Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR.StartPage - Trojaner/Virus gefunden (https://www.trojaner-board.de/185123-tr-startpage-trojaner-virus-gefunden.html)

Sector9 08.04.2017 22:46
TR.StartPage - Trojaner/Virus gefunden
 
Hallo Trojaner-Board,

vorhin habe ich Bilder auf Google gesucht. Beim Anklicken einer Seite hat Avira folgende Meldung angezeigt:

Code:
Muster 'HTML/Infected.WebPage.Gen3 [virus]'
in Datei 'C:\Users\*******\AppData\Local\Mozilla\Firefox\Profiles\vdr0u99r.default\cache2\entries\02B25C13AF2FCE083E56BE40CD86F9830413128C gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
Diese Datei habe ich anschließend aus der Quarantäne gelöscht.
Anschließend im normalen Desktopbetrieb kamen im Abstand von ca. 15 Minuten folgende Meldungen:

Code:
Muster 'TR/StartPage.hqlq [trojan]'
in Datei 'C:\Users\*****\Desktop\EIgenen Datein****\Downloads\vlc-2.1.0-win32.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben

Muster 'TR/StartPage.hqlq [trojan]'
in Datei 'C:\Users\******\Desktop\EIgenen Datein****\Eigene Bilder ****\*****\Downloads\vlc-2.1.0-win32.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
Auch hier habe ich besagte Dateien gelöscht und den VLC Player (?) mal vorsichtshalber deinstalliert. Wie und ob diese beiden Fälle jetzt allerdings zusammenhängen ist mir nicht ganz klar.
Ein vollständiger Scan mit MB hat nichts entdeckt:

Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 08.04.2017
Suchlaufzeit: 21:47
Protokolldatei: mbamw.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2017.04.08.04
Rootkit-Datenbank: v2017.04.02.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x86
Dateisystem: NTFS
Benutzer: *****

Suchlauftyp: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 428213
Abgelaufene Zeit: 1 Std., 36 Min., 25 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
Bin ich mit einem Schrecken davongekommen oder habe ich mir was ernstes eingefangen?
Würde mich über eure Hilfe freuen!

deeprybka 09.04.2017 08:58
:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
  • Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
  • Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
  • Poste die Logfiles direkt in Deinen Thread in Code-Tags.
  • Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.



Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)




Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://deeprybka.trojaner-board.de/tdss/codetags.gif

Sector9 09.04.2017 11:16
Hallo Jürgen, vielen Dank für deine Hilfe an einem Sonntag!

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version: 15-03-2017
durchgeführt von ******* (Administrator) auf COMPUTER (09-04-2017 12:01:18)
Gestartet von C:\Users\*******\Desktop
Geladene Profile: ******* (Verfügbare Profile: *******)
Platform: Microsoft Windows 8.1 Pro (Update) (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Google Inc.) C:\Program Files\Google\Update\1.3.32.7\GoogleCrashHandler.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
() C:\Program Files\Gramblr\gramblr.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\WinSxS\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.3.9600.18384_none_9dfef83fe2e442e4\TiWorker.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avgnt.exe
(Spotify Ltd) C:\Users\*******\AppData\Roaming\Spotify\Spotify.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe
(Spotify Ltd) C:\Users\*******\AppData\Roaming\Spotify\Spotify.exe
(Spotify Ltd) C:\Users\*******\AppData\Roaming\Spotify\Spotify.exe
(Spotify Ltd) C:\Users\*******\AppData\Roaming\Spotify\Spotify.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [MouseDriver] => C:\Windows\system32\TiltWheelMouse.exe [241152 2012-12-19] (Pixart Imaging Inc)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\Antivirus\avgnt.exe [909744 2017-03-21] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [63432 2017-03-09] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\Run: [Spotify] => C:\Users\*******\AppData\Roaming\Spotify\Spotify.exe [7072880 2017-04-04] (Spotify Ltd)
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\Run: [Skype] => C:\Program Files\Skype\Phone\Skype.exe [26424960 2016-06-29] (Skype Technologies S.A.)
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\MountPoints2: {75ccfc23-3c72-11e5-9724-00243373f766} - "E:\HTC_Sync_Manager_PC.exe"
BootExecute: autocheck autochk * sdnclean.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{4AA661AC-64A6-49D8-BD87-9C0C4A364B39}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\Office15\OCHelper.dll [2016-12-13] (Microsoft Corporation)
BHO: Citavi Picker -> {609D670F-B735-4da7-AC6D-F3BD358E325E} -> C:\Windows\system32\mscoree.dll [2013-08-22] (Microsoft Corporation)
BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office\Office15\GROOVEEX.DLL [2017-02-23] (Microsoft Corporation)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office\Office15\MSOSB.DLL [2016-05-17] (Microsoft Corporation)

