Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt (https://www.trojaner-board.de/207049-win10-os-start-findet-ca-2-minuetiger-upload-statt.html)

mehlmonster 05.07.2023 06:39
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo zusammen,
ich habe einen W10 Desktop der direkt nach dem Start des OS einen ca. 2 minütigen Upload mit voller Bandbreite verursacht. Auch wenn kein Benutzer angemeldet ist. Kommt also eher vom System als vom Benutzer. Ich habe keinerlei Schlangenöl im Einsatz, Standard ist natürlich der MS Defender.

Leider sind meine logs viel zu groß, also habe ich sie mal angehängt.

Ich wollte mich gestern ja schon melden, merkwürdigerweise akzeptiert GMAIL wohl keine Mails von euch!? Mit GMX kam die Bestätigungsmail sofort.

Vielen Dank und viele Grüße
Torben

M-K-D-B 05.07.2023 14:44
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere die Logdateien und melde mich später wieder.

M-K-D-B 05.07.2023 14:56
Servus,




seit wann besteht das Problem?



Wir entfernen verwaiste Einträge und kontrollieren die Systemdateien auf Fehler. Dies kann einige Minuten dauern.

Beschreibe, ob es sich nach dem Schritt gebessert hat.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    startpowershell:
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    CMD: netsh winsock reset
    CMD: netsh int ip reset
    CMD: ipconfig /release
    CMD: ipconfig /renew
    CMD: ipconfig /flushdns
    CMD: ipconfig /registerdns
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository
    CMD: Winmgmt /resetrepository
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: sfc /scannow
    Hosts:
    RemoveProxy:
    EmptyTemp:
    Reboot:
    End::
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
    • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

mehlmonster 05.07.2023 15:36
Hallo. Vielen Dank für Deinen Support.
So richtig aufgefallen ist es mit seit ca. 3 Tagen.
Ich hatte schon einmal das gleich Phänomen, damals habe ich den Rechner neu installiert, aber das möchte ich eigentlich nicht schon wieder machen. Klar, wenn alles nichts hilft.

Leider änderte die Aktion an meinem Problem nichts. Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.


Code:
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 05-07-2023
durchgeführt von torben (05-07-2023 16:26:40) Run:1
Gestartet von C:\Users\LumiS\Downloads
Geladene Profile: LumiS & torben
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::
       
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\Run\\EADM" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Update Binary" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Standalone Update Binary" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben

========= Powershell: =========


========= Ende von Powershell: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... Fehler
Zugriff verweigert

 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.



========= Ende von CMD: =========


========= ipconfig /release =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter Ethernet 2:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter Ethernet 3:

  Verbindungsspezifisches DNS-Suffix:
  IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
  Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
  Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
  Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6


========= Ende von CMD: =========


========= ipconfig /renew =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter Ethernet 2:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter Ethernet 3:

  Verbindungsspezifisches DNS-Suffix: fritz.box
  IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
  Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
  Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
  IPv4-Adresse  . . . . . . . . . . : 10.10.10.104
  Subnetzmaske  . . . . . . . . . . : 255.255.255.0
  Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6
                                      10.10.10.1


========= Ende von CMD: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.


========= Ende von CMD: =========


========= ipconfig /registerdns =========


Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneintr„ge fr alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgefhrt.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {9720FDFB-9E5A-4C30-841F-34BA765C9E8C}.
Unable to cancel {FD23E3EB-8E43-4C0B-BD77-2312BB01BA5A}.
0 out of 2 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Das WMI-Repository wurde zurckgesetzt.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========

0

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert.

Bei Onlinereparaturen finden Sie Details in der CBS-Protokolldatei unter

windir\Logs\CBS\CBS.log. Beispiel C:\Windows\Logs\CBS\CBS.log. Bei Offlinereparaturen

finden Sie Details in der durch das /OFFLOGFILE-Kennzeichen angegebenen Protokolldatei.



========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12632558 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 9878776 B
Windows/system/drivers => 150265 B
Edge => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 514 B
LocalService => 8758 B
NetworkService => 451618 B
LumiS => 7819316 B
torben => 91712249 B

RecycleBin => 0 B
EmptyTemp: => 117 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:28:53 ====

cosinus 05.07.2023 15:37
Zitat:
Zitat von mehlmonster (Beitrag 1775157)
Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.
Wie stellst du das überhaupt fest?

mehlmonster 05.07.2023 15:45
ich arbeite im Home-Office und habe öfters mal Telco's, die ebenfalls über mein WLAN laufen.
Ich telefoniere also fröhlich in meiner Telco, starte meinen Privat-PC neu und auf einmal fliegt mir der VPN Tunnel weg. Also Fehlersuche... Fritz checken, dort sehe ich wie der Upload zu 100% ausgelsatet ist. Und da ich meinen Privat-PC priorisiert habe, frisst er natülich die komplette Bandbreite.

cosinus 05.07.2023 15:54
Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.

