Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win7: Emotet Trojaner & Trojan.MalPack.GS.Generic (https://www.trojaner-board.de/195547-win7-emotet-trojaner-trojan-malpack-gs-generic.html)

MiMiQQ 23.05.2019 09:22
Win7: Emotet Trojaner & Trojan.MalPack.GS.Generic
 
Hallo Trojaner-Board,
erst mal für euch: :kaffee_reboot:

dann: bei dem befallenen PC handelt es sich um einen PC in einem sehr kleinen Unternehmen (6 PCs), ich hoffe hier gilt die Ausnahmeregelung, wir haben keine eigene IT Abteilung. Alle Schritte sind mit dem Vorgesetzten abgesprochen, alle Logs dürfen gezeigt werden. Etwaige Klarnamen würde ich gerne mit Sternchen versehen, wenn ok.

Gestern wurden wir darauf aufmerksam gemacht, dass eines unserer Mailkonten aktiv spammt und eines nur als Pseudo-Absender missbraucht wurde, also nicht aktiv betroffen ist. Die beiden Mailadressen wurden vom Provider dann erst mal gesperrt (PW geändert).

Daraufhin habe ich auf allen Rechnern Avira und Malwarebytes (nacheinander) laufen lassen. Avira hat auf dem Rechner mit der aktiv befallenen Mailadresse TR/Emotet gefunden, leider kann ich auf die Logdatei nicht zugreifen, es öffnet sich leider nicht und das Interface von Avira sieht mittierweile auch anders aus, als in euren Anleitungen. Ich habe emotet gestern per Avira gelöscht, aber heute hat das Mailfach wieder aktiv gespammt, somit vermute ich, ist der TR noch drauf.

Malwarebytes hat zusätzlich noch Folgendes gefunden:

Bericht 1:
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 22.05.19
Scan-Zeit: 11:33
Protokolldatei: ba01946a-7c74-11e9-aa02-64006a3569c9.json

-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10710
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: PCSEK1\C******* (Klarname)

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 271582
Erkannte Bedrohungen: 3
In die Quarantäne verschobene Bedrohungen: 3
Abgelaufene Zeit: 1 Min., 47 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 1
Trojan.MalPack.GS.Generic, HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|actixapi, In Quarantäne, [9889], [685874],1.0.10710

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 2
Trojan.MalPack.GS.Generic, C:\USERS\C******\APPDATA\ROAMING\MICROSOFT\DBNEPNTW\BOOTTCLS.EXE, In Quarantäne, [9889], [685874],1.0.10710
Trojan.MalPack.GS.Generic, C:\PROGRAMDATA\IDUPLMOJYOWTDAL.EXE, In Quarantäne, [9889], [685874],1.0.10710

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Bericht 2:
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 22.05.19
Uhrzeit des Schutzereignisses: 11:33
Protokolldatei: afd04cde-7c74-11e9-8981-64006a3569c9.json

-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10692
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0

-Website-Daten-
Kategorie: Spyware
Domäne: miska-server.at
IP-Adresse: 62.73.70.146
Port: [49492]
Typ: Ausgehend
Datei: C:\Windows\explorer.exe


(end)
Bericht 3:
Code:
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 22.05.19
Uhrzeit des Schutzereignisses: 11:33
Protokolldatei: af8e900b-7c74-11e9-af40-64006a3569c9.json

-Softwaredaten-
Version: 3.7.1.2839
Komponentenversion: 1.0.586
Version des Aktualisierungspakets: 1.0.10692
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0

-Website-Daten-
Kategorie: Trojaner
Domäne: alfa-sentavra.at
IP-Adresse: 46.232.113.38
Port: [49489]
Typ: Ausgehend
Datei: C:\Windows\explorer.exe

(end)
Ich würde euch natürlich gerne noch das aussagekräftigere Avira Ergebnis zeigen, aber ich weiß nicht, wie ich da rankommen soll.

Besten Dank im Voraus
MiMiQQ

cosinus 23.05.2019 14:02
1.)
Wenn E-Mail-Konten gekapert werden, muss das nicht an befallenen Rechnern liegen. Es ist sogar eher so, dass die Kriminellen in Konten online einbrechen und eben selten versuchen, einen Riesenaufwand zu betreiben, um irgendwelche Passwordstealer auf irgendwelchen Rechnern zu bringen.

2.)
Windows 7 liegt im Sterbebett. Ihr müsst ASAP auf was Neueres umsteigen.

3.)
Avira ist leider der letzte Müll geworden, das solltest du umgehend deinstallieren
Allgemein muss endlich mal ein Umdenken stattfinden, es muss endlich mal der Irrglaube begraben werden, dass ein AV das allerwichtigste sei.

4.)
Habt ihr einen zentralen Mailserver (zB Exchange) oder macht jeder Rechner für sich die Mails? Auf jedem Rechner also Windows7-Client ist als POP3/IMAP bzw SMTP Server der vom Mailprovider eingetragen?

MiMiQQ 24.05.2019 07:31
Guten Morgen cosinus, :kaffee_reboot:

ich beantworte mal die Fragen:

1. klingt erst einmal gut, aber ein Trojaner (Emotet) wurde von Antivir ja gefunden, der ist ja dann doch auf dem Rechner selbst, oder?

2. Danke für die Info, da sind wir dran, es... zieht sich zeitlich nur ein bisschen mit der Modernisierung unserer IT Sachen :heilig:

3. Ich hatte Avira als ersten Einfall installiert. Ist ne Weile her, dass ich mich damit beschäftigt habe, da ist mir Avira einfach zuerst eingefallen. Mich nervt aber allein schon dieses Cloud-artige und die etlichen Unter-Programme, die es installieren möchte auch :balla:

4. Jeder Rechner macht für sich die Mails, wir haben keinen zentralen Server dafür. Die Mails werden per IMAP über Thunderbird abgerufen. Wir haben eine allgemeine Mailadresse, die auf 4/6 Rechnern abgerufen wird (diese wurde als Pseudo-Absender missbraucht) und dann hat jeder Rechner noch eine persönliche Mailadresse, die abgerufen wird.
Der Rechner, der den Emotet Trojaner aufwies, verschickt auch aktiv den Trojaner weiter (bzw aktuell nicht, ionos hat das PW geändert, damit nichts mehr verschickt werden kann)

Wir haben nicht alle Win7, Chefs haben Win10 meine ich. IMAP ist bei allen gleich, halt der Mailserver (ionos, früher 1&1).

