================
 

Applikationsfehler:

==================

Error: (10/09/2016 01:32:39 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 11:39:48 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/07/2016 09:39:33 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/07/2016 11:01:49 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/05/2016 01:01:03 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/05/2016 12:39:24 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/04/2016 04:53:52 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/03/2016 10:46:27 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/03/2016 10:01:08 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (09/30/2016 09:58:03 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 
 

Systemfehler:

=============

Error: (10/05/2016 12:57:15 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.229.460.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (10/03/2016 11:10:16 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.229.460.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (10/03/2016 10:24:29 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.229.460.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (09/29/2016 05:53:03 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT)

Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Definitionsupdate für Microsoft Security Essentials – KB2310138 (Definition 1.229.475.0)
 

Error: (09/29/2016 09:38:00 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.227.2825.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Installieren
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x80070643
 

        Fehlerbeschreibung: Schwerwiegender Fehler bei der Installation.
 

Error: (09/29/2016 09:37:59 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 1.229.475.0
 

        Vorherige Signaturversion: 1.227.2825.0
 

        Aktualisierungsquelle: Benutzer
 

        Aktualisierungsphase: Installieren
 

        Quellpfad: 
 

        Signaturtyp: AntiSpyware
 

        Aktualisierungstyp: Delta
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 1.1.13103.0
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x80070666
 

        Fehlerbeschreibung: Eine andere Version des Produkts ist bereits installiert. Die Installation dieser Version kann nicht fortgesetzt werden. Verwenden Sie die Systemsteuerungsoption "Software", um die vorhandene Version dieses Produkts zu konfigurieren oder zu entfernen.
 

Error: (09/29/2016 09:37:59 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 1.229.475.0
 

        Vorherige Signaturversion: 1.227.2825.0
 

        Aktualisierungsquelle: Benutzer
 

        Aktualisierungsphase: Installieren
 

        Quellpfad: 
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Delta
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 1.1.13103.0
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x80070666
 

        Fehlerbeschreibung: Eine andere Version des Produkts ist bereits installiert. Die Installation dieser Version kann nicht fortgesetzt werden. Verwenden Sie die Systemsteuerungsoption "Software", um die vorhandene Version dieses Produkts zu konfigurieren oder zu entfernen.
 

Error: (09/23/2016 03:43:42 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.227.2825.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13000.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (09/20/2016 12:24:25 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.227.2280.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13000.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (09/20/2016 09:01:12 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.227.2280.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13000.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 
 

==================== Speicherinformationen =========================== 
 

Prozessor: AMD A8-5600K APU with Radeon(tm) HD Graphics 

Prozentuale Nutzung des RAM: 62%

Installierter physikalischer RAM: 3270.03 MB

Verfügbarer physikalischer RAM: 1232.57 MB

Summe virtueller Speicher: 6538.24 MB

Verfügbarer virtueller Speicher: 4669.49 MB
 

==================== Laufwerke ================================
 

Drive c: () (Fixed) (Total:223.47 GB) (Free:151.79 GB) NTFS
 

==================== MBR & Partitionstabelle ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 223.6 GB) (Disk ID: 4CDE736C)

Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=223.5 GB) - (Type=07 NTFS)
 

==================== Ende von Addition.txt ============================

Vielen Dank im Vorraus für jegliche Hilfe!

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

Bitte arbeite alle Schritte der Reihe nach ab.
Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
Poste die Logfiles direkt in Deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.

Los geht's:

Schritt 1

Downloade Dir bitte http://deeprybka.trojaner-board.de/adwcleaner/adwc.pngAdwCleaner auf Deinen Desktop.

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Werkzeuge > Optionen und vergewissere Dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel
- "Prefetch" Dateien
- Proxy
- Winsock
- Internet Explorer Richtlinien
- Chrome Richtlinien
Bestätige die Auswahl mit Ok.
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit Deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

http://deeprybka.trojaner-board.de/m...mbamlogo4a.png http://deeprybka.trojaner-board.de/m...mbamlogo4b.png

Download und Anleitung
Starte Malwarebytes' Anti-Malware (MBAM).
Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass Deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Hallo Jürgen,

Vielen Dank für deine Hilfe!

Mittlerweile kann ich auch die Protokolle von Antivir expotieren. Zwecks Vollständigkeit hier noch diese hinterhergereicht:

Code:

09.10.2016, 18:30:26 [Echtzeit-Scanner] Malware gefunden

        Muster 'TR/Dropper.MSIL.Gen [trojan]'

        in Datei 'C:\Users\****\AppData\Local\Temp\avgC0B2.exe gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 18:30:22 [Echtzeit-Scanner] Malware gefunden

        Muster 'ADWARE/CrossRider.Gen7 [adware]'

        in Datei 'C:\Users\****\AppData\Local\Temp\8297.exe gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 18:25:10 [Echtzeit-Scanner] Malware gefunden

        Muster 'PUA/Glup.68608 [riskware]'

        in Datei 'C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\FilesStash\85E8C276-F409-EAA6-B53A-75F1FA51C373_1d22312dee2d7fa gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 18:25:10 [Echtzeit-Scanner] Malware gefunden

        Muster 'PUA/Glup.68608 [riskware]'

        in Datei 'C:\ProgramData\Avira\Antivirus\TEMP\AVSCAN-20161009-144713-C0F955BB\AVSCAN-20161009-144737-C609E5BF gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 18:25:05 [Echtzeit-Scanner] Malware gefunden

        Muster 'PUA/Glup.68608 [riskware]'

        in Datei 'C:\ProgramData\Avira\Antivirus\TEMP\AVSCAN-20161009-144713-C0F955BB\AVSCAN-20161009-144737-C609E5BF gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 14:16:49 [Echtzeit-Scanner] Malware gefunden

        Muster 'PUA/Glup.68608 [riskware]'

        in Datei 'C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\FilesStash\91DC2751-7B68-ABD7-AD7F-B90E12752546_1d222f02d43b7a3 gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben
 

09.10.2016, 14:16:45 [Echtzeit-Scanner] Malware gefunden

        Muster 'PUA/Glup.68608 [riskware]'

        in Datei 'C:\Users\****\AppData\Local\Temp\HouseCall\log\2D2CF1D9-BA4A-441B-8AA9-B5A8F3C59251\backup\10 gefunden.

        Durchgeführte Aktion: Datei in Quarantäne verschieben

Hier nun die Logs der Schritte:

Schritt 1 ADWCleaner:

Code:

# AdwCleaner v6.021 - Bericht erstellt am 09/10/2016 um 18:18:25

# Aktualisiert am 06/10/2016 von ToolsLib

# Datenbank : 2016-10-07.1 [Server]

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (X64)

# Benutzername : **** - USER-PC

# Gestartet von : C:\Users\****\Downloads\AdwCleaner_6.021.exe

# Modus: Löschen

# Unterstützung : https://toolslib.net/forum
 
 
 

***** [ Dienste ] *****
 
 
 

***** [ Ordner ] *****
 

[-] Ordner gelöscht: C:\Windows\Installer\{4F7AC1F9-38C5-4713-91BB-50B6339D45ED}
 
 

***** [ Dateien ] *****
 

[-] Datei gelöscht: C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

[#] Datei gelöscht: C:\ProgramData\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
 
 

***** [ DLL ] *****
 
 
 

***** [ WMI ] *****
 
 
 

***** [ Verknüpfungen ] *****
 
 
 

***** [ Aufgabenplanung ] *****
 
 
 

***** [ Registrierungsdatenbank ] *****
 

[-] Wert gelöscht: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{9040A611-0394-4C63-AF96-15FAB386402B}]

[-] Schlüssel gelöscht: HKLM\SOFTWARE\Classes\AppID\{1C6F51F8-BCE6-4702-8952-6A8233359FBC}

[-] Wert gelöscht: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]

[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_

[-] Schlüssel gelöscht: HKU\.DEFAULT\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_

[-] Schlüssel gelöscht: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Tinstalls

[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\DownloadProtect

[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_

[#] Schlüssel mit Neustart gelöscht: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_

[#] Schlüssel mit Neustart gelöscht: HKCU\Software\Microsoft\Tinstalls

[-] Schlüssel gelöscht: HKLM\SOFTWARE\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_

[-] Schlüssel gelöscht: HKLM\SOFTWARE\SwiftSearch_1.10.0.25

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\DownloadProtect

[#] Schlüssel mit Neustart gelöscht: [x64] HKCU\Software\Microsoft\Tinstalls
 
 

***** [ Browser ] *****
 
 
 

*************************
 

:: "Tracing" Schlüssel gelöscht

:: Winsock Einstellungen zurückgesetzt

:: "Prefetch" Dateien gelöscht

:: Proxy Einstellungen zurückgesetzt

:: Internet Explorer Richtlinien gelöscht

:: Chrome Richtlinien gelöscht
 

*************************
 

C:\AdwCleaner\AdwCleaner[C0].txt - [2943 Bytes] - [09/10/2016 18:18:25]

C:\AdwCleaner\AdwCleaner[S0].txt - [3036 Bytes] - [09/10/2016 18:17:48]
 

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [3089 Bytes] ##########

Schritt 2 MBAM:

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlaufdatum: 09.10.2016

Suchlaufzeit: 18:23

Protokolldatei: 

Administrator: Ja
 

Version: 2.2.1.1043

Malware-Datenbank: v2016.10.09.07

Rootkit-Datenbank: v2016.09.26.02

Lizenz: Kostenlose Version

Malware-Schutz: Deaktiviert

Schutz vor bösartigen Websites: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: NTFS

Benutzer: ****
 

Suchlauftyp: Bedrohungssuchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 307372

Abgelaufene Zeit: 11 Min., 24 Sek.
 