FireFox:
========
FF DefaultProfile: vdr0u99r.default
FF ProfilePath: C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default [2017-04-09]
FF user.js: detected! => C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\user.js [2015-07-05]
FF Homepage: Mozilla\Firefox\Profiles\vdr0u99r.default -> hxxps://www.google.de/?gws_rd=ssl
FF Extension: (Avira Browser Safety) - C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\Extensions\abs@avira.com.xpi [2017-04-07]
FF Extension: (Google Analytics Opt-out Add-on (by Google)) - C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\Extensions\{6d96bb5e-1175-4ebf-8ab5-5f56f1c79f65}.xpi [2017-04-01]
FF Extension: (NoScript) - C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2017-03-18]
FF Extension: (Adblock Plus) - C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-12-07]
FF Extension: (Disable Prefetch) - C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Profiles\vdr0u99r.default\features\{cf4c3d40-401d-4de6-b32e-1970081af03d}\disable-prefetch@mozilla.org.xpi [2017-04-04]
FF Extension: (Site Deployment Checker) - C:\Program Files\Mozilla Firefox\browser\features\deployment-checker@mozilla.org.xpi [2017-04-04] [ist nicht signiert]
FF HKLM\...\Firefox\Extensions: [{8AA36F4F-6DC7-4c06-77AF-5035170634FE}] - C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox
FF Extension: (Citavi Picker) - C:\ProgramData\Swiss Academic Software\Citavi Picker\Firefox [2015-12-07]
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_25_0_0_127.dll [2017-03-15] ()
FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2016-07-19] (Microsoft Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.50905.0\npctrl.dll [2017-02-10] ( Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office15\NPSPWRAP.DLL [2014-01-23] (Microsoft Corporation)
FF Plugin: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-17] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-17] (Google Inc.)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2017-01-18] (Adobe Systems Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npMeetingJoinPluginOC.dll [2016-07-19] (Microsoft Corporation)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\nppdf32.dll [2017-01-18] (Adobe Systems Inc.)