M-K-D-B 05.07.2023 19:44
Also in den Logdateien von FRST kann ich keine Malware erkennen.

Wir können aber zur Kontrolle gerne noch ESET und KVRT laufen lassen, wenn du möchtest. Ich glaube zwar nicht wirklich, dass die fündig werden, aber eine Zweit- oder Drittmeinung kann ja nicht schaden. :)




Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe das Kaspersky Virus Removal Tool (KVRT) gemäß der bebilderten Anleitung aus und poste abschließend die Logdateien.

mehlmonster 06.07.2023 09:34
Zitat:
Zitat von cosinus (Beitrag 1775160)
Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.
Die Priorisierung dient doch nur der Verteilung der kompletten Bandbreite (50MBit) auf der Fritz.Box. Ich habe einen halbstarken Sohnematz, wenn ich mich nicht priorisieren würde, hätte ich wahrscheinlich nur nur noch 1MBit download!
ProcessHacker schaue ich mir gerade an.

Werde jetzt erstmal noch die anderen Virenscanner drüber jagen... ich melde mich, Danke euch!

M-K-D-B 06.07.2023 15:43
Ok, gib Bescheid. :)

mehlmonster 10.07.2023 06:26
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat von M-K-D-B (Beitrag 1775174)
Ok, gib Bescheid. :)
Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...

mehlmonster 10.07.2023 08:43
Zitat:
Zitat von mehlmonster (Beitrag 1775211)
Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...
Also das Problem mit der Anmeldung und Zertifikatsfehler, habe ich gerade gelöst.
Einfach mal die
%APPDATA%\Mozilla\Firefox\Profiles\*DeinFirefoxProfil\cert9.db in cert9.db.old unbenant.

Das geht wieder...

M-K-D-B 10.07.2023 12:25
Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

mehlmonster 10.07.2023 15:08
Liste der Anhänge anzeigen (Anzahl: 1)
Da habe ich doch tatsächlich -dontencrypt vergessen.
Sorry, ich hänge es mal an.

Zitat:
Zitat von M-K-D-B (Beitrag 1775216)
Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

cosinus 10.07.2023 15:14
Der Process Hacker ist keine malware... :kaffee:

M-K-D-B 10.07.2023 20:13
Ok, also auch kein Fund.


Bitte einen abschließenden Kontrollsuchlauf mit FRST wie beschrieben.

mehlmonster 11.07.2023 05:53
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat von M-K-D-B (Beitrag 1775221)
Ok, also auch kein Fund.


Bitte einen abschließenden Kontrollsuchlauf mit FRST wie beschrieben.
Moin, anbei die Ergenisse...
Werde die nächsten Tage wenig Zeit und Möglichkeiten haben, diesen PC weiter zu anlysieren. Bitte offen lassen, ich melde mich wieder in spätestens 7 Tagen. Wahrscheinlich aber früher.