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(keine bösartigen Elemente erkannt)
 

Module: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 5

PUP.Optional.MyBrowser, HKLM\SOFTWARE\WOW6432NODE\MyBrowser, In Quarantäne, [72b998ffc3d73501248e6559b152bb45], 

PUP.Optional.MyBrowser, HKU\S-1-5-18\SOFTWARE\MyBrowser 1.0.2V19.10-nv, In Quarantäne, [31faa3f44b4fa09608a2cede3ec554ac], 

PUP.Optional.MyBrowser, HKU\S-1-5-18\SOFTWARE\MyBrowser 1.0.2V19.10-nv-ie, In Quarantäne, [9f8cb6e1bedcb0863179f4b815eeff01], 

PUP.Optional.MyBrowser, HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\SOFTWARE\MyBrowser, In Quarantäne, [0922aaed1d7d6fc713f3e2dd60a38779], 

PUP.Optional.MyBrowser, HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\SOFTWARE\MyBrowser 1.0.2V19.10-nv-ie, In Quarantäne, [f4376235603a989e9911e0ccc93ae020], 
 

Registrierungswerte: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 1

PUP.Optional.GlobalUpdate, C:\Users\****\AppData\Local\Temp\comh.441106, In Quarantäne, [0625940312884aec4e5f971dbe4459a7], 
 

Dateien: 4

PUP.Optional.MyBrowser, C:\Users\****\AppData\Local\Temp\4027.exe, In Quarantäne, [65c6197ed1c9e94d6043a1ee6b9930d0], 

PUP.Optional.MyBrowser, C:\Users\****\AppData\Local\Temp\8297.exe, In Quarantäne, [c06b35627822bd79bce77b14937156aa], 

PUP.Optional.Amonetize, C:\Users\****\AppData\Local\Temp\avgC0B2.exe, In Quarantäne, [6cbfa1f6851521158466824a46bb46ba], 

PUP.Optional.GlobalUpdate, C:\Users\****\AppData\Local\Temp\comh.441106\globalupdateHelper.msi, In Quarantäne, [0625940312884aec4e5f971dbe4459a7], 
 

Physische Sektoren: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Schritt 3 FRST:
Addition.txt

Code:

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-10-2016

durchgeführt von **** (09-10-2016 18:43:37)

Gestartet von C:\Users\****\Downloads

Windows 7 Home Premium Service Pack 1 (X64) (2014-06-05 10:57:20)

Start-Modus: Normal

==========================================================
 
 

==================== Konten: =============================
 

Administrator (S-1-5-21-1489978219-3511543988-2120407459-500 - Administrator - Disabled)

**** (S-1-5-21-1489978219-3511543988-2120407459-1002 - Administrator - Enabled) => C:\Users\****

Gast (S-1-5-21-1489978219-3511543988-2120407459-501 - Limited - Disabled)
 

==================== Sicherheits-Center ========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
 

AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}

AV: Microsoft Security Essentials (Enabled - Up to date) {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}

AS: Microsoft Security Essentials (Enabled - Up to date) {CDE0C533-D3CD-62A1-E772-AFADDF863628}

AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}

AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 

==================== Installierte Programme ======================
 

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
 

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.017.20053 - Adobe Systems Incorporated)

Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 13.0.0.111 - Adobe Systems Incorporated)

Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)

Adobe Shockwave Player 12.1 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.1.1.151 - Adobe Systems, Inc.)

AMD Catalyst Install Manager (HKLM\...\{76E8353E-9CE9-ED86-8631-7FBE17A17C31}) (Version: 8.0.915.0 - Advanced Micro Devices, Inc.)

Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.22.54 - Avira Operations GmbH & Co. KG)

Avira Launcher (HKLM-x32\...\{16c00419-caa9-4a09-9774-376f70d9eeff}) (Version: 1.2.71.21096 - Avira Operations GmbH & Co. KG)

Avira Launcher (x32 Version: 1.2.71.21096 - Avira Operations GmbH & Co. KG) Hidden

FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )

GPL Ghostscript (HKLM\...\GPL Ghostscript 9.07) (Version: 9.07 - Artifex Software Inc.)

HP LaserJet Professional P1100-P1560-P1600 Series (HKLM\...\HP LaserJet Professional P1100-P1560-P1600 Series) (Version:  - )

HydraVision (x32 Version: 4.2.252.0 - Advanced Micro Devices, Inc.) Hidden

Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft Office Home and Student 2013 - de-de (HKLM\...\HomeStudentRetail - de-de) (Version: 15.0.4859.1002 - Microsoft Corporation)

Microsoft OneDrive (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\OneDriveSetup.exe) (Version: 17.0.4023.1211 - Microsoft Corporation)

Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.9.218.0 - Microsoft Corporation)

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50428.0 - Microsoft Corporation)

Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)

Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)

Mozilla Firefox 49.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.1 (x86 de)) (Version: 49.0.1 - Mozilla)

Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.1.6109 - Mozilla)

Office 15 Click-to-Run Extensibility Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Licensing Component (Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Localization Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.82.317.2014 - Realtek)

Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7106 - Realtek Semiconductor Corp.)

RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version:  - )

Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 8.3.0.9150 - Microsoft Corporation)

Skype™ 7.18 (HKLM-x32\...\{FC965A47-4839-40CA-B618-18F486F042C6}) (Version: 7.18.112 - Skype Technologies S.A.)

swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden

Unity Web Player (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\UnityWebPlayer) (Version: 5.3.1f1 - Unity Technologies ApS)

WinRAR 5.01 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.01.0 - win.rar GmbH)
 

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

Task: {72C198F0-903C-4306-AD89-71360CF8C1A3} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-16] (Adobe Systems Incorporated)

Task: {7D7BD082-F568-4851-957A-28F7AC566514} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {A300AED3-EC1E-4D98-B013-581F8ECF5E1A} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {ADE9974E-1DC0-42DE-9AEE-253713621360} - \OiU4I3rMXgM -> Keine Datei <==== ACHTUNG

Task: {AE600C85-6840-4BB0-8A2B-17BADC972A43} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-14] (Adobe Systems Incorporated)

Task: {CEAD94A9-4626-43B5-B7CB-2D15F55FB900} - \y8qEEDYWvv7Cbw383j4Vau -> Keine Datei <==== ACHTUNG
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
 

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

Task: C:\Windows\Tasks\OiU4I3rMXgM.job => C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe <==== ACHTUNG

Task: C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe <==== ACHTUNG
 

==================== Verknüpfungen =============================
 

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
 

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
 

2014-06-15 11:54 - 2012-08-31 15:03 - 00288768 _____ () C:\Windows\System32\HP1100LM.DLL

2014-06-05 16:42 - 2010-06-17 20:56 - 00087040 _____ () C:\Windows\System32\redmonnt.dll

2014-06-15 11:55 - 2012-08-31 15:02 - 00074240 _____ () C:\Windows\system32\spool\PRTPROCS\x64\HP1100PP.DLL

2013-11-01 11:46 - 2013-11-01 11:46 - 00214528 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Container.PerformanceTuning.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 00814592 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 03650560 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Platform.dll

2014-06-06 09:44 - 2016-05-24 09:51 - 00116416 _____ () C:\Program Files\Microsoft Office 15\ClientX64\ApiClient.dll

2013-11-01 11:46 - 2013-11-01 11:46 - 00102400 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Proxy.Native.dll

2016-02-13 12:51 - 2014-09-09 14:30 - 00603648 _____ () C:\Program Files\Zoner\Photo Studio 17\Program32\SpiderMonkey.dll
 

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
 
 

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
 
 

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
 
 

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
 
 

==================== Hosts Inhalt: ===============================
 

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
 

2009-07-14 04:34 - 2015-10-19 16:28 - 00000828 ____A C:\Windows\system32\Drivers\etc\hosts
 
 

==================== Andere Bereiche ============================
 

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
 

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Control Panel\Desktop\\Wallpaper -> C:\Users\****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

DNS Servers: 192.168.178.1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Windows Firewall ist aktiviert.
 