Chrome:
=======
CHR Profile: C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default [2017-03-15]
CHR Extension: (Google Präsentationen) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-08-12]
CHR Extension: (Google Docs) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-08-12]
CHR Extension: (Google Drive) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-18]
CHR Extension: (YouTube) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-30]
CHR Extension: (Google-Suche) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-18]
CHR Extension: (Google Tabellen) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-08-12]
CHR Extension: (Deaktivierungs-Add-on von Google Analytics) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\fllaojicojecljbmefodhfapmkghcbnh [2017-03-14]
CHR Extension: (Avira Browserschutz) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-05-06]
CHR Extension: (Google Docs Offline) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-21]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-15]
CHR Extension: (Citavi Picker) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohgndokldibnndfnjnagojmheejlengn [2017-03-15]
CHR Extension: (Google Mail) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-08-12]
CHR Extension: (Chrome Media Router) - C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-03-15]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ohgndokldibnndfnjnagojmheejlengn] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files\Avira\Antivirus\avmailc7.exe [1115552 2017-03-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\Antivirus\sched.exe [487432 2017-03-21] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\Antivirus\avguard.exe [487432 2017-03-21] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\Antivirus\avwebg7.exe [1519136 2017-03-21] (Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [349560 2017-03-09] (Avira Operations GmbH & Co. KG)
R2 gramblrclient; C:\Program Files\Gramblr\gramblr.exe [7665744 2017-04-08] () [Datei ist nicht signiert]
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [284520 2015-07-07] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [22224 2015-07-07] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [135744 2017-03-02] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [162216 2017-03-02] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [53256 2017-03-02] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\system32\DRIVERS\avnetflt.sys [77560 2017-03-02] (Avira Operations GmbH & Co. KG)
S3 dg_ssudbus; C:\Windows\system32\DRIVERS\ssudbus.sys [109184 2016-09-05] (Samsung Electronics Co., Ltd.)
R3 NETwNs32; C:\Windows\system32\DRIVERS\NETwNs32.sys [7518208 2013-06-18] (Intel Corporation)
S3 ssudmdm; C:\Windows\system32\DRIVERS\ssudmdm.sys [147072 2016-09-05] (Samsung Electronics Co., Ltd.)
S3 t_mouse.sys; C:\Windows\system32\DRIVERS\t_mouse.sys [5120 2012-12-19] ()
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [38928 2015-07-07] (Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [233304 2015-07-07] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [84824 2015-07-07] (Microsoft Corporation)
S3 WUDFWpdMtp; C:\Windows\System32\drivers\WUDFRd.sys [190976 2014-11-21] (Microsoft Corporation)
R3 yukonw8; C:\Windows\system32\DRIVERS\yk63x86.sys [249288 2013-06-18] (Marvell)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-04-09 12:01 - 2017-04-09 12:01 - 00013183 _____ C:\Users\*******\Desktop\FRST.txt
2017-04-08 23:40 - 2017-04-08 23:40 - 00001213 _____ C:\Users\*******\Desktop\mbamw.txt
2017-04-08 23:33 - 2017-04-08 23:33 - 01766912 _____ (Farbar) C:\Users\*******\Desktop\FRST.exe
2017-04-07 10:37 - 2017-04-07 10:37 - 00622034 _____ C:\Users\*******\Downloads\*******
2017-04-01 13:09 - 2017-04-01 13:12 - 00000000 ____D C:\Users\*******\Desktop\****
2017-04-01 13:06 - 2017-04-08 22:07 - 00000000 ____D C:\Users\*******\Desktop\*****
2017-03-27 17:23 - 2017-03-27 17:23 - 01067398 _____ C:\Users\*******\Downloads\*****
2017-03-27 15:38 - 2017-03-27 15:38 - 00069623 _____ C:\Users\*******\Downloads\****
2017-03-27 15:35 - 2017-03-27 15:35 - 00026100 _____ C:\Users\*******\Downloads\*****
2017-03-27 15:12 - 2017-03-27 15:12 - 00295071 _____ C:\Users\*******\Downloads\fibel.zip
2017-03-25 14:38 - 2017-03-25 14:38 - 00000850 _____ C:\Users\*******\AppData\Local\recently-used.xbel
2017-03-25 13:58 - 2017-03-25 13:58 - 00059681 _____ C:\Users\*******\Downloads\cutepunk typeface.rar
2017-03-25 13:54 - 2017-03-25 13:54 - 02907685 _____ C:\Users\*******\Downloads\tirado-co_northwest-bold.zip
2017-03-25 13:54 - 2017-03-25 13:54 - 01008983 _____ C:\Users\*******\Downloads\burntilldead_the-goldsmith-vintage.zip
2017-03-22 23:09 - 2017-03-22 23:09 - 00001110 _____ C:\Users\Public\Desktop\Avira Connect.lnk
2017-03-18 17:05 - 2017-03-18 17:05 - 00015290 _____ C:\Users\*******\Downloads\******
2017-03-15 22:23 - 2017-03-02 20:01 - 00499200 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2017-03-15 22:23 - 2017-03-02 19:49 - 00663552 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2017-03-15 22:23 - 2017-03-02 18:50 - 00710144 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2017-03-15 22:23 - 2017-02-23 16:33 - 00080048 _____ (Microsoft Corporation) C:\Windows\system32\CompatTelRunner.exe
2017-03-15 22:23 - 2017-02-20 16:35 - 01331200 _____ (Microsoft Corporation) C:\Windows\system32\appraiser.dll