:dankeschoen: schon mal, dass du dich uns annimmst.

Lg

M-K-D-B 24.05.2019 08:07
Zitat:
Zitat von MiMiQQ (Beitrag 1717506)
1. klingt erst einmal gut, aber ein Trojaner (Emotet) wurde von Antivir ja gefunden, der ist ja dann doch auf dem Rechner selbst, oder?
Emotet kann sich unter bestimmten Voraussetzungen auch über das Netzwerk ausbreiten und andere Rechner infizieren. :D Dann wirds "lustig"... ;)
Ebenso kann weitere Schadsoftware nachgeladen werden wie z. B. Ransomware oder Rootkits... dann ist sehr schnell "Schicht im Schacht"... :rofl:

MBAM meldet ja z. B. dass die legitime explorer.exe versucht, auf eine "Malwareseite" zuzugreifen.

Sauber ist dein Rechner nicht... da ist noch was im "Hintergrund", das aktiv am "Arbeiten" ist...




Zitat:
Zitat von MiMiQQ (Beitrag 1717506)
2. Danke für die Info, da sind wir dran, es... zieht sich zeitlich nur ein bisschen mit der Modernisierung unserer IT Sachen
Windows 7 wird nur noch bis Januar 2020 unterstützt, heuer muss der Umstieg erfolgen. :)





Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
  • Starte FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
  • Poste mir die FRST.txt und die Addition.txt in deinem Thema (#-Symbol im Eingabefenster der Webseite anklicken).







Bitte poste mit deiner nächsten Antwort
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

cosinus 24.05.2019 11:39
Zitat:
Zitat von MiMiQQ (Beitrag 1717506)
1. klingt erst einmal gut, aber ein Trojaner (Emotet) wurde von Antivir ja gefunden, der ist ja dann doch auf dem Rechner selbst, oder?
Das eine hat doch mit dem anderen nicht was zu tun, jedenfalls nicht zwangsläufig!
Genau das hab ich doch versucht zu erklären, dass ein gekapertes Konto eben nicht an der Infektion liegen muss. Die Infektion kann auch zufällig parallel gewesen sein. Und es gibt eben auch gekaperte Konten obwohl kein Rechner infiziert wurde.

Ich schreib das weil hier regelmäßig von igendwelchen Hilfesuchenden immer die Schlussfolgerung kommt, dass nichgts anderes als eine Infektion die Ursache sein kann. Und das nervt ein wenig mittlerweile.

Das mit Windows 7 hat MKDB ja nochmal betont, ihr müsst da jetzt echt mal in die Füße kommen.

MiMiQQ 27.05.2019 07:10
Guten Morgen,

anbei die Dateien.


FRST.txt

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 19-05.2019
durchgeführt von C****** (Administrator) auf PCSEK1 (Dell Inc. OptiPlex 3020) (24-05-2019 14:16:38)
Gestartet von C:\Users\C******\Downloads
Geladene Profile: C****** (Verfügbare Profile: Admin & C****** & Classic .NET AppPool)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Adobe Systems, Incorporated -> Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avguard.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avshadow.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Optimizer Host\Avira.OptimizerHost.exe
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe
(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe
(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe
(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe
(Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
(Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Intel(R) pGFX -> ) C:\Windows\System32\igfxTray.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxHK.exe
(Malwarebytes Corporation -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes Corporation -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(Microsoft Corporation -> Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\splwow64.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
(shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(soft-evolution GmbH & Co. KG -> soft-evolution) C:\Program Files (x86)\Pimero 2019\Pimero.exe
(Solute GmbH -> Avira) C:\Program Files (x86)\Avira\Safe Shopping\Avira Safe Shopping.exe
(TeamViewer GmbH -> TeamViewer GmbH) C:\Users\C******\AppData\Local\Temp\TeamViewer\TeamViewer_Service.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8464600 2015-04-08] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1392856 2015-03-21] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [USB3MON] => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2014-04-10] (Intel Corporation - Software and Firmware Products -> Intel Corporation)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [595480 2016-03-20] (Oracle America, Inc. -> Oracle Corporation)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de) [Datei ist nicht signiert]
HKLM-x32\...\Run: [Avira SystrayStartTrigger] => C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe [98024 2019-04-12] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Avira System Speedup User Starter] => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Core.Common.Starter.exe [329824 2019-03-14] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\Run: [] => [X]
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\MountPoints2: {7c6ae5c3-75b5-11e7-b3e6-64006a3569c9} - E:\autorun.exe
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{A6EADE66-0000-0000-484E-7E8A45000000}] -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Esl\AiodLite.dll [2019-05-03] (Adobe Inc. -> Adobe Systems, Inc.)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2B9A51A2-7A04-4208-A43E-DFA9A867C79E} - System32\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001 => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupload.exe [32256 2019-05-14] (LogMeIn, Inc. -> LogMeIn, Inc.)
Task: {32173086-272C-48C1-9DE9-4DAFA65A0427} - System32\Tasks\Avira_Antivirus_Systray => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [698400 2019-04-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
Task: {3FD027DC-0E70-4BA9-87A4-4678076D0408} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => schtasks [Argument = /run /TN "\Microsoft\Windows\Setup\gwx\refreshgwxconfig"]
Task: {55020105-6E1F-4C8F-9BB8-8B4C7A721643} - System32\Tasks\AviraSystemSpeedupUpdate => C:\ProgramData\Avira\SystemSpeedup\Update\avira_speedup_setup_update.exe [25707480 2019-04-05] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG )
Task: {8ACD4F46-44F2-440D-B43E-849C31A91BA5} - System32\Tasks\Avira Browser Safety Updater Task => C:\Program Files (x86)\Avira\Browser Safety\AviraBrowserSafetyUpdater.exe [20776 2015-03-11] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
Task: {90E94171-150F-4F18-A349-4B495D2635BE} - System32\Tasks\RtHDVBg_PushButton => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1392856 2015-03-21] (Realtek Semiconductor Corp -> Realtek Semiconductor)
Task: {9F9B0A9B-03F9-4C7D-BAD4-74B94222FB73} - System32\Tasks\Avira\Safe Shopping\Check => C:\Program Files (x86)\Avira\Safe Shopping\Updater\Updater.exe [111504 2019-05-10] (Solute GmbH -> Avira)
Task: {A0F02BD0-7192-4654-975E-EC6FC74A091D} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_192_Plugin.exe [1457208 2019-05-20] (Adobe Inc. -> Adobe)
Task: {A39C0049-C569-4E80-BE8A-B7FFB9C7DFCC} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1195544 2018-12-16] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Task: {C2399470-77FC-41BC-A862-4226C6569C6F} - System32\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001 => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupdate.exe [32256 2019-05-14] (LogMeIn, Inc. -> LogMeIn, Inc.)
Task: {D4AA2955-0EC5-476C-9918-7F358096DB15} - System32\Tasks\Avira\Safe Shopping\Update => C:\Program Files (x86)\Avira\Safe Shopping\Updater\Updater.exe [111504 2019-05-10] (Solute GmbH -> Avira)
Task: {FBA4E3C1-4C50-41C9-809A-263955320CB2} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2019-05-20] (Adobe Inc. -> Adobe)
Task: {FDBB1B3A-394E-47EA-BF34-D92E0EC56D2A} - System32\Tasks\Avira\Safe Shopping\Launch => C:\Program Files (x86)\Avira\Safe Shopping\Updater\Updater.exe [111504 2019-05-10] (Solute GmbH -> Avira)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupdate.exe
Task: C:\Windows\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupload.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\..\Interfaces\{F9587AC2-E5D5-4BEF-AD56-3E2089970196}: [NameServer] 192.168.100.1
HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,192.168.100.1,-1]