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
 
 

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

FirewallRules: [{9953F994-B195-4E7A-B0D4-8AF85BB15A10}] => (Allow) C:\Program files (x86)\raidxpert2\apache\bin\httpd.exe

FirewallRules: [{75755B2B-2D8D-4626-8BF7-409EF38237CC}] => (Allow) C:\Users\****\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe

FirewallRules: [{370D7732-133F-47A0-87BB-4C485DA0AD41}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{CF93DD83-D737-48B3-A18C-EB9C9084E126}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe

FirewallRules: [{EDE5E21A-6908-43CC-B637-6DB8ACB44953}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F0C7E402-FCE1-4522-BC66-DB5722E68475}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F7755498-107E-4233-B483-A7D591016373}] => (Allow) C:\Program Files\Zoner\Photo Studio 17\Program32\MediaServer.exe
 

==================== Wiederherstellungspunkte =========================
 

03-08-2016 12:48:41 Windows Update

08-08-2016 10:27:48 Windows Update

18-08-2016 16:59:42 Windows Update

26-08-2016 09:37:19 Windows Update

04-09-2016 12:38:04 Windows Update

04-09-2016 15:42:06 Windows Update

04-09-2016 19:44:47 Windows Update

08-09-2016 08:51:33 Windows Update

12-09-2016 13:40:04 Windows Update

21-09-2016 12:10:19 Windows Update

29-09-2016 09:37:34 Windows Update

07-10-2016 11:00:52 Windows Update
 

==================== Fehlerhafte Geräte im Gerätemanager =============
 

Name: Teredo Tunneling Pseudo-Interface

Description: Microsoft-Teredo-Tunneling-Adapter

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: Microsoft

Service: tunnel

Problem: : This device cannot start. (Code10)

Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.

On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
 
 

==================== Fehlereinträge in der Ereignisanzeige: =========================
 

Applikationsfehler:

==================

Error: (10/09/2016 06:39:06 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 06:19:15 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 06:14:14 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 02:45:33 PM) (Source: Application Hang) (EventID: 1002) (User: )

Description: Programm avscan.exe, Version 15.0.22.49 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.
 

Prozess-ID: 159c
 

Startzeit: 01d222245f98f1d5
 

Endzeit: 60000
 

Anwendungspfad: C:\program files (x86)\avira\antivirus\avscan.exe
 

Berichts-ID: 18498f7b-8e1e-11e6-893b-74d4357eb9f8
 

Error: (10/09/2016 01:32:39 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 11:39:48 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/07/2016 09:39:33 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/07/2016 11:01:49 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/05/2016 01:01:03 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/05/2016 12:39:24 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 
 

Systemfehler:

=============

Error: (10/09/2016 06:38:18 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: )

Description: Beim Aktualisieren der Signaturen wurde von Microsoft-Antischadsoftware ein Fehler festgestellt.
 

        Neue Signaturversion: 
 

        Vorherige Signaturversion: 1.229.1075.0
 

        Aktualisierungsquelle: Microsoft Update Server
 

        Aktualisierungsphase: Suchen
 

        Quellpfad: hxxp://www.microsoft.com
 

        Signaturtyp: AntiVirus
 

        Aktualisierungstyp: Vollständig
 

        Benutzer: NT-AUTORITÄT\SYSTEM
 

        Aktuelle Modulversion: 
 

        Vorherige Modulversion: 1.1.13103.0
 

        Fehlercode: 0x8024001e
 

        Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".
 

Error: (10/09/2016 06:18:12 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:12 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "Software Protection" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:12 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "Windows Search" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:11 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "Avira Service Host" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 10000 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:11 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "HP SI Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 1000 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:11 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Der Dienst "Microsoft Office-Klick-und-Los-Dienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.
 

Error: (10/09/2016 06:18:11 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "Skype Click to Call PNR Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (10/09/2016 06:18:11 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "Skype Click to Call Updater" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (10/09/2016 06:18:10 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
 

==================== Speicherinformationen =========================== 
 

Prozessor: AMD A8-5600K APU with Radeon(tm) HD Graphics 

Prozentuale Nutzung des RAM: 63%

Installierter physikalischer RAM: 3270.03 MB

Verfügbarer physikalischer RAM: 1201.16 MB

Summe virtueller Speicher: 6538.24 MB

Verfügbarer virtueller Speicher: 4360.63 MB
 

==================== Laufwerke ================================
 

Drive c: () (Fixed) (Total:223.47 GB) (Free:151.29 GB) NTFS
 

==================== MBR & Partitionstabelle ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 223.6 GB) (Disk ID: 4CDE736C)

Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=223.5 GB) - (Type=07 NTFS)
 

==================== Ende von Addition.txt ============================

FRST.txt

Code:

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-10-2016

durchgeführt von **** (Administrator) auf USER-PC (09-10-2016 18:43:09)

Gestartet von C:\Users\****\Downloads

Geladene Profile: **** (Verfügbare Profile: ****)

Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)

Internet Explorer Version 11 (Standard-Browser: FF)

Start-Modus: Normal

Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
 

==================== Prozesse (Nicht auf der Ausnahmeliste) =================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
 

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe

(AMD) C:\Windows\System32\atiesrxx.exe

(Logitech Inc.) C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe

(AMD) C:\Windows\System32\atieclxx.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\sched.exe

(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avguard.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe

(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX64\officeclicktorun.exe

(HP) C:\Windows\System32\HPSIsvc.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avshadow.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe

(Advanced Micro Devices, Inc.) C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe

(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe

(ZONER software) C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTray.exe

(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avgnt.exe

(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe

(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

(Microsoft Corporation) C:\Windows\System32\wbem\WMIADAP.exe
 
 

==================== Registry (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
 

HKLM\...\Run: [NUSB3MON] => C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe [97280 2012-04-11] (Advanced Micro Devices, Inc.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2013-12-13] (Realtek Semiconductor)

HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1340192 2016-01-29] (Microsoft Corporation)

HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [766208 2013-11-01] (Advanced Micro Devices, Inc.)

HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2013-03-14] (shbox.de)

HKLM-x32\...\Run: [Avira SystrayStartTrigger] => C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe [60136 2016-09-09] (Avira Operations GmbH & Co. KG)

HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [917584 2016-09-27] (Avira Operations GmbH & Co. KG)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [HydraVisionDesktopManager] => C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe [389120 2013-11-01] (AMD)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [Zoner Photo Studio Autoupdate] => C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTRAY.EXE [563416 2015-07-12] (ZONER software)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: E - E:\SISetup.exe

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: {ad290ecd-f169-11e3-917f-806e6f6e6963} - F:\SISetup.exe
 

==================== Internet (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
 

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

Tcpip\..\Interfaces\{7505CBA0-AB60-405B-86D6-EE7FED2226E7}: [DhcpNameServer] 192.168.178.1
 

Internet Explorer:

==================

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131204857259016678&GUID=EC93C3DD-F536-4795-808C-7F15CA2F92FE

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> DefaultScope {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll [2016-08-16] (Microsoft Corporation)

BHO: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files\AMD\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\GROOVEEX.DLL [2016-08-16] (Microsoft Corporation)

BHO-x32: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\ssv.dll [2015-01-21] (Oracle Corporation)

BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\jp2ssv.dll [2015-01-21] (Oracle Corporation)

DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2016-04-20] (Microsoft Corporation)

Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

Handler-x32: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)
 

FireFox:

========

FF ProfilePath: C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default [2016-10-09]

FF Homepage: Mozilla\Firefox\Profiles\y1tzaaes.default -> hxxps://www.google.de/?gws_rd=ssl

FF Extension: (Kein Name) - C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default\Extensions\abs@avira.com [2016-10-09]

FF Extension: (Skype) - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2016-05-25]

FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension

FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [ist nicht signiert]

FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_162.dll [2016-09-14] ()

FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_162.dll [2016-09-14] ()

FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1211151.dll [2014-04-15] (Adobe Systems, Inc.)

FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\plugin2\npjp2.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2014-06-06] (Microsoft Corporation)

FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-06-30] (Adobe Systems Inc.)