2017-03-15 22:23 - 2017-02-20 16:35 - 00505344 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2017-03-15 22:23 - 2017-02-10 07:34 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2017-03-15 22:23 - 2017-02-10 07:10 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2017-03-15 22:23 - 2017-02-10 07:08 - 00279040 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2017-03-15 22:23 - 2017-01-28 19:08 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\pcasvc.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00971776 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00442368 _____ (Microsoft Corporation) C:\Windows\system32\devinv.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00270848 _____ (Microsoft Corporation) C:\Windows\system32\invagent.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00212480 _____ (Microsoft Corporation) C:\Windows\system32\centel.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00183808 _____ (Microsoft Corporation) C:\Windows\system32\aepic.dll
2017-03-15 22:23 - 2017-01-02 16:33 - 00104960 _____ (Microsoft Corporation) C:\Windows\system32\acmigration.dll
2017-03-15 22:22 - 2017-03-04 06:18 - 20281856 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2017-03-15 22:22 - 2017-03-04 05:28 - 00103936 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2017-03-15 22:22 - 2017-03-02 19:55 - 02287104 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2017-03-15 22:22 - 2017-03-02 19:25 - 00880640 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2017-03-15 22:22 - 2017-03-02 19:22 - 04604416 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2017-03-15 22:22 - 2017-03-02 19:19 - 00693248 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2017-03-15 22:22 - 2017-03-02 19:11 - 13654528 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2017-03-15 22:22 - 2017-03-02 18:53 - 02767360 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2017-03-15 22:22 - 2017-03-02 18:50 - 01312768 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2017-03-15 22:22 - 2017-02-11 20:26 - 00568832 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv2.sys
2017-03-15 22:22 - 2017-02-11 20:26 - 00338432 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv.sys
2017-03-15 22:22 - 2017-02-10 20:09 - 03475456 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2017-03-15 22:22 - 2017-02-10 07:09 - 00128000 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2017-03-15 22:22 - 2017-02-10 07:01 - 00230400 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2017-03-15 22:22 - 2017-02-10 07:00 - 00330752 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2017-03-15 22:22 - 2017-02-10 06:59 - 02055680 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2017-03-15 22:22 - 2017-02-10 03:34 - 01325912 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys
2017-03-15 22:22 - 2017-02-10 02:15 - 01127968 _____ (Microsoft Corporation) C:\Windows\system32\gdi32.dll
2017-03-15 22:22 - 2017-02-09 17:16 - 01560064 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2017-03-15 22:22 - 2017-02-09 17:14 - 01088512 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll
2017-03-15 22:22 - 2017-02-09 16:58 - 00499200 _____ (Microsoft Corporation) C:\Windows\system32\dnsapi.dll
2017-03-15 22:22 - 2017-02-09 16:58 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\dnsrslvr.dll
2017-03-15 22:22 - 2017-02-04 21:16 - 05764960 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2017-03-15 22:22 - 2017-02-04 21:14 - 01471552 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2017-03-15 22:22 - 2017-02-04 21:14 - 01395672 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2017-03-15 22:22 - 2017-02-04 21:14 - 01284584 _____ (Microsoft Corporation) C:\Windows\system32\winload.exe
2017-03-15 22:22 - 2017-02-04 21:14 - 01271168 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2017-03-15 22:22 - 2017-02-04 21:14 - 01173024 _____ (Microsoft Corporation) C:\Windows\system32\winresume.exe
2017-03-15 22:22 - 2017-02-04 20:29 - 00251392 _____ (Microsoft Corporation) C:\Windows\system32\microsoft-windows-system-events.dll
2017-03-15 22:22 - 2017-02-04 19:31 - 00900096 _____ (Microsoft Corporation) C:\Windows\HelpPane.exe
2017-03-15 22:22 - 2017-02-04 19:17 - 00223232 _____ (Microsoft Corporation) C:\Windows\system32\icm32.dll
2017-03-15 22:22 - 2017-02-04 19:10 - 01491456 _____ (Microsoft Corporation) C:\Windows\system32\GdiPlus.dll
2017-03-15 22:22 - 2017-02-04 19:05 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\mscms.dll
2017-03-15 22:22 - 2017-01-21 21:36 - 00482904 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\cng.sys
2017-03-15 22:22 - 2017-01-21 20:40 - 00756736 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2017-03-15 22:22 - 2017-01-21 20:40 - 00095232 _____ (Microsoft Corporation) C:\Windows\system32\auditpolmsg.dll
2017-03-15 22:22 - 2017-01-21 20:40 - 00061952 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2017-03-15 22:22 - 2017-01-21 20:34 - 00153088 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2017-03-15 22:22 - 2017-01-21 20:33 - 00328192 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2017-03-15 22:22 - 2017-01-21 19:23 - 01118720 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2017-03-15 22:22 - 2017-01-14 19:17 - 00116224 _____ (Microsoft Corporation) C:\Windows\system32\wininit.exe
2017-03-15 22:22 - 2017-01-10 21:08 - 01549312 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll
2017-03-15 22:22 - 2017-01-05 19:36 - 01501184 _____ (Microsoft Corporation) C:\Windows\system32\quartz.dll
2017-03-15 22:22 - 2017-01-05 19:29 - 05273600 _____ (Microsoft Corporation) C:\Windows\system32\glcndFilter.dll
2017-03-15 22:22 - 2017-01-05 18:57 - 05268480 _____ (Microsoft Corporation) C:\Windows\system32\Windows.Data.Pdf.dll
2017-03-15 21:13 - 2017-04-08 15:46 - 00000000 ____D C:\Program Files\Gramblr
2017-03-15 21:13 - 2017-03-15 21:13 - 00000967 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gramblr.lnk
2017-03-15 21:12 - 2017-04-09 12:01 - 00000000 ____D C:\ProgramData\Gramblr
2017-03-15 21:12 - 2017-03-15 21:12 - 02864559 _____ C:\Users\*******\Downloads\gramblr2_win32.zip
2017-03-15 21:10 - 2017-03-15 21:10 - 03587039 _____ C:\Users\*******\Downloads\gramblr2_win64.zip