Vielen Dank und beste Grüße
Torben

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 10-07-2023
durchgeführt von torben (Administrator) auf DT-TORBEN (MSI MS-7A63) (11-07-2023 06:54:37)
Gestartet von C:\Users\LumiS\Downloads\FRST64(1).exe
Geladene Profile: LumiS & torben
Plattform: Microsoft Windows 10 Pro Version 22H2 19045.3086 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Brother Industries, Ltd. -> Brother Industries, Ltd.) C:\Program Files (x86)\ControlCenter4\BrCtrlCntr.exe
(Brother Industries, Ltd.) [Datei ist nicht signiert] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
(C:\Program Files (x86)\ControlCenter4\BrCtrlCntr.exe ->) (Brother Industries, Ltd. -> Brother Industries, Ltd.) C:\Program Files (x86)\ControlCenter4\BrCcUxSys.exe
(explorer.exe ->) (Open Source Developer, Robin Krom -> Greenshot) C:\Users\LumiS\AppData\Local\Greenshot\Greenshot.exe
(explorer.exe ->) (Signal Messenger, LLC -> Signal Messenger, LLC) C:\Users\LumiS\AppData\Local\Programs\signal-desktop\Signal.exe <4>
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <9>
(Oracle America, Inc. -> Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(services.exe ->) (Brother Industries, Ltd.) [Datei ist nicht signiert] C:\Program Files (x86)\Browny02\BrYNSvc.exe
(services.exe ->) (Intel Corporation -> Intel Corporation) C:\Windows\System32\DriverStore\FileRepository\mewmiprov.inf_amd64_cad1db73e8c782a6\WMIRegistrationService.exe
(services.exe ->) (Intel(R) Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Windows\System32\DriverStore\FileRepository\dal.inf_amd64_b5484efd38adbe8d\jhi_service.exe
(services.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft GameInput\x64\gameinputsvc.exe <2>
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MsMpEng.exe
(services.exe ->) (Microsoft Windows Publisher -> Microsoft Corporation) C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\NisSrv.exe
(services.exe ->) (Nvidia Corporation -> NVIDIA Corporation) C:\Windows\System32\DriverStore\FileRepository\nvmdig.inf_amd64_e4ca4ec4257b233d\Display.NvContainer\NVDisplay.Container.exe <2>
(svchost.exe ->) (Microsoft Corporation -> Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_11.2210.0.0_x64__8wekyb3d8bbwe\CalculatorApp.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\ImmersiveControlPanel\SystemSettings.exe
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe <2>
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [KeePass 2 PreLoad] => C:\Program Files\KeePass Password Safe 2\KeePass.exe [3245968 2023-01-09] (Open Source Developer, Dominik Reichl -> Dominik Reichl)
HKLM-x32\...\Run: [I16A] => C:\Windows\twain_32\Brimi16a\Common\TwDsUiLaunch.exe [94952 2019-03-20] (Microsoft Windows Hardware Compatibility Publisher -> )
HKLM-x32\...\Run: [ControlCenter4] => C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe [146584 2017-11-07] (Brother Industries, Ltd. -> Brother Industries, Ltd.)
HKLM-x32\...\Run: [BrStsMon00] => C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe [2976256 2018-07-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [739448 2023-03-17] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-798176963-3606410126-1855180366-1001\...\Run: [org.whispersystems.signal-desktop] => C:\Users\LumiS\AppData\Local\Programs\signal-desktop\Signal.exe [163608952 2023-07-06] (Signal Messenger, LLC -> Signal Messenger, LLC)
HKU\S-1-5-21-798176963-3606410126-1855180366-1001\...\Run: [Greenshot] => C:\Users\LumiS\AppData\Local\Greenshot\Greenshot.exe [527792 2017-08-09] (Open Source Developer, Robin Krom -> Greenshot)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [Steam] => C:\Program Files (x86)\Steam\steam.exe [4371816 2023-06-22] (Valve Corp. -> Valve Corporation)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe [1785864 2023-07-05] (Overwolf Ltd -> Overwolf Ltd.)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [Process Hacker 2] => C:\Program Files\Process Hacker 2\ProcessHacker.exe [1719840 2016-03-29] (Wen Jia Liu -> wj32)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\114.0.5735.199\Installer\chrmstp.exe [2023-06-29] (Google LLC -> Google LLC)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {FBB93DA4-5F5F-415D-BCF2-47B36499A76C} - System32\Tasks\GoogleUpdateTaskMachineCore{585763CD-DCB2-4363-89F5-E5B8B25076ED} => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [171480 2022-11-09] (Google LLC -> Google LLC)
Task: {6E1D503F-CB5F-45D5-8780-2CA16E77B4B1} - System32\Tasks\GoogleUpdateTaskMachineUA{004D237E-6B19-4EA0-BB27-CD605EB064C8} => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [171480 2022-11-09] (Google LLC -> Google LLC)
Task: {A455341D-3320-4797-A71E-093A4AD55A8E} - System32\Tasks\Intel PTT EK Recertification => C:\Windows\System32\DriverStore\FileRepository\iclsclient.inf_amd64_76523213b78d9046\lib\IntelPTTEKRecertification.exe [818008 2021-09-15] (Intel Corporation -> Intel(R) Corporation)
Task: {7A35AEAC-5EC7-4716-B9A4-6BD8D27A30F9} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe [1650040 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {B5AC7F63-B7DB-41FA-A298-9339A9A46EB1} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe [1650040 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {35762BE6-4FB8-4FDB-BF2E-684E97EB48B7} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe [1650040 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {E4A01C84-D429-419A-BD1B-10186D0A3A34} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe [1650040 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
Task: {8864DE8C-A4E4-44EA-8FAC-BA797849CB0F} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [685984 2023-07-10] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {1614355F-A965-4680-B57B-274284DB47DA} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [724384 2023-07-10] (Mozilla Corporation -> Mozilla Foundation)
Task: {641BF4EA-E1E5-4B1B-AF9D-3AD5F30F01B9} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-08-18] () [Datei ist nicht signiert]
Task: {B4BE7442-CB1C-4093-B127-B9406DA99C35} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2640904 2023-07-05] (Overwolf Ltd -> Overwolf LTD)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 10.10.10.100
Tcpip\..\Interfaces\{4e6cb68f-9523-4c83-851e-fe3c95120f1a}: [DhcpNameServer] 10.10.10.100

Edge:
=======
Edge Profile: C:\Users\torben\AppData\Local\Microsoft\Edge\User Data\Default [2022-09-29]