FF Plugin HKU\S-1-5-21-1489978219-3511543988-2120407459-1002: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\****\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2015-12-17] (Unity Technologies ApS)
 

Chrome: 

=======

CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
 

==================== Dienste (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2013-11-01] (Advanced Micro Devices, Inc.) [Datei ist nicht signiert]

S2 AntiVirMailService; C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe [1086040 2016-09-27] (Avira Operations GmbH & Co. KG)

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\Antivirus\sched.exe [475232 2016-09-27] (Avira Operations GmbH & Co. KG)

R2 AntiVirService; C:\Program Files (x86)\Avira\Antivirus\avguard.exe [475232 2016-09-27] (Avira Operations GmbH & Co. KG)

S2 AntiVirWebService; C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe [1489240 2016-09-27] (Avira Operations GmbH & Co. KG)

R2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [345416 2016-09-09] (Avira Operations GmbH & Co. KG)

R2 c2cautoupdatesvc; C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [1364096 2016-05-25] (Microsoft Corporation)

R2 c2cpnrsvc; C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [1687680 2016-05-25] (Microsoft Corporation)

R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe [3192560 2016-07-26] (Microsoft Corporation)

R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation)

R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation)

S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
 

===================== Treiber (Nicht auf der Ausnahmeliste) ======================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AODDriver4.2.0; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59648 2013-09-19] (Advanced Micro Devices)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [177432 2016-09-27] (Avira Operations GmbH & Co. KG)

R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [145536 2016-09-27] (Avira Operations GmbH & Co. KG)

R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2016-09-27] (Avira Operations GmbH & Co. KG)

R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [79696 2016-09-27] (Avira Operations GmbH & Co. KG)

R0 avusbflt; C:\Windows\System32\Drivers\avusbflt.sys [31720 2016-09-27] (Avira Operations GmbH & Co. KG)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)

R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [289120 2015-11-13] (Microsoft Corporation)

S3 mvusbews; C:\Windows\System32\Drivers\mvusbews.sys [20480 2012-12-24] (Marvell Semiconductor, Inc.)

R3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [133816 2015-11-13] (Microsoft Corporation)
 

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Ein Monat: Erstellte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-09 18:21 - 2016-10-09 18:21 - 00001106 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

2016-10-09 18:21 - 2016-10-09 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware

2016-10-09 18:21 - 2016-10-09 18:21 - 00000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Malware

2016-10-09 18:21 - 2016-03-10 14:09 - 00064896 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys

2016-10-09 18:21 - 2016-03-10 14:08 - 00027008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys

2016-10-09 18:20 - 2016-10-09 18:21 - 22851472 _____ (Malwarebytes ) C:\Users\****\Downloads\mbam-setup-2.2.1.1043.exe

2016-10-09 18:15 - 2016-10-09 18:18 - 00000000 ____D C:\AdwCleaner

2016-10-09 18:15 - 2016-10-09 18:15 - 03874368 _____ C:\Users\****\Downloads\AdwCleaner_6.021.exe

2016-10-09 14:47 - 2016-10-09 14:47 - 00009830 _____ C:\Users\****\Desktop\Ereignisse.txt

2016-10-09 13:56 - 2016-10-09 13:56 - 00000000 ____D C:\Users\****\AppData\Roaming\Avira

2016-10-09 13:55 - 2016-09-27 14:19 - 00177432 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys

2016-10-09 13:55 - 2016-09-27 14:19 - 00145536 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys

2016-10-09 13:55 - 2016-09-27 14:19 - 00079696 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys

2016-10-09 13:55 - 2016-09-27 14:19 - 00031720 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avusbflt.sys

2016-10-09 13:55 - 2016-09-27 14:19 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys

2016-10-09 13:49 - 2016-10-09 13:55 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira

2016-10-09 13:49 - 2016-10-09 13:55 - 00000000 ____D C:\ProgramData\Avira

2016-10-09 13:49 - 2016-10-09 13:55 - 00000000 ____D C:\Program Files (x86)\Avira

2016-10-09 13:49 - 2016-10-09 13:49 - 04443608 _____ (Avira Operations GmbH & Co. KG) C:\Users\****\Downloads\avira_de_av_57fa1df4c6029__ws(1).exe

2016-10-09 13:49 - 2016-10-09 13:49 - 00001214 _____ C:\Users\Public\Desktop\Avira Launcher.lnk

2016-10-09 13:46 - 2016-10-09 18:43 - 00015404 _____ C:\Users\****\Downloads\FRST.txt

2016-10-09 13:46 - 2016-10-09 18:43 - 00000000 ____D C:\FRST

2016-10-09 13:46 - 2016-10-09 13:47 - 00025989 _____ C:\Users\****\Downloads\Addition.txt

2016-10-09 13:45 - 2016-10-09 13:45 - 02405376 _____ (Farbar) C:\Users\****\Downloads\FRST64.exe

2016-10-09 13:32 - 2016-10-09 18:23 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys

2016-10-09 13:32 - 2016-10-09 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes

2016-10-09 13:32 - 2016-10-09 16:07 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)

2016-10-09 13:25 - 2016-10-09 16:07 - 00000000 ____D C:\Users\****\Desktop\mbar

2016-10-09 13:25 - 2016-03-10 14:08 - 00140672 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys

2016-10-09 13:18 - 2016-10-09 13:19 - 16563352 _____ (Malwarebytes Corp.) C:\Users\****\Downloads\mbar-1.09.3.1001.exe

2016-10-09 12:48 - 2016-10-09 12:48 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf

2016-10-09 12:38 - 2016-10-09 12:38 - 04443608 _____ (Avira Operations GmbH & Co. KG) C:\Users\****\Downloads\avira_de_av_57fa1df4c6029__ws.exe

2016-10-03 11:05 - 2016-10-03 11:05 - 00028480 _____ C:\Users\****\Downloads\Protokoll 28.9.16.pdf

2016-09-27 12:32 - 2016-09-29 17:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
 

==================== Ein Monat: Geänderte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-09 18:39 - 2014-06-20 12:33 - 00000000 ____D C:\Users\****\AppData\Local\FreePDF_XP

2016-10-09 18:38 - 2015-10-19 14:16 - 00001032 _____ C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job

2016-10-09 18:38 - 2015-10-19 14:16 - 00001010 _____ C:\Windows\Tasks\OiU4I3rMXgM.job

2016-10-09 18:38 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT

2016-10-09 18:38 - 2009-07-14 06:45 - 00000000 ____D C:\Windows\ServiceProfiles

2016-10-09 18:27 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2016-10-09 18:27 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2016-10-09 18:23 - 2011-04-12 09:43 - 00699092 _____ C:\Windows\system32\perfh007.dat

2016-10-09 18:23 - 2011-04-12 09:43 - 00149232 _____ C:\Windows\system32\perfc007.dat

2016-10-09 18:23 - 2009-07-14 07:13 - 01619284 _____ C:\Windows\system32\PerfStringBackup.INI

2016-10-09 18:23 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf

2016-10-09 18:18 - 2015-10-19 14:07 - 00000008 __RSH C:\ProgramData\ntuser.pol

2016-10-09 15:50 - 2015-11-25 21:56 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job

2016-10-09 13:49 - 2014-06-05 13:06 - 00000000 ____D C:\ProgramData\Package Cache

2016-10-09 13:26 - 2014-06-06 10:26 - 00000000 ____D C:\Users\****\AppData\Roaming\Skype

2016-10-07 12:31 - 2014-06-11 22:12 - 00000000 ____D C:\Users\****\Documents\Barbara

2016-09-30 22:08 - 2014-12-26 12:21 - 00004476 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task

2016-09-29 17:57 - 2014-06-06 09:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service

2016-09-22 17:29 - 2014-06-06 09:48 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft

2016-09-22 17:29 - 2014-06-06 09:44 - 00000000 ____D C:\Program Files\Microsoft Office 15

2016-09-16 12:35 - 2016-03-15 17:15 - 00000000 ____D C:\Users\****\AppData\Local\CrashDumps

2016-09-14 10:50 - 2015-11-25 21:56 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2016-09-14 10:50 - 2015-11-25 21:56 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2016-09-14 10:50 - 2015-11-25 21:56 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\SysWOW64\Macromed

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\system32\Macromed
 

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
 

2015-10-20 11:14 - 2015-10-20 11:14 - 0000000 _____ () C:\Users\****\AppData\Local\ars.cache

2015-10-20 11:14 - 2015-10-20 11:14 - 0003624 _____ () C:\Users\****\AppData\Local\census.cache

2015-10-19 16:35 - 2015-10-19 16:35 - 0000036 _____ () C:\Users\****\AppData\Local\housecall.guid.cache
 

Einige Dateien in TEMP:

====================

C:\Users\****\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-8u31-windows-au.exe

C:\Users\****\AppData\Local\Temp\libeay32.dll

C:\Users\****\AppData\Local\Temp\msvcr120.dll

C:\Users\****\AppData\Local\Temp\Quarantine.exe

C:\Users\****\AppData\Local\Temp\sqlite3.dll
 
 

==================== Bamital & volsnap ======================
 

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
 

C:\Windows\system32\winlogon.exe => Datei ist digital signiert

C:\Windows\system32\wininit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert

C:\Windows\explorer.exe => Datei ist digital signiert

C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert

C:\Windows\system32\svchost.exe => Datei ist digital signiert

C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert

C:\Windows\system32\services.exe => Datei ist digital signiert

C:\Windows\system32\User32.dll => Datei ist digital signiert

C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert

C:\Windows\system32\userinit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert

C:\Windows\system32\rpcss.dll => Datei ist digital signiert

C:\Windows\system32\dnsapi.dll => Datei ist digital signiert

C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert

C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
 
 

LastRegBack: 2016-09-12 14:04
 

==================== Ende von FRST.txt ============================

Vielen Dank nochmal für die Hilfe am Sonntag!