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-04-09 12:01 - 2016-03-02 13:42 - 00000000 ____D C:\FRST
2017-04-09 12:00 - 2016-12-08 19:08 - 00000000 ____D C:\Users\*******\AppData\LocalLow\Mozilla
2017-04-09 11:59 - 2016-02-06 21:55 - 00000000 ____D C:\Users\*******\AppData\Local\Spotify
2017-04-08 23:41 - 2016-01-28 10:19 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2017-04-08 22:03 - 2015-07-07 14:04 - 02853888 ___SH C:\Users\*******\Desktop\Thumbs.db
2017-04-08 21:36 - 2016-02-06 21:55 - 00000000 ____D C:\Users\*******\AppData\Roaming\Spotify
2017-04-08 16:18 - 2015-12-07 16:40 - 00000000 ____D C:\Users\*******\Documents\Citavi 5
2017-04-07 10:36 - 2015-08-12 23:04 - 00002153 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2017-04-07 10:36 - 2015-08-12 23:04 - 00002141 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2017-04-05 20:21 - 2015-09-23 19:36 - 01039360 ___SH C:\Users\*******\Downloads\Thumbs.db
2017-04-05 14:56 - 2015-07-05 09:24 - 00000000 ____D C:\Users\*******\AppData\Local\Packages
2017-04-04 17:35 - 2016-12-07 18:35 - 00000000 ____D C:\Program Files\Mozilla Firefox
2017-03-29 16:29 - 2014-11-21 00:48 - 01776918 _____ C:\Windows\system32\PerfStringBackup.INI
2017-03-29 16:29 - 2014-11-21 00:15 - 00765582 _____ C:\Windows\system32\perfh007.dat
2017-03-29 16:29 - 2014-11-21 00:15 - 00159366 _____ C:\Windows\system32\perfc007.dat
2017-03-29 16:29 - 2013-08-22 08:21 - 00000000 ____D C:\Windows\inf
2017-03-25 14:39 - 2015-07-08 18:20 - 00000000 ____D C:\Users\*******\.gimp-2.8
2017-03-25 14:38 - 2015-07-08 18:42 - 00000000 ____D C:\Users\*******\AppData\Local\gtk-2.0
2017-03-22 23:09 - 2015-08-06 21:39 - 00000000 ____D C:\ProgramData\Package Cache
2017-03-22 23:09 - 2015-08-06 21:39 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2017-03-21 18:15 - 2013-08-22 10:17 - 00000000 ____D C:\Windows\rescache
2017-03-18 23:46 - 2015-07-05 10:18 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2017-03-18 17:13 - 2015-07-19 13:01 - 00000000 ____D C:\Users\*******\Desktop\PH
2017-03-16 15:12 - 2015-11-27 18:32 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2017-03-16 15:12 - 2013-08-22 09:23 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-03-16 15:12 - 2013-08-22 09:22 - 00503400 _____ C:\Windows\system32\FNTCACHE.DAT
2017-03-15 23:35 - 2015-07-05 10:13 - 00000000 ____D C:\Windows\system32\appraiser
2017-03-15 23:35 - 2014-11-21 02:33 - 00000000 ___SD C:\Windows\system32\CompatTel
2017-03-15 23:32 - 2015-07-05 10:01 - 00000000 ____D C:\Windows\system32\MRT
2017-03-15 23:32 - 2013-08-22 10:05 - 00000000 ____D C:\Windows\CbsTemp
2017-03-15 23:29 - 2015-07-05 10:39 - 00000000 ___RD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013
2017-03-15 23:29 - 2015-07-05 10:01 - 135706696 ____C (Microsoft Corporation) C:\Windows\system32\MRT.exe
2017-03-15 23:28 - 2015-11-27 18:32 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
2017-03-15 18:01 - 2013-08-22 08:13 - 00262144 ___SH C:\Windows\system32\config\BBI
2017-03-15 10:54 - 2013-08-22 10:17 - 00000000 ____D C:\Windows\system32\Macromed
2017-03-15 10:43 - 2013-08-22 10:17 - 00000000 ___HD C:\Program Files\WindowsApps
2017-03-15 10:43 - 2013-08-22 10:17 - 00000000 ____D C:\Windows\AppReadiness
2017-03-14 14:16 - 2015-07-08 18:42 - 00000000 ____D C:\Users\*******\.thumbnails
2017-03-10 06:34 - 2016-04-14 15:35 - 00835576 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2017-03-10 06:34 - 2016-04-14 15:35 - 00177656 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2017-03-25 14:38 - 2017-03-25 14:38 - 0000850 _____ () C:\Users\*******\AppData\Local\recently-used.xbel
2015-07-05 09:56 - 2015-07-05 09:56 - 0007605 _____ () C:\Users\*******\AppData\Local\Resmon.ResmonCfg