Internet Explorer:
==================
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell13.msn.com/?pc=DCTE
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCTE
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\ssv.dll [2016-06-15] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: AviraBrowserSafety.BrowserSafety -> {c3c77255-42c0-499f-b664-6e981a0b1647} -> C:\Program Files (x86)\Avira\Browser Safety\Avira Browser Safety.dll [2015-03-11] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\jp2ssv.dll [2016-06-15] (Oracle America, Inc. -> Oracle Corporation)
Handler-x32: abs - {E00957BD-D0E1-4eb9-A025-7743FDC8B27B} - C:\Program Files (x86)\Avira\Browser Safety\Avira Browser Safety.dll [2015-03-11] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)

FireFox:
========
FF DefaultProfile: qjysljkn.default
FF ProfilePath: C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default [2019-05-24]
FF Extension: (Avira Browserschutz) - C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default\Extensions\abs@avira.com.xpi [2019-03-28]
FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2019-04-23]
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_32_0_0_192.dll [2019-05-20] (Adobe Inc. -> )
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_32_0_0_192.dll [2019-05-20] (Adobe Inc. -> )
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.56 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2014-11-10] (Intel(R) Identity Protection Technology Software -> Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2014-11-10] (Intel(R) Identity Protection Technology Software -> Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.77.2 -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\dtplugin\npDeployJava1.dll [2016-06-15] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.77.2 -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\plugin2\npjp2.dll [2016-06-15] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2019-05-03] (Adobe Inc. -> Adobe Systems Inc.)

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe [908168 2019-04-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\Antivirus\sched.exe [244656 2019-04-13] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\Antivirus\avguard.exe [244656 2019-04-13] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe [1182464 2019-04-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [466280 2019-04-12] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 AviraOptimizerHost; C:\Program Files (x86)\Avira\Optimizer Host\Avira.OptimizerHost.exe [2979032 2019-02-21] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 AviraPhantomVPN; C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe [378528 2019-04-30] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 FirebirdServerPimero; C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 FirebirdServerPimero 2014; C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 FirebirdServerPimero 2019; C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [354280 2016-06-09] (Intel(R) pGFX -> Intel Corporation)
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [887256 2014-05-13] (Intel® Trusted Connect Service -> Intel(R) Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [158496 2014-11-10] (Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6562472 2019-02-01] (Malwarebytes Corporation -> Malwarebytes)
R2 RtkAudioService; C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe [291032 2014-08-19] (Realtek Semiconductor Corp -> Realtek Semiconductor)
R2 TeamViewer; c:\users\C******\appdata\local\temp\teamviewer\TeamViewer_Service.exe [10803440 2017-07-26] (TeamViewer GmbH -> TeamViewer GmbH) <==== ACHTUNG
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2015-12-22] (Microsoft Windows -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R0 avdevprot; C:\Windows\System32\DRIVERS\avdevprot.sys [65104 2019-02-26] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [216416 2019-04-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [175104 2019-04-13] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36072 2019-02-26] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [78600 2017-03-02] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [153328 2019-01-08] (Malwarebytes Corporation -> Malwarebytes)
R3 IntcAzAudAddService; C:\Windows\System32\drivers\RTDVHD64.sys [2740056 2015-04-08] (Realtek Semiconductor Corp -> Realtek Semiconductor Corp.)
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [199768 2019-05-22] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [127136 2019-05-24] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMProtection; C:\Windows\system32\DRIVERS\mbam.sys [73912 2019-05-24] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [275232 2019-05-24] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [107368 2019-05-24] (Malwarebytes Corporation -> Malwarebytes)
R3 MEIx64; C:\Windows\System32\DRIVERS\TeeDriverx64.sys [129312 2014-11-10] (Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-05-24 14:16 - 2019-05-24 14:17 - 000021576 _____ C:\Users\C******\Downloads\FRST.txt
2019-05-24 14:16 - 2019-05-24 14:16 - 000000000 ____D C:\FRST
2019-05-24 14:13 - 2019-05-24 14:13 - 002435072 _____ (Farbar) C:\Users\C******\Downloads\FRST64.exe
2019-05-24 08:16 - 2019-05-24 08:16 - 000073912 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2019-05-24 08:15 - 2019-05-24 08:15 - 000127136 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2019-05-24 08:15 - 2019-05-24 08:15 - 000107368 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2019-05-24 08:14 - 2019-05-24 08:14 - 000275232 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2019-05-23 09:59 - 2019-05-23 10:14 - 000000000 ____D C:\Users\C******\Desktop\TrojanerBoard
2019-05-22 11:33 - 2019-05-22 11:33 - 000199768 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2019-05-22 11:33 - 2019-05-22 11:33 - 000000000 ____D C:\Users\C******\AppData\Local\mbamtray
2019-05-22 11:33 - 2019-05-22 11:33 - 000000000 ____D C:\Users\C******\AppData\Local\mbam
2019-05-22 11:32 - 2019-05-22 11:32 - 063413952 _____ (Malwarebytes ) C:\Users\C******\Downloads\mb3-setup-consumer-3.7.1.2839-1.0.586-1.0.10692.exe
2019-05-22 11:32 - 2019-05-22 11:32 - 000001869 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\ProgramData\Malwarebytes
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\Program Files\Malwarebytes
2019-05-22 11:32 - 2019-01-08 16:32 - 000153328 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys
2019-05-22 11:07 - 2019-05-22 11:07 - 000000000 ____D C:\Users\Public\Speedup Sessions
2019-05-22 11:06 - 2019-05-22 11:06 - 000003668 _____ C:\Windows\System32\Tasks\AviraSystemSpeedupUpdate
2019-05-20 07:59 - 2019-05-24 08:18 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2019-05-01 16:46 - 2019-05-01 16:46 - 000001122 _____ C:\Users\Public\Desktop\Avira.lnk
2019-04-24 08:45 - 2019-04-24 08:45 - 000000000 ____D C:\Users\C******\Documents\FIRMENNAME