Bitte Avira deinstallieren. Ein Antivirusprogramm reicht.

Jetzt bitte Suchscan durchführen:

Schritt 1

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Vielen Dank weiterhin für die Hilfe. Und mit diesen Anleitungen hätte meine Mutter den PC auch selbst wieder hinbekommen (Thumbs up!)

AntiVir ist deinstalliert, hier nun der Logfile des Scans:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# EOSSerial=1c360d446498d543a4e2d857526552a7

# end=init

# utc_time=2016-10-10 05:54:08

# local_time=2016-10-10 07:54:08 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# osver=6.1.7601 NT Service Pack 1

Update Init

Update Download

Update Finalize

Updated modules version: 31030

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# EOSSerial=1c360d446498d543a4e2d857526552a7

# end=updated

# utc_time=2016-10-10 05:57:22

# local_time=2016-10-10 07:57:22 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# osver=6.1.7601 NT Service Pack 1

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7777

# api_version=3.1.1

# EOSSerial=1c360d446498d543a4e2d857526552a7

# engine=31030

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2016-10-10 06:30:05

# local_time=2016-10-10 08:30:05 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode_1='Microsoft Security Essentials'

# compatibility_mode=5895 16777213 100 100 19864760 99108199 0 0

# scanned=193684

# found=5

# cleaned=0

# scan_time=1963

sh=B7931F157C9C436E9E8FA773A33AAEF3618F140E ft=1 fh=60b5d51a240a61dd vn="Variante von Win32/Packed.ScrambleWrapper.O evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JP9W3P7\quick_run[1].exe"

sh=6292DF113E6C12D761507446B104A93ED1D34440 ft=1 fh=a93c6210fd73621d vn="Variante von MSIL/Adware.Imali.C Anwendung" ac=I fn="C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5AKVVRAV\SilentInstaller_dotnet4[1].exe"

sh=551DA6E60D14967E46A5B35026AFB1E0572CCE2C ft=1 fh=196d7561c00dba3f vn="Variante von Win32/ClientConnect.A evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UI4T73AR\Setup[1].exe"

sh=F43DC2757D89158E061EB109C3D4B450C9EDA155 ft=1 fh=f0ef89835c075e10 vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\****\AppData\Local\Temp\DMR\dmr_72.exe"

sh=569E7F2C963BF29D97DB32167A5BA26952ABE741 ft=1 fh=ff153d3a8fc8e8f7 vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\****\Downloads\SpyBot Search Destroy - CHIP-Installer.exe"

Post bitte nicht weiter beachten, bzw. löschen. ESET ist entfernt

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Gehe ich recht in der Annahme das ich die im ESET-Scan genannten Dateien noch entfernen muss? Oder wurde das schon im Rahmen des Scans gemacht und der PC ist jetzt sauber? Hab bis jetzt ja noch kein clean (inklusive Thumbsup-Emoji) bekommen ;)

Und welchen Virenscanner empfiehlst Du denn statt Antivir?

ESET-Funde werden falls relevant am Ende gelöscht. Wenn es keine Probleme mehr gibt, dann bitte frische Logs:

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Guten Morgen,

Hier nun die Logs

FRST.txt

Code:

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 10-10-2016

durchgeführt von **** (Administrator) auf USER-PC (13-10-2016 08:04:03)

Gestartet von C:\Users\****\Downloads

Geladene Profile: **** (Verfügbare Profile: ****)

Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)

Internet Explorer Version 11 (Standard-Browser: FF)

Start-Modus: Normal

Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
 

==================== Prozesse (Nicht auf der Ausnahmeliste) =================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
 

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe

(AMD) C:\Windows\System32\atiesrxx.exe

(Logitech Inc.) C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe

(AMD) C:\Windows\System32\atieclxx.exe

(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe

(Microsoft Corporation) C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe

(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX64\officeclicktorun.exe

(HP) C:\Windows\System32\HPSIsvc.exe

(Skype Technologies) C:\Program Files (x86)\Skype\Updater\Updater.exe

(Advanced Micro Devices, Inc.) C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe

(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe

(ZONER software) C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTray.exe

(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe

(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

(AMD) C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe

(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
 
 

==================== Registry (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
 

HKLM\...\Run: [NUSB3MON] => C:\Program Files (x86)\ATI Technologies\AMDUSB3DeviceDetector\nusb3mon.exe [97280 2012-04-11] (Advanced Micro Devices, Inc.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2013-12-13] (Realtek Semiconductor)

HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1340192 2016-01-29] (Microsoft Corporation)

HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [766208 2013-11-01] (Advanced Micro Devices, Inc.)

HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2013-03-14] (shbox.de)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [HydraVisionDesktopManager] => C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe [389120 2013-11-01] (AMD)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\Run: [Zoner Photo Studio Autoupdate] => C:\Program Files\Zoner\Photo Studio 17\Program32\ZPSTRAY.EXE [563416 2015-07-12] (ZONER software)

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: E - E:\SISetup.exe

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\MountPoints2: {ad290ecd-f169-11e3-917f-806e6f6e6963} - F:\SISetup.exe
 

==================== Internet (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
 

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

Tcpip\..\Interfaces\{7505CBA0-AB60-405B-86D6-EE7FED2226E7}: [DhcpNameServer] 192.168.178.1
 

Internet Explorer:

==================

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131204857259016678&GUID=EC93C3DD-F536-4795-808C-7F15CA2F92FE

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> DefaultScope {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

SearchScopes: HKU\S-1-5-21-1489978219-3511543988-2120407459-1002 -> {E934ACCC-9B3C-4B59-8335-8D75C5450804} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll [2016-08-16] (Microsoft Corporation)

BHO: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files\AMD\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\GROOVEEX.DLL [2016-08-16] (Microsoft Corporation)

BHO-x32: SteadyVideoBHO Class -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll [2012-02-14] (Advanced Micro Devices)

BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\ssv.dll [2015-01-21] (Oracle Corporation)

BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL [2016-08-09] (Microsoft Corporation)

BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\jp2ssv.dll [2015-01-21] (Oracle Corporation)

DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL [2016-04-20] (Microsoft Corporation)

Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll [2016-05-25] (Microsoft Corporation)

Handler-x32: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2016-05-25] (Microsoft Corporation)

Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)

Filter-x32: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll [2011-06-08] (Advanced Micro Devices)
 

FireFox:

========

FF ProfilePath: C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default [2016-10-13]

FF Homepage: Mozilla\Firefox\Profiles\y1tzaaes.default -> hxxps://www.google.de/?gws_rd=ssl

FF Extension: (Avira Browser Safety) - C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\y1tzaaes.default\Extensions\abs@avira.com.xpi [2016-10-10]

FF Extension: (Skype) - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2016-05-25]

FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension

FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [ist nicht signiert]

FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_162.dll [2016-09-14] ()

FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_162.dll [2016-09-14] ()

FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1211151.dll [2014-04-15] (Adobe Systems, Inc.)

FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\plugin2\npjp2.dll [2015-01-21] (Oracle Corporation)

FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.50428.0\npctrl.dll [2016-04-27] ( Microsoft Corporation)

FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2014-06-06] (Microsoft Corporation)

FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-10-01] (Adobe Systems Inc.)

FF Plugin HKU\S-1-5-21-1489978219-3511543988-2120407459-1002: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\****\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2015-12-17] (Unity Technologies ApS)
 

Chrome: 

=======

CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
 

==================== Dienste (Nicht auf der Ausnahmeliste) ====================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2013-11-01] (Advanced Micro Devices, Inc.) [Datei ist nicht signiert]

R2 c2cautoupdatesvc; C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [1364096 2016-05-25] (Microsoft Corporation)

R2 c2cpnrsvc; C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [1687680 2016-05-25] (Microsoft Corporation)

R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe [3192560 2016-07-26] (Microsoft Corporation)

R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23808 2016-01-29] (Microsoft Corporation)

R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [374344 2016-01-29] (Microsoft Corporation)

S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)
 

===================== Treiber (Nicht auf der Ausnahmeliste) ======================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

R2 AODDriver4.2.0; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59648 2013-09-19] (Advanced Micro Devices)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)

R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [289120 2015-11-13] (Microsoft Corporation)

S3 mvusbews; C:\Windows\System32\Drivers\mvusbews.sys [20480 2012-12-24] (Marvell Semiconductor, Inc.)