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


ACHTUNG: ==> Auf den BCD konnte nicht zugegriffen werden.

LastRegBack: 2017-04-08 17:07

==================== Ende vom FRST.txt ============================

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version: 15-03-2017
durchgeführt von ******* (09-04-2017 12:01:41)
Gestartet von C:\Users\*******\Desktop
Microsoft Windows 8.1 Pro (Update) (X86) (2015-07-05 07:24:28)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1504389020-2753885184-4257690741-500 - Administrator - Disabled)
Gast (S-1-5-21-1504389020-2753885184-4257690741-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-1504389020-2753885184-4257690741-1003 - Limited - Enabled)
******* (S-1-5-21-1504389020-2753885184-4257690741-1001 - Administrator - Enabled) => C:\Users\*******

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Avira Antivirus (Enabled - Up to date) {B3F630BD-538D-1B4A-14FA-14B63235278F}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Avira Antivirus (Enabled - Up to date) {0897D159-75B7-14C4-2E4A-2FC449B26D32}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.023.20070 - Adobe Systems Incorporated)
Adobe Flash Player 25 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 25.0.0.127 - Adobe Systems Incorporated)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.25.172 - Avira Operations GmbH & Co. KG)
Avira Connect (HKLM\...\{0b46d918-af4f-4612-8076-5c0ae67cb2aa}) (Version: 1.2.81.41506 - Avira Operations GmbH & Co. KG)
Avira Connect (Version: 1.2.81.41506 - Avira Operations GmbH & Co. KG) Hidden
CDBurnerXP (HKLM\...\{7E265513-8CDA-4631-B696-F40D983F3B07}_is1) (Version: 4.5.7.6282 - CDBurnerXP)
Citavi 5 (HKLM\...\{7EB278FB-0C3C-445E-8665-4A6CDD9B794E}) (Version: 5.2.0.8 - Swiss Academic Software)
CPUID HWMonitor 1.27 (HKLM\...\CPUID HWMonitor_is1) (Version:  - )
Crucial Storage Executive (HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\Crucial Storage Executive 3.20.042015.04) (Version: 3.20.042015.04 - Crucial)
D3DX10 (Version: 15.4.2368.0902 - Microsoft) Hidden
Fotogalerie (Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
GIMP 2.8.14 (HKLM\...\GIMP-2_is1) (Version: 2.8.14 - The GIMP Team)
Google Chrome (HKLM\...\Google Chrome) (Version: 57.0.2987.133 - Google Inc.)
Google Update Helper (Version: 1.3.32.7 - Google Inc.) Hidden
Gramblr (HKLM\...\Gramblr) (Version: 2.9.14 - Gramblr Team)
Grewe Scanner-Interface 7 (HKLM\...\{B1C3F49A-DE7D-1AC1-0913-039C1A8B9B82}) (Version: 7 - Grewe Computertechnik GmbH)
Leawo Blu-ray Player version  1.8.8.0 (HKLM\...\{CF7F52BF-DEE0-44CD-A7E1-AADD5CCECCDD}_is1) (Version: 1.8.8.0 - leawo Software)
Malwarebytes Anti-Malware Version 2.2.0.1024 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.0.1024 - Malwarebytes)
Microsoft Office Professional Plus 2013 (HKLM\...\Office15.PROPLUS) (Version: 15.0.4569.1506 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50905.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual Studio 2010 Tools for Office Runtime (x86) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x86)) (Version: 10.0.50903 - Microsoft Corporation)
Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x86) Language Pack - DEU (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x86) Language Pack - DEU) (Version: 10.0.50903 - Microsoft Corporation)
Movie Maker (Version: 16.4.3528.0331 - Microsoft Corporation) Hidden
Mozilla Firefox 52.0.2 (x86 de) (HKLM\...\Mozilla Firefox 52.0.2 (x86 de)) (Version: 52.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 52.0.2.6291 - Mozilla)
MSXML 4.0 SP3 Parser (HKLM\...\{196467F1-C11F-4F76-858B-5812ADC83B94}) (Version: 4.30.2100.0 - Microsoft Corporation)
NVIDIA Drivers (HKLM\...\NVIDIA Drivers) (Version: 1.5 - NVIDIA Corporation)
OpenOffice 4.1.1 (HKLM\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Outils de vérification linguistique 2013 de Microsoft Office - Français (Version: 15.0.4569.1506 - Microsoft Corporation) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.1.2 - pdfforge)
PS4 Remote Play (HKLM\...\{127839B2-AF0F-41CA-9F00-A247D04ACD81}) (Version: 1.0.0.15181 - Sony Interactive Entertainment Inc.)
PVSonyDll (Version: 1.00.0001 - NVIDIA Corporation) Hidden
Samplitude Pro X Silver (HKLM\...\MAGIX_{86460AB2-75D3-400D-B9A8-232EC729192E}) (Version: 12.0.2.115 - MAGIX AG)
Samplitude Pro X Silver (Version: 12.0.2.115 - MAGIX AG) Hidden
Service Pack 1 for Microsoft Office 2013 (KB2850036) 32-Bit Edition (HKLM\...\{90150000-0011-0000-0000-0000000FF1CE}_Office15.PROPLUS_{7F6C4883-A18C-459A-82C1-A2F9403F2DA6}) (Version:  - Microsoft)
Skype™ 7.25 (HKLM\...\{FC965A47-4839-40CA-B618-18F486F042C6}) (Version: 7.25.106 - Skype Technologies S.A.)
Spotify (HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\Spotify) (Version: 1.0.52.725.g943b26a8 - Spotify AB)
Update for Skype for Business 2015 (KB3039776) 32-Bit Edition (HKLM\...\{90150000-012B-0407-0000-0000000FF1CE}_Office15.PROPLUS_{FD1F398D-BD56-43E6-8E58-707857AC9A8C}) (Version:  - Microsoft)
Windows Live Essentials (HKLM\...\WinLiveSuite) (Version: 16.4.3528.0331 - Microsoft Corporation)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {27DAAF2C-ADA2-42A2-B050-DA4FDF28A9B2} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {34B7379D-AD93-4C39-95E3-9D99CFC7DB14} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {4D82E838-FE73-49F8-8EC4-70F2B62CF0CF} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2017-03-15] (Adobe Systems Incorporated)
Task: {5D628818-2F6E-4234-850B-9FC3F054723E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {759635B1-5D23-455B-AEB7-ACDA87FA4ACE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-12] (Google Inc.)
Task: {8A980B85-BB37-4C11-B877-503850C62E18} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corporation)
Task: {FD525F20-43A4-416A-960F-759DCF82BBBF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-12] (Google Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2017-03-15 21:13 - 2017-04-08 15:46 - 07665744 _____ () C:\Program Files\Gramblr\gramblr.exe
2016-02-06 21:55 - 2017-04-04 15:35 - 67725936 _____ () C:\Users\*******\AppData\Roaming\Spotify\libcef.dll
2016-02-06 21:55 - 2017-04-04 15:35 - 01929840 _____ () C:\Users\*******\AppData\Roaming\Spotify\libglesv2.dll
2016-02-06 21:55 - 2017-04-04 15:35 - 00087152 _____ () C:\Users\*******\AppData\Roaming\Spotify\libegl.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE restricted site: HKU\.DEFAULT\...\007guard.com -> install.007guard.com
IE restricted site: HKU\.DEFAULT\...\008i.com -> 008i.com
IE restricted site: HKU\.DEFAULT\...\008k.com -> www.008k.com
IE restricted site: HKU\.DEFAULT\...\00hq.com -> www.00hq.com
IE restricted site: HKU\.DEFAULT\...\010402.com -> 010402.com
IE restricted site: HKU\.DEFAULT\...\032439.com -> 80gw6ry3i3x3qbrkwhxhw.032439.com
IE restricted site: HKU\.DEFAULT\...\0scan.com -> www.0scan.com
IE restricted site: HKU\.DEFAULT\...\1-2005-search.com -> www.1-2005-search.com
IE restricted site: HKU\.DEFAULT\...\1-domains-registrations.com -> www.1-domains-registrations.com
IE restricted site: HKU\.DEFAULT\...\1000gratisproben.com -> www.1000gratisproben.com
IE restricted site: HKU\.DEFAULT\...\1001namen.com -> www.1001namen.com
IE restricted site: HKU\.DEFAULT\...\100888290cs.com -> mir.100888290cs.com
IE restricted site: HKU\.DEFAULT\...\100sexlinks.com -> www.100sexlinks.com
IE restricted site: HKU\.DEFAULT\...\10sek.com -> www.10sek.com
IE restricted site: HKU\.DEFAULT\...\12-26.net -> user1.12-26.net
IE restricted site: HKU\.DEFAULT\...\12-27.net -> user1.12-27.net
IE restricted site: HKU\.DEFAULT\...\123fporn.info -> www.123fporn.info
IE restricted site: HKU\.DEFAULT\...\123haustiereundmehr.com -> www.123haustiereundmehr.com
IE restricted site: HKU\.DEFAULT\...\123moviedownload.com -> www.123moviedownload.com
IE restricted site: HKU\.DEFAULT\...\123simsen.com -> www.123simsen.com

Da befinden sich 7870 mehr Seiten.

IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\007guard.com -> install.007guard.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\008k.com -> www.008k.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\00hq.com -> www.00hq.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\010402.com -> 010402.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\032439.com -> 80gw6ry3i3x3qbrkwhxhw.032439.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\0scan.com -> www.0scan.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\1-2005-search.com -> www.1-2005-search.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\1-domains-registrations.com -> www.1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\1000gratisproben.com -> www.1000gratisproben.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\1001namen.com -> www.1001namen.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\100888290cs.com -> mir.100888290cs.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\100sexlinks.com -> www.100sexlinks.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\10sek.com -> www.10sek.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\12-26.net -> user1.12-26.net
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\12-27.net -> user1.12-27.net
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\123fporn.info -> www.123fporn.info
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\123haustiereundmehr.com -> www.123haustiereundmehr.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\123moviedownload.com -> www.123moviedownload.com
IE restricted site: HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\123simsen.com -> www.123simsen.com

Da befinden sich 7870 mehr Seiten.