==================== Ein Monat (geänderte) ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-05-24 14:16 - 2016-06-17 18:56 - 000000000 ____D C:\ProgramData\firebird
2019-05-24 14:08 - 2017-11-16 16:05 - 000000652 _____ C:\Windows\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job
2019-05-24 13:47 - 2017-11-16 16:05 - 000000556 _____ C:\Windows\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job
2019-05-24 08:22 - 2009-07-14 06:45 - 000021088 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2019-05-24 08:22 - 2009-07-14 06:45 - 000021088 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2019-05-24 08:15 - 2016-06-15 16:16 - 000000000 __SHD C:\Users\C******\IntelGraphicsProfiles
2019-05-24 08:14 - 2016-11-21 09:05 - 000000000 ____D C:\Users\C******\AppData\LocalLow\Mozilla
2019-05-24 08:14 - 2016-06-21 09:22 - 000000000 ____D C:\Users\C******\AppData\Local\FreePDF_XP
2019-05-24 08:13 - 2009-07-14 07:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2019-05-22 11:36 - 2016-06-15 18:37 - 000000000 ____D C:\Program Files (x86)\Avira
2019-05-22 11:07 - 2016-06-15 18:37 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2019-05-22 11:07 - 2016-06-15 18:37 - 000000000 ____D C:\ProgramData\Avira
2019-05-22 11:06 - 2018-11-13 09:04 - 000000000 ____D C:\Users\Public\Optimizer Sessions
2019-05-22 11:06 - 2016-11-22 09:30 - 000000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2019-05-22 11:06 - 2016-06-15 16:02 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2019-05-22 08:47 - 2017-11-16 16:05 - 000000000 ____D C:\Users\C******\AppData\Local\GoToMeeting
2019-05-21 11:44 - 2016-06-15 16:16 - 000000000 ____D C:\Users\C******
2019-05-20 08:06 - 2018-03-14 11:06 - 000004518 _____ C:\Windows\System32\Tasks\Adobe Flash Player NPAPI Notifier
2019-05-20 08:06 - 2015-12-21 09:49 - 000842296 _____ (Adobe) C:\Windows\SysWOW64\FlashPlayerApp.exe
2019-05-20 08:06 - 2015-12-21 09:49 - 000175160 _____ (Adobe) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2019-05-20 08:06 - 2015-12-21 09:49 - 000004312 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2019-05-20 08:06 - 2015-12-21 09:49 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2019-05-20 08:06 - 2015-12-21 09:49 - 000000000 ____D C:\Windows\system32\Macromed
2019-05-20 07:56 - 2017-08-04 17:18 - 000002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2019-05-20 07:55 - 2016-06-20 08:59 - 000000000 ____D C:\Users\C******\AppData\Local\CrashDumps
2019-05-14 14:44 - 2017-11-16 16:05 - 000003680 _____ C:\Windows\System32\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001
2019-05-14 14:44 - 2017-11-16 16:05 - 000003584 _____ C:\Windows\System32\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001
2019-05-14 09:33 - 2017-10-09 12:16 - 000003292 _____ C:\Windows\System32\Tasks\Avira_Antivirus_Systray
2019-05-01 16:55 - 2019-02-15 15:37 - 000000000 ____D C:\Users\C******\Desktop\Sardinien Mai 2019
2019-05-01 16:46 - 2016-06-15 18:37 - 000000000 ____D C:\ProgramData\Package Cache
2019-04-30 07:58 - 2011-03-01 06:56 - 000769468 _____ C:\Windows\system32\perfh007.dat
2019-04-30 07:58 - 2011-03-01 06:56 - 000173786 _____ C:\Windows\system32\perfc007.dat
2019-04-30 07:58 - 2009-07-14 07:13 - 001795460 _____ C:\Windows\system32\PerfStringBackup.INI
2019-04-30 07:58 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\inf
2019-04-24 08:45 - 2016-09-13 10:56 - 000000000 ____D C:\Users\C******\AppData\Roaming\FIRMENNAME

==================== SigCheck ===============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)


LastRegBack: 2018-11-14 11:54
==================== Ende von FRST.txt ============================