FireFox:
========
FF DefaultProfile: dh1d9oeb.default
FF ProfilePath: C:\Users\torben\AppData\Roaming\Mozilla\Firefox\Profiles\dh1d9oeb.default [2023-07-10]
FF ProfilePath: C:\Users\torben\AppData\Roaming\Mozilla\Firefox\Profiles\ycm95yha.default-release [2023-07-10]
FF Plugin: @java.com/DTPlugin,version=11.371.2 -> C:\Program Files\Java\jre-1.8\bin\dtplugin\npDeployJava1.dll [2023-03-17] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.371.2 -> C:\Program Files\Java\jre-1.8\bin\plugin2\npjp2.dll [2023-03-17] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=3.0.17.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2022-11-08] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.18 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2022-11-08] (VideoLAN -> VideoLAN)

==================== Dienste (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 BrYNSvc; C:\Program Files (x86)\Browny02\BrYNSvc.exe [314368 2018-07-25] (Brother Industries, Ltd.) [Datei ist nicht signiert]
S3 EABackgroundService; C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe [11574888 2023-05-10] (Electronic Arts, Inc. -> Electronic Arts)
S3 EpicOnlineServices; C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe [934352 2022-07-11] (Epic Games Inc. -> Epic Games, Inc.)
S3 OverwolfUpdater; C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2640904 2023-07-05] (Overwolf Ltd -> Overwolf LTD)
S3 Sense; C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe [336208 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
R3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\NisSrv.exe [3232576 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 WinDefend; C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MsMpEng.exe [133592 2023-06-14] (Microsoft Windows Publisher -> Microsoft Corporation)
R2 NVDisplay.ContainerLocalSystem; C:\Windows\System32\DriverStore\FileRepository\nvmdig.inf_amd64_e4ca4ec4257b233d\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f %ProgramData%\NVIDIA\NVDisplay.ContainerLocalSystem.log -l 3 -d C:\Windows\System32\DriverStore\FileRepository\nvmdig.inf_amd64_e4ca4ec4257b233d\Display.NvContainer\plugins\LocalSystem -r -p 30000 -cfg NVDisplay.ContainerLocalSystem\LocalSystem

===================== Treiber (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 AppleLowerFilter; C:\Windows\System32\drivers\AppleLowerFilter.sys [35976 2020-10-09] (WDKTestCert build,132303256403278908 -> Apple Inc.)
S3 dg_ssudbus; C:\Windows\system32\DRIVERS\ssudbus2.sys [167440 2022-09-30] (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
R3 MpKsl3d8f4375; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{D919D6FE-BF76-4D91-9BEA-09F67AA40FEC}\MpKslDrv.sys [213288 2023-07-11] (Microsoft Windows -> Microsoft Corporation)
R1 npcap; C:\Windows\system32\DRIVERS\npcap.sys [77336 2022-08-19] (Insecure.Com LLC -> Insecure.Com LLC.)
S3 ssudmdm; C:\Windows\system32\DRIVERS\ssudmdm.sys [174112 2022-09-30] (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
S3 ss_conn_usb_driver2; C:\Windows\System32\Drivers\ss_conn_usb_driver2.sys [50720 2022-09-30] (Samsung Electronics CO., LTD. -> Samsung Electronics Co., Ltd.)
S0 WdBoot; C:\Windows\System32\drivers\wd\WdBoot.sys [49560 2023-06-14] (Microsoft Windows Early Launch Anti-malware Publisher -> Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\wd\WdFilter.sys [498944 2023-06-14] (Microsoft Windows -> Microsoft Corporation)
R3 WdNisDrv; C:\Windows\System32\drivers\wd\WdNisDrv.sys [99568 2023-06-14] (Microsoft Windows -> Microsoft Corporation)
U4 npcap_wifi; kein ImagePath