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 08:13 - 2013-08-22 08:13 - 00000824 ____N C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\*******\AppData\Roaming\Mozilla\Firefox\Desktop-Hintergrund.bmp
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

HKLM\...\StartupApproved\Run: => "MouseDriver"
HKLM\...\StartupApproved\Run: => "NvCplDaemon"
HKU\S-1-5-21-1504389020-2753885184-4257690741-1001\...\StartupApproved\Run: => "Skype"

==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [{FF8AE2F4-13D1-4CD0-B65A-0999A61ED6F5}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [{12687887-AB80-40F1-9F87-2E7C270A4B5B}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [{502BEDFA-FFCA-41F8-B4C2-BF662FB16981}] => (Allow) C:\Program Files\Skype\Phone\Skype.exe
FirewallRules: [{984CF101-9F29-44C5-B722-6A45ABC80D2D}] => (Allow) C:\Program Files\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{241E129D-D7B1-4B5E-A5EE-8CC59AF0156B}] => (Allow) LPort=2869
FirewallRules: [{273B24D7-98B6-4F2A-ADA8-C15510E47BFE}] => (Allow) LPort=1900
FirewallRules: [{09400786-DD95-40BE-91F1-E3AC587B54D3}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [{D41A5161-7EAF-43D7-8D05-EAFF7806B0B2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
FirewallRules: [TCP Query User{1D6DCD9A-0B40-42D8-8201-17722920D2A7}C:\program files\crucial\crucial storage executive\java\bin\javaw.exe] => (Block) C:\program files\crucial\crucial storage executive\java\bin\javaw.exe
FirewallRules: [UDP Query User{789BCF86-AA58-4E4F-87C8-3F307DE90AEA}C:\program files\crucial\crucial storage executive\java\bin\javaw.exe] => (Block) C:\program files\crucial\crucial storage executive\java\bin\javaw.exe
FirewallRules: [TCP Query User{083B3E06-7110-48BD-8E65-D3F4ED3A5E68}C:\users\*******\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\*******\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{641C345F-53D9-4F3A-A22E-B1F9D3742C7E}C:\users\*******\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\*******\appdata\roaming\spotify\spotify.exe
FirewallRules: [TCP Query User{B8997B1E-3652-4B98-8905-178CE010A1EC}C:\users\*******\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\*******\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{F2D20DCC-D09D-4088-9DA4-DF9D19FDB587}C:\users\*******\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\*******\appdata\roaming\spotify\spotify.exe
FirewallRules: [{57EA5FC2-407B-44AC-BC66-F6F57066CC9A}] => (Allow) C:\Program Files\Sony\PS4 Remote Play\RemotePlay.exe
FirewallRules: [{3AB1BD40-3979-4D80-BEB4-95C427078AA1}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe
FirewallRules: [{71BEC872-F535-4F68-B05D-B8458F2ACFFC}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe
FirewallRules: [{ADC6C13B-F37C-4A5E-BAD9-459F1A7C14DE}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe
FirewallRules: [{85E131E1-465E-4219-8439-F6BB15AE0BFF}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe
FirewallRules: [{9A93038E-9A1D-4294-A008-90FE2EA530FA}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe
FirewallRules: [{884350B5-3A08-4C0A-A3B2-B909443349BB}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe
FirewallRules: [{72D2909F-4ED9-4E42-B5C0-1F69347C2F76}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe
FirewallRules: [{401001CA-1E88-4DF0-8BF8-C49865B46DE9}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe
FirewallRules: [{639A15A8-1590-48E4-A593-73AE1610242C}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

08-04-2017 17:10:54 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/08/2017 05:07:22 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: )
Description: Das Volume "System-reserviert" wurde aufgrund eines Fehlers nicht optimiert: Falscher Parameter. (0x80070057)

Error: (04/08/2017 03:56:35 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/07/2017 10:43:06 AM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/05/2017 01:53:24 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/04/2017 02:44:29 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/03/2017 10:09:35 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (04/01/2017 12:22:48 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: )
Description: Das Volume "System-reserviert" wurde aufgrund eines Fehlers nicht optimiert: Falscher Parameter. (0x80070057)

Error: (04/01/2017 12:21:28 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (03/30/2017 08:46:42 AM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: )
Description: Das Volume "System-reserviert" wurde aufgrund eines Fehlers nicht optimiert: Falscher Parameter. (0x80070057)

Error: (03/30/2017 08:45:49 AM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0


Systemfehler:
=============
Error: (04/08/2017 09:23:13 PM) (Source: Microsoft-Windows-Kernel-Power) (EventID: 137) (User: )
Description: 4

Error: (04/08/2017 05:08:20 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/08/2017 05:07:50 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/05/2017 02:32:14 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/05/2017 02:31:44 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/05/2017 02:31:32 PM) (Source: volsnap) (EventID: 36) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (04/04/2017 02:55:45 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/04/2017 02:55:15 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/01/2017 12:23:47 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/01/2017 12:23:17 PM) (Source: DCOM) (EventID: 10010) (User: Computer)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.