Addition.txt

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 19-05.2019
durchgeführt von C****** (24-05-2019 14:17:46)
Gestartet von C:\Users\C******\Downloads
Windows 7 Professional Service Pack 1 (X64) (2016-06-15 13:16:29)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-3844128967-1944758327-3508676871-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-3844128967-1944758327-3508676871-500 - Administrator - Disabled)
C****** (S-1-5-21-3844128967-1944758327-3508676871-1001 - Administrator - Enabled) => C:\Users\C******
Gast (S-1-5-21-3844128967-1944758327-3508676871-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 19.012.20034 - Adobe Systems Incorporated)
Adobe Flash Player 32 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 32.0.0.192 - Adobe)
Adobe Flash Player 32 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 32.0.0.192 - Adobe)
Avira (HKLM-x32\...\{2504137A-5E42-4340-8F34-2086B49FBD1A}) (Version: 1.2.133.21088 - Avira Operations GmbH & Co. KG) Hidden
Avira (HKLM-x32\...\{b3f1f775-e558-4660-a503-9129ae9d7310}) (Version: 1.2.133.21088 - Avira Operations GmbH & Co. KG)
Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.45.1184 - Avira Operations GmbH & Co. KG)
Avira Browser Safety (HKLM-x32\...\{9E10EA90-5E97-43B7-A246-FC7B4F5E9493}) (Version: 1.4.5.509 - Avira Operations GmbH & Co KG)
Avira Phantom VPN (HKLM-x32\...\Avira Phantom VPN) (Version: 2.24.1.25128 - Avira Operations GmbH & Co. KG)
Avira Safe Shopping (HKLM-x32\...\{9158dccb-03a7-493c-b07e-f47b9784425c}) (Version: 1.0.65.2672 - Avira Operations Gmbh & Co. KG) Hidden
Avira Safe Shopping (HKLM-x32\...\{F4DA759E-9A04-4F06-88A3-9AB6817E5E66}) (Version: 1.1.32.3849 - Avira Operations GmbH & Co. KG)
Avira System Speedup (HKLM-x32\...\Avira System Speedup_is1) (Version: 5.4.3.10308 - Avira Operations GmbH & Co. KG)
Dell Edoc Viewer (HKLM\...\{8EBA8727-ADC2-477B-9D9A-1A1836BE4E05}) (Version: 1.0.0 - Dell Inc)
E-POSTBUSINESS BOX (HKLM-x32\...\{581A252C-6E36-49F5-9FF7-D9596B909918}) (Version: 3.1.5 - pawisda systems GmbH)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
Ghostscript (HKLM-x32\...\{20B947A1-7F78-40BE-97DA-0353BB2AF819}) (Version: 9.06.0 - pawisda systems GmbH)
GoTo Opener (HKLM-x32\...\{351B54B2-1AFC-42A7-A8C0-9E05C26F0D1E}) (Version: 1.0.470 - LogMeIn, Inc.)
GoToMeeting 8.44.2.13022 (HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\GoToMeeting) (Version: 8.44.2.13022 - LogMeIn, Inc.)
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.19) (Version: 9.19 - Artifex Software Inc.)
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 10.0.31.1000 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.14.4432 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.5.4.40 - Intel Corporation)
Java 8 Update 77 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218077F0}) (Version: 8.0.770.3 - Oracle Corporation)
Malwarebytes Version 3.7.1.2839 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.7.1.2839 - Malwarebytes)
Maxx Audio Installer (x64) (HKLM\...\{307032B2-6AF2-46D7-B933-62438DEB2B9A}) (Version: 1.6.5073.107 - Waves Audio Ltd.) Hidden
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version:  - Microsoft)
Microsoft Office Home and Business 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.6029.1000 - Microsoft Corporation)
MozBackup 1.5.1 (HKLM-x32\...\MozBackup) (Version:  - Pavel Cvrcek)
Mozilla Firefox 66.0.5 (x64 de) (HKLM\...\Mozilla Firefox 66.0.5 (x64 de)) (Version: 66.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 66.0.5.7066 - Mozilla)
Mozilla Thunderbird 60.7.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 60.7.0 (x86 de)) (Version: 60.7.0 - Mozilla)
Pimero 2014 R2 (HKLM-x32\...\Pimero 2014 R2_is1) (Version: 9.2 - soft-evolution)
Pimero 2016 R1 (HKLM-x32\...\Pimero 2016 R1_is1) (Version: 11.1 - soft-evolution)
Pimero 2019 R1 (HKLM-x32\...\Pimero 2019 R1_is1) (Version: 19.1 - soft-evolution)
Realtek Audio COM Components (HKLM-x32\...\{2355B503-9B11-4449-861D-1C1748B26320}) (Version: 1.0.2 - Realtek Semiconductor Corp.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6068 - Realtek Semiconductor Corp.)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
FIRMENNAME Welt 4.3.3 (HKLM-x32\...\07C8CCAD-EDCF-4E13-9B8D-BBDF7A700E0B_is1) (Version: 4.3.3.0 - FIRMENNAME GmbH)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3844128967-1944758327-3508676871-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel(R) pGFX -> Intel Corporation)
CustomCLSID: HKU\S-1-5-21-3844128967-1944758327-3508676871-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\C******\AppData\Local\GoToMeeting\13022\G2MOutlookAddin64.dll (LogMeIn, Inc. -> LogMeIn, Inc.)
ContextMenuHandlers1: [SystemSpeedupFilesMenu] -> {14cb2bd0-2375-3d10-9b5d-5e18865c8959} => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.UI.ShellExtension.DLL [2019-03-14] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-02-01] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers4: [SystemSpeedupFoldersMenu] -> {700866bb-c8e9-3e71-b359-abb28baed0e8} => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.UI.ShellExtension.DLL [2019-03-14] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\Windows\system32\igfxDTCM.dll [2016-06-09] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers5: [SystemSpeedupDesktopMenu] -> {0cab5786-30e8-3185-9b3b-ccefbf1b8afe} => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.UI.ShellExtension.DLL [2019-03-14] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-02-01] (Malwarebytes Corporation -> Malwarebytes)