R3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [133816 2015-11-13] (Microsoft Corporation)
 

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Ein Monat: Erstellte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-13 08:03 - 2016-10-13 08:03 - 00000000 ____D C:\Users\****\Downloads\FRST-OlderVersion

2016-10-10 19:53 - 2016-10-10 19:53 - 02870984 _____ (ESET) C:\Users\****\Downloads\esetsmartinstaller_deu.exe

2016-10-09 18:47 - 2016-10-09 18:47 - 00003730 _____ C:\Users\****\Desktop\Avira.txt

2016-10-09 18:21 - 2016-10-09 18:21 - 00001106 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

2016-10-09 18:21 - 2016-10-09 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware

2016-10-09 18:21 - 2016-10-09 18:21 - 00000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Malware

2016-10-09 18:21 - 2016-03-10 14:09 - 00064896 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys

2016-10-09 18:21 - 2016-03-10 14:08 - 00027008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys

2016-10-09 18:20 - 2016-10-09 18:21 - 22851472 _____ (Malwarebytes ) C:\Users\****\Downloads\mbam-setup-2.2.1.1043.exe

2016-10-09 18:15 - 2016-10-09 18:18 - 00000000 ____D C:\AdwCleaner

2016-10-09 18:15 - 2016-10-09 18:15 - 03874368 _____ C:\Users\****\Downloads\AdwCleaner_6.021.exe

2016-10-09 14:47 - 2016-10-09 14:47 - 00009830 _____ C:\Users\****\Desktop\Ereignisse.txt

2016-10-09 13:49 - 2016-10-12 19:35 - 00000000 ____D C:\Program Files (x86)\Avira

2016-10-09 13:49 - 2016-10-09 13:49 - 04443608 _____ (Avira Operations GmbH & Co. KG) C:\Users\****\Downloads\avira_de_av_57fa1df4c6029__ws(1).exe

2016-10-09 13:46 - 2016-10-13 08:04 - 00013427 _____ C:\Users\****\Downloads\FRST.txt

2016-10-09 13:46 - 2016-10-13 08:04 - 00000000 ____D C:\FRST

2016-10-09 13:46 - 2016-10-09 18:44 - 00022009 _____ C:\Users\****\Downloads\Addition.txt

2016-10-09 13:45 - 2016-10-13 08:03 - 02407424 _____ (Farbar) C:\Users\****\Downloads\FRST64.exe

2016-10-09 13:32 - 2016-10-09 18:51 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys

2016-10-09 13:32 - 2016-10-09 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes

2016-10-09 13:32 - 2016-10-09 16:07 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)

2016-10-09 13:25 - 2016-10-09 16:07 - 00000000 ____D C:\Users\****\Desktop\mbar

2016-10-09 13:25 - 2016-03-10 14:08 - 00140672 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys

2016-10-09 13:18 - 2016-10-09 13:19 - 16563352 _____ (Malwarebytes Corp.) C:\Users\****\Downloads\mbar-1.09.3.1001.exe

2016-10-09 12:48 - 2016-10-09 12:48 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf

2016-10-09 12:38 - 2016-10-09 12:38 - 04443608 _____ (Avira Operations GmbH & Co. KG) C:\Users\****\Downloads\avira_de_av_57fa1df4c6029__ws.exe

2016-10-03 11:05 - 2016-10-03 11:05 - 00028480 _____ C:\Users\****\Downloads\Protokoll 28.9.16.pdf

2016-09-27 12:32 - 2016-09-29 17:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
 

==================== Ein Monat: Geänderte Dateien und Ordner ========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
 

2016-10-13 08:02 - 2015-10-19 14:16 - 00001032 _____ C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job

2016-10-13 08:02 - 2015-10-19 14:16 - 00001010 _____ C:\Windows\Tasks\OiU4I3rMXgM.job

2016-10-13 08:02 - 2014-06-20 12:33 - 00000000 ____D C:\Users\****\AppData\Local\FreePDF_XP

2016-10-13 08:02 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT

2016-10-12 19:42 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2016-10-12 19:42 - 2009-07-14 06:45 - 00028912 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2016-10-12 19:40 - 2015-08-20 10:43 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk

2016-10-12 19:40 - 2014-12-26 12:21 - 00004476 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task

2016-10-12 19:40 - 2011-04-12 09:43 - 00699092 _____ C:\Windows\system32\perfh007.dat

2016-10-12 19:40 - 2011-04-12 09:43 - 00149232 _____ C:\Windows\system32\perfc007.dat

2016-10-12 19:40 - 2009-07-14 07:13 - 01619284 _____ C:\Windows\system32\PerfStringBackup.INI

2016-10-12 19:40 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf

2016-10-10 19:53 - 2014-06-05 13:06 - 00000000 ____D C:\ProgramData\Package Cache

2016-10-10 19:51 - 2015-11-25 21:56 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job

2016-10-09 18:38 - 2009-07-14 06:45 - 00000000 ____D C:\Windows\ServiceProfiles

2016-10-09 18:18 - 2015-10-19 14:07 - 00000008 __RSH C:\ProgramData\ntuser.pol

2016-10-09 13:26 - 2014-06-06 10:26 - 00000000 ____D C:\Users\****\AppData\Roaming\Skype

2016-10-07 12:31 - 2014-06-11 22:12 - 00000000 ____D C:\Users\****\Documents\Barbara

2016-09-29 17:57 - 2014-06-06 09:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service

2016-09-22 17:29 - 2014-06-06 09:48 - 00000000 ____D C:\ProgramData\regid.1991-06.com.microsoft

2016-09-22 17:29 - 2014-06-06 09:44 - 00000000 ____D C:\Program Files\Microsoft Office 15

2016-09-16 12:35 - 2016-03-15 17:15 - 00000000 ____D C:\Users\****\AppData\Local\CrashDumps

2016-09-14 10:50 - 2015-11-25 21:56 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2016-09-14 10:50 - 2015-11-25 21:56 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2016-09-14 10:50 - 2015-11-25 21:56 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\SysWOW64\Macromed

2016-09-14 10:50 - 2014-06-05 16:30 - 00000000 ____D C:\Windows\system32\Macromed
 

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
 

2015-10-20 11:14 - 2015-10-20 11:14 - 0000000 _____ () C:\Users\****\AppData\Local\ars.cache

2015-10-20 11:14 - 2015-10-20 11:14 - 0003624 _____ () C:\Users\****\AppData\Local\census.cache

2015-10-19 16:35 - 2015-10-19 16:35 - 0000036 _____ () C:\Users\****\AppData\Local\housecall.guid.cache
 

Einige Dateien in TEMP:

====================

C:\Users\****\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe

C:\Users\****\AppData\Local\Temp\jre-8u31-windows-au.exe

C:\Users\****\AppData\Local\Temp\libeay32.dll

C:\Users\****\AppData\Local\Temp\msvcr120.dll

C:\Users\****\AppData\Local\Temp\Quarantine.exe

C:\Users\****\AppData\Local\Temp\sqlite3.dll
 
 

==================== Bamital & volsnap ======================
 

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
 

C:\Windows\system32\winlogon.exe => Datei ist digital signiert

C:\Windows\system32\wininit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert

C:\Windows\explorer.exe => Datei ist digital signiert

C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert

C:\Windows\system32\svchost.exe => Datei ist digital signiert

C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert

C:\Windows\system32\services.exe => Datei ist digital signiert

C:\Windows\system32\User32.dll => Datei ist digital signiert

C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert

C:\Windows\system32\userinit.exe => Datei ist digital signiert

C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert

C:\Windows\system32\rpcss.dll => Datei ist digital signiert

C:\Windows\system32\dnsapi.dll => Datei ist digital signiert

C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert

C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
 
 

LastRegBack: 2016-09-12 14:04
 

==================== Ende von FRST.txt ============================

Addition.txt

Code:

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10-10-2016

durchgeführt von **** (13-10-2016 08:04:26)

Gestartet von C:\Users\****\Downloads

Windows 7 Home Premium Service Pack 1 (X64) (2014-06-05 10:57:20)

Start-Modus: Normal

==========================================================
 
 

==================== Konten: =============================
 

Administrator (S-1-5-21-1489978219-3511543988-2120407459-500 - Administrator - Disabled)

**** (S-1-5-21-1489978219-3511543988-2120407459-1002 - Administrator - Enabled) => C:\Users\****

Gast (S-1-5-21-1489978219-3511543988-2120407459-501 - Limited - Disabled)
 

==================== Sicherheits-Center ========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
 

AV: Microsoft Security Essentials (Enabled - Up to date) {768124D7-F5F7-6D2F-DDC2-94DFA4017C95}

AS: Microsoft Security Essentials (Enabled - Up to date) {CDE0C533-D3CD-62A1-E772-AFADDF863628}

AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 

==================== Installierte Programme ======================
 

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
 

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.020.20039 - Adobe Systems Incorporated)

Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 13.0.0.111 - Adobe Systems Incorporated)

Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.162 - Adobe Systems Incorporated)

Adobe Shockwave Player 12.1 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.1.1.151 - Adobe Systems, Inc.)