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-07-10 16:11 - 2023-07-11 06:54 - 002383872 _____ (Farbar) C:\Users\LumiS\Downloads\FRST64(1).exe
2023-07-10 16:10 - 2023-07-10 16:10 - 139485460 _____ C:\Users\LumiS\Documents\Log_Wireshark.pcapng
2023-07-10 14:25 - 2023-07-10 16:04 - 000000000 ____D C:\KVRT2020_Data
2023-07-10 14:24 - 2023-07-10 14:24 - 105118376 _____ (AO Kaspersky Lab) C:\Users\LumiS\Downloads\KVRT.exe
2023-07-10 09:52 - 2023-07-10 09:52 - 000001584 _____ C:\Users\LumiS\Documents\WireShark_00001_20230710095230.txt
2023-07-10 09:48 - 2023-07-10 09:48 - 000008596 _____ C:\Users\LumiS\Documents\WireShark_00001_20230710094815.txt
2023-07-10 09:45 - 2023-07-10 09:48 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\Wireshark
2023-07-10 09:33 - 2023-07-10 09:33 - 000001424 _____ C:\Users\LumiS\Downloads\boxcert.cer
2023-07-10 07:54 - 2023-07-11 06:49 - 000000000 ____D C:\Program Files\Mozilla Thunderbird
2023-07-10 07:44 - 2023-07-10 07:44 - 000003460 _____ C:\Windows\system32\Tasks\npcapwatchdog
2023-07-10 07:44 - 2023-07-10 07:44 - 000001827 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wireshark.lnk
2023-07-10 07:44 - 2023-07-10 07:44 - 000000000 ____D C:\Windows\SysWOW64\Npcap
2023-07-10 07:44 - 2023-07-10 07:44 - 000000000 ____D C:\Windows\system32\Npcap
2023-07-10 07:38 - 2023-07-10 07:44 - 000000000 ____D C:\Program Files\Wireshark
2023-07-10 07:38 - 2023-07-10 07:44 - 000000000 ____D C:\Program Files\Npcap
2023-07-10 07:37 - 2023-07-10 07:37 - 078782704 _____ (Wireshark development team) C:\Users\LumiS\Downloads\Wireshark-win64-4.0.6.exe
2023-07-10 07:17 - 2023-07-10 07:17 - 000002216 _____ C:\Users\torben\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Firefox Privater Modus.lnk
2023-07-10 07:17 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\Documents\My Games
2023-07-10 07:17 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\AppData\Roaming\Mozilla
2023-07-10 07:17 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\AppData\LocalLow\IronGate
2023-07-10 07:17 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\AppData\Local\Mozilla
2023-07-10 07:17 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\AppData\Local\CartelTycoon
2023-07-10 07:16 - 2023-07-10 07:17 - 000000000 ____D C:\Users\torben\Documents\Avalanche Studios
2023-07-10 07:16 - 2023-07-10 07:16 - 000000000 ____D C:\Users\torben\Documents\The Witcher 3
2023-07-10 07:16 - 2023-07-10 07:16 - 000000000 ____D C:\Users\torben\AppData\Roaming\ControlCenter4
2023-07-10 07:16 - 2023-07-10 07:16 - 000000000 ____D C:\Users\torben\AppData\Local\Google
2023-07-10 07:16 - 2023-07-10 07:16 - 000000000 ____D C:\Users\torben\AppData\Local\DBG
2023-07-10 07:14 - 2023-07-10 07:14 - 000002210 _____ C:\Users\LumiS\Downloads\netcfg_2023-07-10_07-14-33.dat
2023-07-10 07:12 - 2023-07-10 07:15 - 000000214 _____ C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job
2023-07-10 07:11 - 2023-07-10 07:11 - 000000000 ____D C:\Windows\pss
2023-07-10 07:03 - 2023-07-10 07:03 - 001053600 _____ (ESET) C:\Users\LumiS\Downloads\esetuninstaller.exe
2023-07-10 06:50 - 2023-07-10 07:05 - 000000000 ____D C:\Program Files\Mozilla Firefox
2023-07-07 13:43 - 2023-07-07 13:43 - 000000000 ____D C:\Windows\LastGood.Tmp
2023-07-07 08:40 - 2023-07-07 08:40 - 001028853 _____ C:\Users\LumiS\Downloads\Thomas_Müller_2023-07-07_07-28-49.TCX
2023-07-06 10:34 - 2023-07-06 10:34 - 008971384 _____ (ESET) C:\Users\LumiS\Downloads\eset_internet_security_live_installer.exe
2023-07-05 17:08 - 2023-07-05 17:08 - 000000000 ____D C:\Users\torben\AppData\Roaming\Process Hacker 2