==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

ShortcutWithArgument: C:\Users\C******\Desktop\FIRMENARTIKELWeb.lnk -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"
ShortcutWithArgument: C:\Users\C******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FIRMENNAME\FIRMENARTIKELKom\FIRMENARTIKELWeb.lnk -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"
ShortcutWithArgument: C:\Users\C******\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FIRMENARTIKELWeb.lnk -> C:\Program Files (x86)\Java\jre1.8.0_77\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-06-15 19:31 - 2012-06-21 07:25 - 000113152 _____ () [Datei ist nicht signiert] C:\Windows\System32\redmon64.dll
2011-07-21 21:30 - 2011-07-21 21:30 - 007567872 _____ (CANON INC.) [Datei ist nicht signiert] C:\Windows\system32\spool\DRIVERS\x64\3\CNP60407_DF1BC.DLL
2011-07-03 15:00 - 2011-07-03 15:00 - 002261504 _____ (CANON INC.) [Datei ist nicht signiert] C:\Windows\system32\spool\DRIVERS\x64\3\Cnp60M_DF1BC.DLL
2011-07-03 15:00 - 2011-07-03 15:00 - 007192576 _____ (CANON INC.) [Datei ist nicht signiert] C:\Windows\system32\spool\DRIVERS\x64\3\Cnp60MUI_DF1BC.DLL
2011-06-14 20:05 - 2011-06-14 20:05 - 000289792 _____ (CANON INC.) [Datei ist nicht signiert] C:\Windows\system32\spool\DRIVERS\x64\3\CPC10S.DLL
2016-06-15 17:08 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe
2019-03-20 11:38 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe
2019-03-20 11:38 - 2014-06-26 13:44 - 000007680 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\ib_util.dll
2019-01-18 10:19 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe
2016-06-15 17:08 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\icudt30.dll
2016-06-15 17:08 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\icuuc30.dll
2019-03-20 11:38 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\icudt30.dll
2019-03-20 11:38 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\icuuc30.dll
2019-01-18 10:19 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\icudt30.dll
2019-01-18 10:19 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\icuuc30.dll
2015-12-21 09:52 - 2014-04-10 22:07 - 000073728 _____ (Intel Corporation) [Datei ist nicht signiert] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.dll
2014-04-11 18:17 - 2014-04-11 18:17 - 000111104 _____ (Microsoft Corporation) [Datei ist nicht signiert] C:\Windows\Microsoft.Net\assembly\GAC_32\System.EnterpriseServices\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
2016-06-15 17:05 - 2013-06-17 13:52 - 000036864 _____ (pawisda systems GmbH) [Datei ist nicht signiert] C:\Windows\System32\vpportmon.dll
2017-11-14 09:07 - 2017-11-14 09:07 - 000866304 _____ (ServiceStack) [Datei ist nicht signiert] C:\Windows\assembly\NativeImages_v4.0.30319_32\ServiceStack.Text\6a0608720165f858cbca72b68ac00238\ServiceStack.Text.ni.dll
2014-03-18 20:50 - 2014-03-18 20:50 - 000373760 _____ (shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1113 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1276 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:551 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:593 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:691 [0]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path: C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Intel\iCLS Client\;C:\Program Files\Intel\iCLS Client\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine Components\IPT;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\C******\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.100.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{DA3EE8B6-3D2C-47E9-A2D5-103D7505C259}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{68209138-7451-40C2-8DAD-4982BD13254A}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)

==================== Wiederherstellungspunkte =========================


==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (05/24/2019 10:09:14 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Avira.SystemSpeedup.Maintenance.exe, Version: 5.4.3.10308, Zeitstempel: 0x5c8a28ac
Name des fehlerhaften Moduls: clr.dll, Version: 4.0.30319.34209, Zeitstempel: 0x5348961e
Ausnahmecode: 0xc0000409
Fehleroffset: 0x002ec083
ID des fehlerhaften Prozesses: 0x150c
Startzeit der fehlerhaften Anwendung: 0x01d51207f96c9df9
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Maintenance.exe
Pfad des fehlerhaften Moduls: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
Berichtskennung: 376a17a3-7dfb-11e9-9f48-64006a3569c9

Error: (05/24/2019 08:14:11 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/23/2019 10:09:13 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Avira.SystemSpeedup.Maintenance.exe, Version: 5.4.3.10308, Zeitstempel: 0x5c8a28ac
Name des fehlerhaften Moduls: clr.dll, Version: 4.0.30319.34209, Zeitstempel: 0x5348961e
Ausnahmecode: 0xc0000409
Fehleroffset: 0x002ec083
ID des fehlerhaften Prozesses: 0x1060
Startzeit der fehlerhaften Anwendung: 0x01d5113ecefbd0bf
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Maintenance.exe
Pfad des fehlerhaften Moduls: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
Berichtskennung: 0ce17ca6-7d32-11e9-9cb2-64006a3569c9

Error: (05/23/2019 07:56:13 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/22/2019 11:36:45 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/22/2019 11:06:28 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/22/2019 09:43:09 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Avira.Optimizer.Maintenance.exe, Version: 5.1.1.10381, Zeitstempel: 0x5ca71e63
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000409
Fehleroffset: 0x030ba8aa
ID des fehlerhaften Prozesses: 0xfb4
Startzeit der fehlerhaften Anwendung: 0x01d510720013ae25
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Avira\Optimizer\Avira.Optimizer.Maintenance.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: 3df95a0c-7c65-11e9-856e-64006a3569c9

Error: (05/22/2019 07:55:12 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.


Systemfehler:
=============
Error: (05/24/2019 02:06:14 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 02:01:50 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 02:00:26 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 01:15:30 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 11:16:39 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 10:38:59 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 10:36:57 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.

Error: (05/24/2019 10:35:19 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung empfangen: 112.


==================== Speicherinformationen ===========================

BIOS: Dell Inc. A09 07/27/2015
Motherboard: Dell Inc. 040DDP
Prozessor: Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz
Prozentuale Nutzung des RAM: 63%
Installierter physikalischer RAM: 8110.54 MB
Verfügbarer physikalischer RAM: 2979.52 MB
Summe virtueller Speicher: 16219.27 MB
Verfügbarer virtueller Speicher: 9528.64 MB

==================== Laufwerke ================================

Drive c: (OS) (Fixed) (Total:919.74 GB) (Free:844.38 GB) NTFS

\\?\Volume{ffaa4d44-a84c-11e5-8c75-806e6f6e6963}\ (RECOVERY) (Fixed) (Total:11.73 GB) (Free:2.38 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 931.5 GB) (Disk ID: 56789C3D)
Partition 1: (Not Active) - (Size=39 MB) - (Type=DE)
Partition 2: (Active) - (Size=11.7 GB) - (Type=27)
Partition 3: (Not Active) - (Size=919.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

cosinus, entschuldige, wenn ich dir damit auf die Nerven gegangen bin. Die Symptomatik lt. Suchergebnissen war einfach sehr ähnlich zueinander.

Das mit Win7 habe ich weitergegeben.

Danke :-)


Ich hab relevante Klarnamen gesternt und für die Firma FIRMENNAME eingesetzt, sowie für die zwei Firmeneigenen Programme FIRMENARTIKEL verwendet. Hoffe das ist ok.

Lg

cosinus 27.05.2019 08:57
Diesen veralteten bzw unnötigen Krempel deinstallieren:

Zitat:
Adobe Acrobat Reader DC - Deutsch
Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Avira
Avira Antivirus
Avira Browser Safety
Avira Phantom VPN
Avira Safe Shopping
Avira System Speedup
Java 8 Update 77

MiMiQQ 27.05.2019 09:18
Hallo cosinus,
das kann ich machen, jedoch läuft eines unserer Firmenprogramme (vom Hersteller, nicht von uns) auf Java Basis und wird von uns auf täglicher Basis benötigt. Das kann ich also nicht entfernen.