AMD Catalyst Install Manager (HKLM\...\{76E8353E-9CE9-ED86-8631-7FBE17A17C31}) (Version: 8.0.915.0 - Advanced Micro Devices, Inc.)

FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )

GPL Ghostscript (HKLM\...\GPL Ghostscript 9.07) (Version: 9.07 - Artifex Software Inc.)

HP LaserJet Professional P1100-P1560-P1600 Series (HKLM\...\HP LaserJet Professional P1100-P1560-P1600 Series) (Version:  - )

HydraVision (x32 Version: 4.2.252.0 - Advanced Micro Devices, Inc.) Hidden

Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)

Microsoft Office Home and Student 2013 - de-de (HKLM\...\HomeStudentRetail - de-de) (Version: 15.0.4859.1002 - Microsoft Corporation)

Microsoft OneDrive (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\OneDriveSetup.exe) (Version: 17.0.4023.1211 - Microsoft Corporation)

Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.9.218.0 - Microsoft Corporation)

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50428.0 - Microsoft Corporation)

Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)

Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)

Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)

Mozilla Firefox 49.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 49.0.1 (x86 de)) (Version: 49.0.1 - Mozilla)

Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 49.0.1.6109 - Mozilla)

Office 15 Click-to-Run Extensibility Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Licensing Component (Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Office 15 Click-to-Run Localization Component (x32 Version: 15.0.4859.1002 - Microsoft Corporation) Hidden

Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.82.317.2014 - Realtek)

Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7106 - Realtek Semiconductor Corp.)

RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version:  - )

Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 8.3.0.9150 - Microsoft Corporation)

Skype™ 7.18 (HKLM-x32\...\{FC965A47-4839-40CA-B618-18F486F042C6}) (Version: 7.18.112 - Skype Technologies S.A.)

swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden

Unity Web Player (HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\...\UnityWebPlayer) (Version: 5.3.1f1 - Unity Technologies ApS)

WinRAR 5.01 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.01.0 - win.rar GmbH)
 

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 
 

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

Task: {7D7BD082-F568-4851-957A-28F7AC566514} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {A300AED3-EC1E-4D98-B013-581F8ECF5E1A} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe [2016-07-26] (Microsoft Corporation)

Task: {ADE9974E-1DC0-42DE-9AEE-253713621360} - \OiU4I3rMXgM -> Keine Datei <==== ACHTUNG

Task: {AE600C85-6840-4BB0-8A2B-17BADC972A43} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-14] (Adobe Systems Incorporated)

Task: {C58B96E8-0166-454D-9D68-99768BC15CD2} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-16] (Adobe Systems Incorporated)

Task: {CEAD94A9-4626-43B5-B7CB-2D15F55FB900} - \y8qEEDYWvv7Cbw383j4Vau -> Keine Datei <==== ACHTUNG
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
 

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

Task: C:\Windows\Tasks\OiU4I3rMXgM.job => C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe <==== ACHTUNG

Task: C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe <==== ACHTUNG
 

==================== Verknüpfungen =============================
 

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
 

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
 

2014-06-15 11:54 - 2012-08-31 15:03 - 00288768 _____ () C:\Windows\System32\HP1100LM.DLL

2014-06-05 16:42 - 2010-06-17 20:56 - 00087040 _____ () C:\Windows\System32\redmonnt.dll

2014-06-15 11:55 - 2012-08-31 15:02 - 00074240 _____ () C:\Windows\system32\spool\PRTPROCS\x64\HP1100PP.DLL

2014-06-15 11:54 - 2012-08-31 15:03 - 03034112 _____ () C:\Windows\system32\spool\DRIVERS\x64\3\hp1100su.dll

2014-06-15 11:54 - 2012-08-31 15:02 - 01038336 _____ () C:\Windows\system32\spool\DRIVERS\x64\3\HP1100GC.dll

2013-11-01 11:46 - 2013-11-01 11:46 - 00214528 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Container.PerformanceTuning.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 00814592 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll

2013-07-26 05:59 - 2013-07-26 05:59 - 03650560 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Platform.dll

2014-06-06 09:44 - 2016-05-24 09:51 - 00116416 _____ () C:\Program Files\Microsoft Office 15\ClientX64\ApiClient.dll

2013-11-01 11:46 - 2013-11-01 11:46 - 00102400 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Proxy.Native.dll

2016-02-13 12:51 - 2014-09-09 14:30 - 00603648 _____ () C:\Program Files\Zoner\Photo Studio 17\Program32\SpiderMonkey.dll
 

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
 
 

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
 
 

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
 
 

==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
 
 

==================== Hosts Inhalt: ===============================
 

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
 

2009-07-14 04:34 - 2015-10-19 16:28 - 00000828 ____A C:\Windows\system32\Drivers\etc\hosts
 
 

==================== Andere Bereiche ============================
 

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
 

HKU\S-1-5-21-1489978219-3511543988-2120407459-1002\Control Panel\Desktop\\Wallpaper -> C:\Users\****\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

DNS Servers: 192.168.178.1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Windows Firewall ist aktiviert.
 

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
 
 

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
 

FirewallRules: [{9953F994-B195-4E7A-B0D4-8AF85BB15A10}] => (Allow) C:\Program files (x86)\raidxpert2\apache\bin\httpd.exe

FirewallRules: [{75755B2B-2D8D-4626-8BF7-409EF38237CC}] => (Allow) C:\Users\****\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe

FirewallRules: [{370D7732-133F-47A0-87BB-4C485DA0AD41}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{CF93DD83-D737-48B3-A18C-EB9C9084E126}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe

FirewallRules: [{EDE5E21A-6908-43CC-B637-6DB8ACB44953}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F0C7E402-FCE1-4522-BC66-DB5722E68475}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

FirewallRules: [{F7755498-107E-4233-B483-A7D591016373}] => (Allow) C:\Program Files\Zoner\Photo Studio 17\Program32\MediaServer.exe
 

==================== Wiederherstellungspunkte =========================
 

03-08-2016 12:48:41 Windows Update

08-08-2016 10:27:48 Windows Update

18-08-2016 16:59:42 Windows Update

26-08-2016 09:37:19 Windows Update

04-09-2016 12:38:04 Windows Update

04-09-2016 15:42:06 Windows Update

04-09-2016 19:44:47 Windows Update

08-09-2016 08:51:33 Windows Update

12-09-2016 13:40:04 Windows Update

21-09-2016 12:10:19 Windows Update

29-09-2016 09:37:34 Windows Update

07-10-2016 11:00:52 Windows Update
 

==================== Fehlerhafte Geräte im Gerätemanager =============
 

Name: Teredo Tunneling Pseudo-Interface

Description: Microsoft-Teredo-Tunneling-Adapter

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: Microsoft

Service: tunnel

Problem: : This device cannot start. (Code10)

Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.

On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
 
 

==================== Fehlereinträge in der Ereignisanzeige: =========================
 

Applikationsfehler:

==================

Error: (10/13/2016 08:03:51 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/13/2016 08:03:35 AM) (Source: SideBySide) (EventID: 80) (User: )

Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Users\****\Downloads\esetsmartinstaller_deu.exe". Fehler in

Manifest- oder Richtliniendatei "" in Zeile .

Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit

einer anderen, bereits aktiven Komponentenversion.

In Konflikt stehende Komponenten:.

Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.

Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
 

Error: (10/12/2016 07:37:48 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/10/2016 08:30:33 PM) (Source: SideBySide) (EventID: 80) (User: )

Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Program Files (x86)\ESET\ESET Online Scanner\ESETSmartInstaller.exe". Fehler in

Manifest- oder Richtliniendatei "" in Zeile .

Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit

einer anderen, bereits aktiven Komponentenversion.

In Konflikt stehende Komponenten:.

Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.

Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
 

Error: (10/10/2016 07:55:01 PM) (Source: SideBySide) (EventID: 80) (User: )

Description: Fehler beim Generieren des Aktivierungskontexts für "c:\users\****\downloads\esetsmartinstaller_deu.exe". Fehler in

Manifest- oder Richtliniendatei "" in Zeile .

Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit

einer anderen, bereits aktiven Komponentenversion.

In Konflikt stehende Komponenten:.

Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.

Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
 

Error: (10/10/2016 07:53:58 PM) (Source: SideBySide) (EventID: 80) (User: )

Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Users\****\Downloads\esetsmartinstaller_deu.exe". Fehler in

Manifest- oder Richtliniendatei "" in Zeile .

Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit

einer anderen, bereits aktiven Komponentenversion.

In Konflikt stehende Komponenten:.

Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.

Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
 

Error: (10/10/2016 07:53:55 PM) (Source: SideBySide) (EventID: 80) (User: )

Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Users\****\Downloads\esetsmartinstaller_deu.exe". Fehler in

Manifest- oder Richtliniendatei "" in Zeile .

Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit

einer anderen, bereits aktiven Komponentenversion.

In Konflikt stehende Komponenten:.

Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757.manifest.

Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d.manifest.
 

Error: (10/09/2016 06:39:06 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 06:19:15 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 

Error: (10/09/2016 06:14:14 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
 
 

Systemfehler:

=============

Error: (10/10/2016 07:57:13 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Treiber konnte nicht geladen werden.
 

Error: (10/10/2016 07:57:13 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\BB283~1.CRA\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.
 

Error: (10/10/2016 07:57:13 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Treiber konnte nicht geladen werden.
 

Error: (10/10/2016 07:57:13 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\BB283~1.CRA\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.
 

Error: (10/10/2016 07:57:13 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Treiber konnte nicht geladen werden.
 

Error: (10/10/2016 07:57:13 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\BB283~1.CRA\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.
 

Error: (10/10/2016 07:54:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Treiber konnte nicht geladen werden.
 

Error: (10/10/2016 07:54:48 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\BB283~1.CRA\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.
 

Error: (10/10/2016 07:54:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "eapihdrv" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Treiber konnte nicht geladen werden.
 

Error: (10/10/2016 07:54:48 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\Users\BB283~1.CRA\AppData\Local\Temp\ehdrv.sys nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version des Treibers zu erhalten.
 
 

==================== Speicherinformationen =========================== 
 

Prozessor: AMD A8-5600K APU with Radeon(tm) HD Graphics 

Prozentuale Nutzung des RAM: 41%

Installierter physikalischer RAM: 3270.03 MB

Verfügbarer physikalischer RAM: 1907.39 MB

Summe virtueller Speicher: 6538.24 MB

Verfügbarer virtueller Speicher: 5013.36 MB
 

==================== Laufwerke ================================
 

Drive c: () (Fixed) (Total:223.47 GB) (Free:152.46 GB) NTFS
 

==================== MBR & Partitionstabelle ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 223.6 GB) (Disk ID: 4CDE736C)

Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=223.5 GB) - (Type=07 NTFS)
 

==================== Ende von Addition.txt ============================

Bitte statt der **** den Benutzer einfügen.

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...e/frst/sn4.PNG

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

CloseProcesses:

C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe 

C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe 

Task: {ADE9974E-1DC0-42DE-9AEE-253713621360} - \OiU4I3rMXgM -> Keine Datei 

Task: {CEAD94A9-4626-43B5-B7CB-2D15F55FB900} - \y8qEEDYWvv7Cbw383j4Vau -> Keine Datei 

Task: C:\Windows\Tasks\OiU4I3rMXgM.job => C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe 

Task: C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe 

CMD: dir "%Appdata%"

CMD: dir "%LocalAppdata%"

EmptyTemp:

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Entfernen-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.

Fixlog.txt

Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 13-10-2016

durchgeführt von **** (13-10-2016 22:01:33) Run:2

Gestartet von C:\Users\****\Downloads

Geladene Profile: **** (Verfügbare Profile: ****)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

CloseProcesses:

C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe 

C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe 

Task: {ADE9974E-1DC0-42DE-9AEE-253713621360} - \OiU4I3rMXgM -> Keine Datei 

Task: {CEAD94A9-4626-43B5-B7CB-2D15F55FB900} - \y8qEEDYWvv7Cbw383j4Vau -> Keine Datei 

Task: C:\Windows\Tasks\OiU4I3rMXgM.job => C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe 

Task: C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe 

CMD: dir "%Appdata%"

CMD: dir "%LocalAppdata%"

EmptyTemp:

*****************
 

Prozess erfolgreich geschlossen.

"C:\Users\****\AppData\Roaming\OiU4I3rMXgM.exe" => nicht gefunden.

"C:\Users\****\AppData\Roaming\y8qEEDYWvv7Cbw383j4Vau.exe" => nicht gefunden.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ADE9974E-1DC0-42DE-9AEE-253713621360} => Schlüssel nicht gefunden. 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OiU4I3rMXgM => Schlüssel nicht gefunden. 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEAD94A9-4626-43B5-B7CB-2D15F55FB900} => Schlüssel nicht gefunden. 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\y8qEEDYWvv7Cbw383j4Vau => Schlüssel nicht gefunden. 

C:\Windows\Tasks\OiU4I3rMXgM.job => nicht gefunden.

C:\Windows\Tasks\y8qEEDYWvv7Cbw383j4Vau.job => nicht gefunden.
 

========= dir "%Appdata%" =========
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: C659-6D21
 

 Verzeichnis von C:\Users\****\AppData\Roaming
 

10.10.2016  19:53    <DIR>          .

10.10.2016  19:53    <DIR>          ..

14.01.2015  00:06    <DIR>          Adobe

06.06.2014  09:20    <DIR>          ATI

06.06.2014  09:20    <DIR>          Identities

05.06.2014  16:30    <DIR>          Macromedia

12.04.2011  09:54    <DIR>          Media Center Programs

06.06.2014  09:26    <DIR>          Mozilla

19.10.2014  21:46    <DIR>          Oracle

09.10.2016  13:26    <DIR>          Skype

19.10.2015  15:04    <DIR>          TeamViewer

01.01.2016  16:24    <DIR>          Unity

03.07.2014  09:44    <DIR>          WinRAR

13.02.2016  12:51    <DIR>          Zoner

               0 Datei(en),              0 Bytes

              14 Verzeichnis(se), 165.579.706.368 Bytes frei
 

========= Ende von CMD: =========
 
 

========= dir "%LocalAppdata%" =========
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: C659-6D21
 

 Verzeichnis von C:\Users\****\AppData\Local
 

13.10.2016  21:58    <DIR>          .

13.10.2016  21:58    <DIR>          ..

25.11.2015  22:13    <DIR>          Adobe

06.06.2014  09:20    <DIR>          AMD

20.10.2015  11:14                 0 ars.cache

06.06.2014  09:20    <DIR>          ATI

21.08.2015  11:01    <DIR>          CEF

20.10.2015  11:14             3.624 census.cache

16.09.2016  12:35    <DIR>          CrashDumps

11.08.2014  20:59    <DIR>          Diagnostics

28.07.2015  18:36    <DIR>          ElevatedDiagnostics

15.10.2015  13:27    <DIR>          fontconfig

13.10.2016  21:59    <DIR>          FreePDF_XP

06.06.2014  10:36            69.600 GDIPFONTCACHEV1.DAT

15.10.2015  13:27    <DIR>          gegl-0.2

19.10.2015  16:28    <DIR>          Google

15.10.2015  13:31    <DIR>          gtk-2.0

02.06.2015  09:49    <DIR>          GWX

19.10.2015  16:35                36 housecall.guid.cache

28.07.2014  10:13    <DIR>          Macromedia

21.08.2016  12:42    <DIR>          Microsoft

10.07.2015  17:36    <DIR>          Microsoft Games

17.08.2015  14:00    <DIR>          Microsoft Help

06.06.2014  09:26    <DIR>          Mozilla

15.10.2015  13:21    <DIR>          Programs

10.04.2016  15:14    <DIR>          Skype

13.10.2016  21:59    <DIR>          Temp

06.06.2014  10:36    <DIR>          Thinstall

01.01.2016  16:23    <DIR>          Unity

06.06.2014  09:20    <DIR>          VirtualStore

13.02.2016  12:51    <DIR>          Zoner

               4 Datei(en),         73.260 Bytes

              27 Verzeichnis(se), 165.579.706.368 Bytes frei
 

========= Ende von CMD: =========
 
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 8388608 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5376955 B

Java, Flash, Steam htmlcache => 0 B

Windows/system/drivers => 4767 B

Edge => 0 B

Chrome => 0 B

Firefox => 6900056 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Public => 0 B

ProgramData => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 0 B

NetworkService => 840 B

**** => 43925 B
 

RecycleBin => 0 B

EmptyTemp: => 19.8 MB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 22:01:35 ====

Kurz zur Info:
Das war der zweite About. Hatte beim ersten natürlich nicht die * ersetzt.

Und ich bin bis Dienstag Nacht unterwegs. Kann der Computer während dieser Zeit normal genutzt werden oder sollte man das besser nicht machen?

About=Anlauf (verdammte Autocorrection)

http://deeprybka.trojaner-board.de/b...ndeeprybka.gif
Wir haben es geschafft! :abklatsch:
Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
Klicke auf OK.
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/esetmd.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.