==================== Memory info ===========================

Processor: Intel(R) Core(TM)2 Duo CPU P8700 @ 2.53GHz
Prozentuale Nutzung des RAM: 40%
Installierter physikalischer RAM: 3039.05 MB
Verfügbarer physikalischer RAM: 1810.71 MB
Summe virtueller Speicher: 4727.54 MB
Verfügbarer virtueller Speicher: 3012.36 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:111.45 GB) (Free:3.21 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: A14C9157)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.4 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================

deeprybka 09.04.2017 11:45
Den VLC-Player immer nur bei der Herstellerseite downloaden...und die ist videolan.org! ;)

Schritt 1
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


Jetzt bitte Suchscan durchführen:

Schritt 2

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Sector9 09.04.2017 21:29
Sieht nicht gut aus...

Code:
# AdwCleaner v6.045 - Bericht erstellt am 09/04/2017 um 13:56:09
# Aktualisiert am 28/03/2017 von Malwarebytes
# Datenbank : 2017-04-06.1 [Server]
# Betriebssystem : Windows 8.1 Pro  (X86)
# Benutzername : ******* - COMPUTER
# Gestartet von : C:\Users\*******\Desktop\AdwCleaner_6.045.exe
# Modus: Löschen
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****



***** [ Ordner ] *****



***** [ Dateien ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Verknüpfungen ] *****



***** [ Aufgabenplanung ] *****



***** [ Registrierungsdatenbank ] *****

[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
[-] Schlüssel gelöscht: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com


***** [ Browser ] *****



*************************

:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt
:: Proxy Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1122 Bytes] - [09/04/2017 13:56:09]
C:\AdwCleaner\AdwCleaner[S1].txt - [792 Bytes] - [11/11/2015 21:58:44]
C:\AdwCleaner\AdwCleaner[S2].txt - [1527 Bytes] - [09/04/2017 13:55:31]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [1340 Bytes] ##########
Code:
C:\Users\*****\Desktop\EIgenen Datein *****\Downloads\Babylon10_setup.exe        Variante von Win32/Toolbar.Babylon.E eventuell unerwünschte Anwendung        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Downloads\vlc-2.1.0-win64.exe        NSIS/StartPage.CC Trojaner        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Downloads\WinZip165International.exe        Variante von Win32/OpenInstall eventuell unerwünschte Anwendung        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Eigene Bilder von *****\*****\Alte Firefox-Daten\j00hhlyi.default\extensions\ffxtlbr@delta.com\content\mtstart.js        Win32/Toolbar.Montiera.AK eventuell unerwünschte Anwendung        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Eigene Bilder von *****\*****\Downloads\Babylon10_setup.exe        Variante von Win32/Toolbar.Babylon.E eventuell unerwünschte Anwendung        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Eigene Bilder von *****\*****\Downloads\vlc-2.1.0-win64.exe        NSIS/StartPage.CC Trojaner        Gesäubert durch Löschen
C:\Users\*****\Desktop\EIgenen Datein *****\Eigene Bilder von *****\*****\Downloads\WinZip165International.exe        Variante von Win32/OpenInstall eventuell unerwünschte Anwendung        Gesäubert durch Löschen

deeprybka 10.04.2017 07:57
Zitat:
Zitat von Sector9 (Beitrag 1648286)
Sieht nicht gut aus...
Weil?

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Sector9 10.04.2017 11:42
Warum? Weil der Trojaner den Avira scheinbar gelöscht hat ja noch immer drauf war.

Ja, Browserseiten brauchen bis zu 30 Sekunden zum Laden und Tastaturanschläge erscheinen erst 5 Sekunden später.
Allgemein krebst der Rechner nur noch in Zeitlupe vor sich hin.

deeprybka 10.04.2017 17:03
Zitat:
Zitat von Sector9 (Beitrag 1648371)
Ja, Browserseiten brauchen bis zu 30 Sekunden zum Laden und Tastaturanschläge erscheinen erst 5 Sekunden später.
Allgemein krebst der Rechner nur noch in Zeitlupe vor sich hin.
Und das erst seit der Bildersuche bei Google? Kann ich fast nicht glauben...

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn4.PNG

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w8.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Code:
EmptyTemp:
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.
  • Starte FRST und drücke auf den Entfernen-Button.
  • Das Tool erstellt eine "Fixlog.txt" -Datei.
  • Poste mir bitte deren Inhalt.

Schritt 2

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Sector9 12.04.2017 09:12
Sorry für die späte Rückmeldung.

Ich würde doch lieber die sichere Methode vorziehen und das Betriebssystem neu aufsetzen. Nur habe ich leider kein aktuelles BackUp und müsste einen Haufen Daten vorher retten. Das natürlich über einen USB Stick, aber ohne mir die Malware gleich mitzukopieren.

Mir käme da ein Live Betriebssystem in den Sinn. Was kannst du empfehlen? Linux, Ubuntu, welche Version?

EDIT: Ja, erst seit der Bildersuche mit Google. Ich hab ziemlich blöd aus der Wäsche geschaut, als Avira plötzlich in uralten .exe-Dateien was findet, was überhaupt nichts mit dem eigentlichen Problem zu tun hatte.

deeprybka 12.04.2017 13:57
Also Avira wird hier von niemand empfohlen. Und dafür gibt es Gründe.
Wenn Du den.PC platt machen willst, ist das Deine Entscheidung. Nehmen kannst Du Knoppix, ubuntu oder ESET Rescue....etc.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131