Ich gebe Bescheid wenn der Rest unten ist.

cosinus 27.05.2019 09:19
Diese Java-Version ist aber hoffnungslos veraltet und damit eine Gefahr. Aktualisiere es zumindest auf das aktuelle Release.

MiMiQQ 27.05.2019 10:02
So, alles Aufgelistete ist weg, Java ist aktualisiert auf die Version 8 Update 211 vom 19.04.2019.

Jetzt ist kein PDF Reader drauf, kann ich den Acrobat dann später wieder in der neuesten Variante installieren?

cosinus 27.05.2019 14:32
Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



adwCleaner v7.x

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

MiMiQQ 28.05.2019 08:42
Guten Morgen, ich habe zwei Logs mit Cxx, weil die Buttons nicht vollständig sichtbar waren und ich anscheinend erst mal das Falsche ausgewählt hatte :heilig:

Ich stelle mal beide rein:


C01:

Code:
# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build:    04-04-2019
# Database: 2019-05-27.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-28-2019
# Duration: 00:00:00
# OS:      Windows 7 Professional
# Cleaned:  0
# Failed:  0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1257 octets] - [28/05/2019 09:34:35]
AdwCleaner[S01].txt - [1318 octets] - [28/05/2019 09:35:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
C02:
Code:
# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build:    04-04-2019
# Database: 2019-05-27.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-28-2019
# Duration: 00:00:01
# OS:      Windows 7 Professional
# Cleaned:  0
# Failed:  0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1257 octets] - [28/05/2019 09:34:35]
AdwCleaner[S01].txt - [1318 octets] - [28/05/2019 09:35:41]
AdwCleaner[C01].txt - [1603 octets] - [28/05/2019 09:35:51]
AdwCleaner[S02].txt - [1440 octets] - [28/05/2019 09:37:58]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

cosinus 28.05.2019 08:56
Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

MiMiQQ 28.05.2019 09:22
FRST.txt:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 27-05.2019
durchgeführt von C****** (Administrator) auf PCSEK1 (Dell Inc. OptiPlex 3020) (28-05-2019 10:10:43)
Gestartet von C:\Users\C******\Desktop
Geladene Profile: C****** (Verfügbare Profile: Admin & C******* & Classic .NET AppPool)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe
(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe
(Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe
(Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
(Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Intel(R) pGFX -> ) C:\Windows\System32\igfxTray.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel(R) pGFX -> Intel Corporation) C:\Windows\System32\igfxHK.exe
(Malwarebytes Corporation -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes Corporation -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
(shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(TeamViewer GmbH -> TeamViewer GmbH) C:\Users\C******\AppData\Local\Temp\TeamViewer\TeamViewer_Service.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8464600 2015-04-08] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1392856 2015-03-21] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [USB3MON] => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2014-04-10] (Intel Corporation - Software and Firmware Products -> Intel Corporation)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de) [Datei ist nicht signiert]
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [645456 2019-04-01] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\Run: [] => [X]
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\MountPoints2: {7c6ae5c3-75b5-11e7-b3e6-64006a3569c9} - E:\autorun.exe

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2B9A51A2-7A04-4208-A43E-DFA9A867C79E} - System32\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001 => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupload.exe [32256 2019-05-14] (LogMeIn, Inc. -> LogMeIn, Inc.)
Task: {3FD027DC-0E70-4BA9-87A4-4678076D0408} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => schtasks [Argument = /run /TN "\Microsoft\Windows\Setup\gwx\refreshgwxconfig"]
Task: {90E94171-150F-4F18-A349-4B495D2635BE} - System32\Tasks\RtHDVBg_PushButton => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1392856 2015-03-21] (Realtek Semiconductor Corp -> Realtek Semiconductor)
Task: {C2399470-77FC-41BC-A862-4226C6569C6F} - System32\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001 => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupdate.exe [32256 2019-05-14] (LogMeIn, Inc. -> LogMeIn, Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupdate.exe
Task: C:\Windows\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job => C:\Users\C******\AppData\Local\GoToMeeting\13022\g2mupload.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\..\Interfaces\{F9587AC2-E5D5-4BEF-AD56-3E2089970196}: [NameServer] 192.168.100.1
HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,192.168.100.1,-1]

Internet Explorer:
==================
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell13.msn.com/?pc=DCTE
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCTE
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_211\bin\ssv.dll [2019-05-27] (Oracle America, Inc. -> Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation -> Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_211\bin\jp2ssv.dll [2019-05-27] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2010-12-21] (Microsoft Corporation -> Microsoft Corporation)

FireFox:
========
FF DefaultProfile: qjysljkn.default
FF ProfilePath: C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default [2019-05-28]
FF Extension: (Avira Browserschutz) - C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default\Extensions\abs@avira.com.xpi [2019-03-28]
FF Extension: (Adblock Plus - kostenloser Adblocker) - C:\Users\C******\AppData\Roaming\Mozilla\Firefox\Profiles\qjysljkn.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2019-04-23]
FF Plugin: @java.com/DTPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\dtplugin\npDeployJava1.dll [2019-05-27] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\plugin2\npjp2.dll [2019-05-27] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.56 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2014-11-10] (Intel(R) Identity Protection Technology Software -> Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2014-11-10] (Intel(R) Identity Protection Technology Software -> Intel Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation -> Microsoft Corporation)