2023-07-05 17:07 - 2023-07-05 17:07 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\Process Hacker 2
2023-07-05 17:04 - 2023-07-05 17:12 - 000001965 _____ C:\Users\torben\Desktop\Process Hacker 2.lnk
2023-07-05 17:04 - 2023-07-05 17:12 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2023-07-05 17:04 - 2023-07-05 17:12 - 000000000 ____D C:\Program Files\Process Hacker 2
2023-07-05 16:59 - 2023-07-05 17:03 - 002267848 _____ (wj32 ) C:\Users\LumiS\Downloads\processhacker-2.39-setup(1).exe
2023-07-05 16:58 - 2023-07-05 16:58 - 002267848 _____ (wj32 ) C:\Users\LumiS\Downloads\processhacker-2.39-setup.exe
2023-07-05 16:29 - 2023-07-05 16:29 - 000000008 _____ C:\ProgramData\ntuser.pol
2023-07-05 16:26 - 2023-07-11 06:54 - 000000000 ____D C:\Users\LumiS\Downloads\FRST-OlderVersion
2023-07-05 16:26 - 2023-07-05 16:28 - 000017405 _____ C:\Users\LumiS\Downloads\Fixlog.txt
2023-07-05 07:46 - 2023-07-05 07:46 - 000001420 _____ C:\Users\LumiS\Downloads\AdwCleaner[S00].txt
2023-07-05 07:45 - 2023-07-05 07:45 - 008791352 _____ (Malwarebytes) C:\Users\LumiS\Downloads\adwcleaner.exe
2023-07-05 07:45 - 2023-07-05 07:45 - 000000000 ____D C:\AdwCleaner
2023-07-05 07:44 - 2023-07-05 07:44 - 000001418 _____ C:\Users\LumiS\Downloads\MBAM.txt
2023-07-05 07:41 - 2023-07-05 07:41 - 000000000 ____D C:\Users\LumiS\AppData\Local\mbam
2023-07-05 07:40 - 2023-07-05 07:40 - 002649072 _____ (Malwarebytes) C:\Users\LumiS\Downloads\MBSetup.exe
2023-07-05 07:37 - 2023-07-11 06:51 - 000011307 _____ C:\Users\LumiS\Downloads\Addition.7z
2023-07-04 10:08 - 2023-07-11 06:55 - 000013741 _____ C:\Users\LumiS\Downloads\FRST.txt
2023-07-04 10:08 - 2023-07-10 16:14 - 000794385 _____ C:\Users\LumiS\Downloads\Addition.txt
2023-07-04 09:59 - 2023-07-11 06:54 - 000000000 ____D C:\FRST
2023-07-03 08:19 - 2023-07-03 08:19 - 000046135 _____ C:\Users\LumiS\Downloads\PV MOD-Detaillierte Daten-20230703.xlsx
2023-06-30 08:57 - 2023-06-30 08:57 - 001838850 _____ C:\Users\LumiS\Downloads\20230530_123836.jpg-20230630T065726Z-001.zip
2023-06-29 08:48 - 2023-06-29 08:48 - 000000195 _____ C:\Users\LumiS\Documents\Breitengrad_PV.txt
2023-06-28 16:19 - 2023-06-28 16:20 - 000000000 ____D C:\Users\LumiS\Documents\_neu
2023-06-28 07:40 - 2023-06-28 07:40 - 019976264 _____ (Raspberry Pi Ltd) C:\Users\LumiS\Downloads\imager_1.7.5.exe
2023-06-27 16:17 - 2023-06-27 16:17 - 000013752 _____ C:\Users\LumiS\Documents\DK_Abrechnung.ods
2023-06-26 12:00 - 2023-06-26 12:00 - 000325464 _____ C:\Users\LumiS\Downloads\BH_DOC_46784.pdf
2023-06-26 11:00 - 2023-06-26 11:00 - 002056144 _____ C:\Users\LumiS\Downloads\【b】30240301001883-微逆说明书-德业德语-sun-(m60-100)g3-eu-q0(含配网)-ver1.2.pdf
2023-06-14 09:58 - 2023-06-14 10:49 - 000000198 _____ C:\Users\LumiS\Documents\Komo_SR_Reis.txt
2023-06-14 08:27 - 2023-06-14 08:27 - 000000000 ____D C:\ProgramData\Blizzard Entertainment
2023-06-14 08:26 - 2023-06-14 09:42 - 000000000 ____D C:\Users\LumiS\AppData\Local\Battle.net
2023-06-14 08:26 - 2023-06-14 08:27 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\Battle.net
2023-06-14 08:26 - 2023-06-14 08:26 - 000000950 _____ C:\Users\Public\Desktop\Battle.net.lnk
2023-06-14 08:26 - 2023-06-14 08:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
2023-06-14 08:25 - 2023-06-14 08:27 - 000000000 ____D C:\Program Files (x86)\Battle.net
2023-06-14 08:25 - 2023-06-14 08:25 - 004838352 _____ (Blizzard Entertainment) C:\Users\LumiS\Downloads\Battle.net-Setup.exe
2023-06-14 08:25 - 2023-06-14 08:25 - 000000000 ____D C:\ProgramData\Battle.net
2023-06-14 06:23 - 2023-06-14 06:23 - 000000000 ___HD C:\$WinREAgent

==================== Ein Monat (geänderte) ==================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2023-07-11 06:54 - 2022-09-29 07:59 - 001622274 _____ C:\Windows\system32\PerfStringBackup.INI
2023-07-11 06:54 - 2019-12-07 16:51 - 000701762 _____ C:\Windows\system32\perfh007.dat
2023-07-11 06:54 - 2019-12-07 16:51 - 000141266 _____ C:\Windows\system32\perfc007.dat
2023-07-11 06:54 - 2019-12-07 11:13 - 000000000 ____D C:\Windows\INF
2023-07-11 06:51 - 2022-11-09 12:40 - 000000000 ____D C:\Program Files (x86)\Google
2023-07-11 06:51 - 2022-09-29 10:01 - 000000000 ____D C:\Windows\SystemTemp
2023-07-11 06:49 - 2022-09-30 13:26 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\Signal
2023-07-11 06:49 - 2022-09-29 09:00 - 000000000 ____D C:\ProgramData\NVIDIA
2023-07-11 06:49 - 2022-09-29 08:02 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2023-07-11 06:49 - 2022-09-29 05:53 - 000008192 ___SH C:\DumpStack.log.tmp
2023-07-11 06:49 - 2022-09-29 05:53 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2023-07-11 06:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\ServiceState
2023-07-11 06:49 - 2019-12-07 11:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2023-07-10 16:20 - 2022-09-29 08:02 - 000000000 ____D C:\Users\LumiS\AppData\LocalLow\Mozilla
2023-07-10 16:20 - 2022-09-29 08:02 - 000000000 ____D C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38
2023-07-10 16:20 - 2019-12-07 11:03 - 000786432 _____ C:\Windows\system32\config\BBI
2023-07-10 16:16 - 2022-09-29 08:28 - 000000000 ____D C:\Program Files (x86)\Steam
2023-07-10 16:03 - 2019-12-07 11:03 - 000032768 _____ C:\Windows\system32\config\ELAM
2023-07-10 13:59 - 2022-09-29 12:51 - 000013336 _____ C:\Windows\BRRBCOM.INI
2023-07-10 13:25 - 2022-09-29 05:53 - 000000000 ____D C:\Windows\system32\SleepStudy
2023-07-10 10:34 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\AppReadiness
2023-07-10 10:12 - 2022-09-29 08:04 - 000001055 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Thunderbird.lnk
2023-07-10 09:14 - 2023-06-01 15:03 - 000001083 _____ C:\Users\LumiS\Documents\kleinanzeigen_neu.txt
2023-07-10 08:52 - 2023-05-15 12:52 - 000000000 ____D C:\Program Files (x86)\Overwolf
2023-07-10 07:38 - 2022-09-29 10:11 - 000000000 ____D C:\ProgramData\Package Cache
2023-07-10 07:17 - 2023-05-15 12:52 - 000002319 _____ C:\Users\torben\Desktop\FTB App.lnk
2023-07-10 07:17 - 2023-05-15 12:51 - 000000000 ____D C:\Users\torben\AppData\Local\Overwolf
2023-07-10 07:17 - 2022-09-29 08:44 - 000000000 ____D C:\Users\torben\AppData\Local\Packages
2023-07-10 07:16 - 2022-09-29 08:45 - 000000000 ____D C:\Users\torben\AppData\Local\Steam
2023-07-10 07:16 - 2022-09-29 08:44 - 000002346 _____ C:\Users\torben\Desktop\Microsoft Edge.lnk
2023-07-10 07:16 - 2019-12-07 11:14 - 000000000 ___HD C:\Program Files\WindowsApps
2023-07-10 07:14 - 2022-09-29 09:00 - 000000000 ____D C:\Users\torben\AppData\Roaming\Microsoft\Spelling
2023-07-10 07:08 - 2022-09-29 08:44 - 000000000 ____D C:\Users\torben\AppData\Local\D3DSCache
2023-07-10 06:52 - 2022-09-29 08:02 - 000001005 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk
2023-07-10 06:47 - 2019-12-07 11:14 - 000000000 ___HD C:\Windows\ELAMBKUP
2023-07-10 06:46 - 2022-10-04 15:36 - 000000000 ____D C:\Users\LumiS\AppData\Local\Greenshot
2023-07-06 12:23 - 2018-09-17 14:52 - 000000000 ____D C:\Users\LumiS\Documents\SAP
2023-07-06 07:08 - 2022-09-29 07:58 - 000000000 ____D C:\Users\LumiS\AppData\Local\D3DSCache
2023-07-05 16:26 - 2019-12-07 11:14 - 000000000 ___HD C:\Windows\system32\GroupPolicy
2023-07-05 16:26 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\GroupPolicy
2023-07-04 09:45 - 2022-09-29 08:35 - 000000000 ____D C:\Users\torben\AppData\Roaming\Microsoft\MMC
2023-07-04 09:40 - 2022-09-29 08:34 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\Microsoft\MMC
2023-07-04 09:32 - 2022-09-29 07:59 - 000000000 ___RD C:\Users\LumiS\OneDrive
2023-07-04 07:27 - 2019-12-07 11:03 - 000000000 ____D C:\Windows\CbsTemp
2023-07-03 07:17 - 2023-01-17 08:17 - 000002274 _____ C:\Users\Public\Desktop\Microsoft Edge.lnk
2023-07-03 07:17 - 2022-09-29 05:53 - 000002436 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk
2023-06-30 14:26 - 2022-10-04 10:54 - 000000000 ____D C:\Users\LumiS\Documents\MRemoteNG
2023-06-30 14:26 - 2022-10-03 14:49 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\KeePass
2023-06-30 14:26 - 2022-10-03 14:00 - 000033342 _____ C:\Users\LumiS\Documents\Database_test.kdbx
2023-06-30 14:11 - 2022-10-04 11:28 - 000000128 _____ C:\Users\LumiS\AppData\Local\PUTTY.RND
2023-06-30 08:56 - 2023-05-30 09:31 - 000001624 _____ C:\Users\LumiS\Documents\Dachdecker.txt
2023-06-29 13:33 - 2022-11-09 12:40 - 000002239 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2023-06-29 13:33 - 2022-11-09 12:40 - 000002198 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2023-06-28 16:59 - 2022-11-09 15:02 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\vlc
2023-06-26 06:51 - 2022-11-17 09:38 - 002807296 _____ (Microsoft Corporation) C:\Windows\system32\xgameruntime.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000493048 _____ (Microsoft Corporation) C:\Windows\system32\gameplatformservices.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000247288 _____ (Microsoft Corporation) C:\Windows\system32\gamingservicesproxy.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000202232 _____ (Microsoft Corporation) C:\Windows\system32\gameconfighelper.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000169472 _____ (Microsoft Corporation) C:\Windows\system32\gamelaunchhelper.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000131072 _____ (Microsoft Corporation) C:\Windows\system32\gamingtcuihelpers.dll
2023-06-26 06:51 - 2022-11-17 09:38 - 000079360 _____ (Microsoft Corporation) C:\Windows\system32\xgamehelper.exe
2023-06-26 06:51 - 2022-11-17 09:38 - 000062968 _____ (Microsoft Corporation) C:\Windows\system32\xgamecontrol.exe
2023-06-26 06:50 - 2022-09-29 08:00 - 000003588 _____ C:\Windows\system32\Tasks\OneDrive Reporting Task-S-1-5-21-798176963-3606410126-1855180366-1001
2023-06-26 06:50 - 2022-09-29 07:59 - 000003366 _____ C:\Windows\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-798176963-3606410126-1855180366-1001
2023-06-26 06:50 - 2022-09-29 07:56 - 000002395 _____ C:\Users\LumiS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
2023-06-26 06:46 - 2022-09-29 08:29 - 000000000 ____D C:\Users\LumiS\AppData\Local\Steam
2023-06-16 07:33 - 2022-09-29 07:56 - 000161920 _____ (Razer Inc) C:\Windows\system32\RazerS3CoinstallerEx.dll
2023-06-16 07:16 - 2022-11-09 12:40 - 000004002 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineUA{004D237E-6B19-4EA0-BB27-CD605EB064C8}
2023-06-16 07:16 - 2022-11-09 12:40 - 000003878 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineCore{585763CD-DCB2-4363-89F5-E5B8B25076ED}
2023-06-14 10:50 - 2022-09-29 05:53 - 000458992 _____ C:\Windows\system32\FNTCACHE.DAT
2023-06-14 10:49 - 2019-12-07 16:54 - 000000000 ____D C:\Program Files\Windows Defender Advanced Threat Protection
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ___RD C:\Windows\ImmersiveControlPanel
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SysWOW64\WinMetadata
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\SystemResources
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\WinMetadata
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\oobe
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\system32\migwiz
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\ShellExperiences
2023-06-14 10:49 - 2019-12-07 11:14 - 000000000 ____D C:\Windows\bcastdvr
2023-06-14 06:26 - 2022-09-29 07:55 - 003015168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PrintConfig.dll
2023-06-14 06:23 - 2022-09-29 09:50 - 000000000 ____D C:\Windows\system32\MRT
2023-06-14 06:22 - 2022-09-29 09:50 - 170078616 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2023-06-14 06:19 - 2022-09-29 05:53 - 000003756 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineUA
2023-06-14 06:19 - 2022-09-29 05:53 - 000003632 _____ C:\Windows\system32\Tasks\MicrosoftEdgeUpdateTaskMachineCore
2023-06-14 06:11 - 2022-09-29 05:53 - 000000000 ____D C:\Windows\system32\Drivers\wd
2023-06-13 13:58 - 2023-01-24 12:57 - 000000000 ____D C:\Users\LumiS\AppData\Roaming\MobaXterm
2023-06-12 07:24 - 2022-10-06 10:06 - 000000000 ____D C:\Users\LumiS\Documents\_Kleinanzeigen

==================== SigCheck ============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

==================== Ende von FRST.txt ========================

M-K-D-B 11.07.2023 21:21
Servus,


die neuen FRST Logdateien kann ich keine Malware erkennen.

Es werden einige Fehler angezeigt.

Ob das ein möglicher Grund für die beschriebene Situation ist, weiß ich allerdings nicht.




Mit dem folgenden FRST-Fix starten wir einen tieferen Reparaturprozess. Ob es hilft, weiß ich nicht. Schaden kann es auf jeden Fall nicht.
Dies kann einige Minuten dauern.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    CMD: dism /online /cleanup-image /restorehealth
    EmptyTemp:
    Reboot:
    End::
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

M-K-D-B 15.07.2023 17:29
Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131