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 FirebirdServerPimero; C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 FirebirdServerPimero 2014; C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 FirebirdServerPimero 2019; C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe [3784704 2014-06-26] (Firebird Project) [Datei ist nicht signiert]
R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [354280 2016-06-09] (Intel(R) pGFX -> Intel Corporation)
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [887256 2014-05-13] (Intel® Trusted Connect Service -> Intel(R) Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [158496 2014-11-10] (Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6562472 2019-02-01] (Malwarebytes Corporation -> Malwarebytes)
R2 RtkAudioService; C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe [291032 2014-08-19] (Realtek Semiconductor Corp -> Realtek Semiconductor)
R2 TeamViewer; c:\users\C******\appdata\local\temp\teamviewer\TeamViewer_Service.exe [10803440 2017-07-26] (TeamViewer GmbH -> TeamViewer GmbH) <==== ACHTUNG
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2015-12-22] (Microsoft Windows -> Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [153328 2019-01-08] (Malwarebytes Corporation -> Malwarebytes)
R3 IntcAzAudAddService; C:\Windows\System32\drivers\RTDVHD64.sys [2740056 2015-04-08] (Realtek Semiconductor Corp -> Realtek Semiconductor Corp.)
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [199768 2019-05-28] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [127136 2019-05-28] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMProtection; C:\Windows\system32\DRIVERS\mbam.sys [73912 2019-05-28] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [275232 2019-05-28] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [107368 2019-05-28] (Malwarebytes Corporation -> Malwarebytes)
R3 MEIx64; C:\Windows\System32\DRIVERS\TeeDriverx64.sys [129312 2014-11-10] (Intel Corporation - Embedded Subsystems and IP Blocks Group -> Intel Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat (erstellte) ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-05-28 10:10 - 2019-05-28 10:10 - 000000000 ____D C:\Users\C******\Desktop\FRST-OlderVersion
2019-05-28 09:39 - 2019-05-28 09:39 - 000275232 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2019-05-28 09:39 - 2019-05-28 09:39 - 000127136 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2019-05-28 09:39 - 2019-05-28 09:39 - 000107368 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2019-05-28 09:39 - 2019-05-28 09:39 - 000073912 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2019-05-28 09:37 - 2019-05-28 09:37 - 000199768 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2019-05-28 09:21 - 2019-05-28 09:34 - 000000000 ____D C:\AdwCleaner
2019-05-28 09:18 - 2019-05-28 09:18 - 007025360 _____ (Malwarebytes) C:\Users\C******\Desktop\adwcleaner_7.3.exe
2019-05-27 10:48 - 2019-05-27 10:48 - 000000000 ____D C:\Users\C******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FIRMENNAME
2019-05-27 10:47 - 2019-05-27 10:46 - 000110968 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-64.dll
2019-05-27 10:46 - 2019-05-27 10:46 - 000110968 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge-64.dll
2019-05-27 10:46 - 2019-05-27 10:46 - 000000000 ____D C:\Program Files\Java
2019-05-27 10:45 - 2019-05-27 10:45 - 079721824 _____ (Oracle Corporation) C:\Users\C******\Downloads\jre-8u211-windows-x64.exe
2019-05-24 14:17 - 2019-05-24 14:19 - 000023738 _____ C:\Users\C******\Desktop\Addition.txt
2019-05-24 14:16 - 2019-05-28 10:11 - 000013836 _____ C:\Users\C******\Desktop\FRST.txt
2019-05-24 14:16 - 2019-05-28 10:10 - 000000000 ____D C:\FRST
2019-05-24 14:13 - 2019-05-28 10:10 - 002435584 _____ (Farbar) C:\Users\C******\Desktop\FRST64.exe
2019-05-24 08:18 - 2019-05-27 10:50 - 000000000 ____D C:\Program Files (x86)\Mozilla Firefox
2019-05-23 09:59 - 2019-05-23 10:14 - 000000000 ____D C:\Users\C******\Desktop\TrojanerBoard
2019-05-22 11:33 - 2019-05-22 11:33 - 000000000 ____D C:\Users\C******\AppData\Local\mbamtray
2019-05-22 11:33 - 2019-05-22 11:33 - 000000000 ____D C:\Users\C******\AppData\Local\mbam
2019-05-22 11:32 - 2019-05-22 11:32 - 063413952 _____ (Malwarebytes ) C:\Users\C******\Downloads\mb3-setup-consumer-3.7.1.2839-1.0.586-1.0.10692.exe
2019-05-22 11:32 - 2019-05-22 11:32 - 000001869 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\ProgramData\Malwarebytes
2019-05-22 11:32 - 2019-05-22 11:32 - 000000000 ____D C:\Program Files\Malwarebytes
2019-05-22 11:32 - 2019-01-08 16:32 - 000153328 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys

==================== Ein Monat (geänderte) ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2019-05-28 10:08 - 2017-11-16 16:05 - 000000652 _____ C:\Windows\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job
2019-05-28 09:47 - 2017-11-16 16:05 - 000000556 _____ C:\Windows\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001.job
2019-05-28 09:47 - 2009-07-14 06:45 - 000021088 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2019-05-28 09:47 - 2009-07-14 06:45 - 000021088 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2019-05-28 09:39 - 2016-11-21 09:05 - 000000000 ____D C:\Users\C******\AppData\LocalLow\Mozilla
2019-05-28 09:39 - 2016-06-21 09:22 - 000000000 ____D C:\Users\C******\AppData\Local\FreePDF_XP
2019-05-28 09:39 - 2016-06-15 16:16 - 000000000 __SHD C:\Users\C******\IntelGraphicsProfiles
2019-05-28 09:39 - 2009-07-14 07:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2019-05-27 16:58 - 2016-06-17 18:56 - 000000000 ____D C:\ProgramData\firebird
2019-05-27 11:47 - 2017-11-16 16:05 - 000000000 ____D C:\Users\C******\AppData\Local\GoToMeeting
2019-05-27 10:50 - 2016-06-15 18:37 - 000000000 ____D C:\Program Files (x86)\Avira
2019-05-27 10:50 - 2016-06-15 16:02 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2019-05-27 10:48 - 2016-06-15 19:03 - 000002446 _____ C:\Users\C******\Desktop\FIRMENARTIKELWeb.lnk
2019-05-27 10:47 - 2016-06-15 18:57 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2019-05-27 10:44 - 2016-06-15 18:37 - 000000000 ____D C:\ProgramData\Package Cache
2019-05-27 10:44 - 2016-06-15 18:37 - 000000000 ____D C:\ProgramData\Avira
2019-05-27 10:42 - 2015-12-21 09:49 - 000000000 ____D C:\Windows\system32\Macromed
2019-05-27 10:41 - 2015-12-21 09:49 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2019-05-27 10:40 - 2017-08-04 17:18 - 000000000 ____D C:\Program Files (x86)\Adobe
2019-05-22 11:06 - 2018-11-13 09:04 - 000000000 ____D C:\Users\Public\Optimizer Sessions
2019-05-22 11:06 - 2016-11-22 09:30 - 000000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2019-05-21 11:44 - 2016-06-15 16:16 - 000000000 ____D C:\Users\C******
2019-05-20 07:55 - 2016-06-20 08:59 - 000000000 ____D C:\Users\C******\AppData\Local\CrashDumps
2019-05-14 14:44 - 2017-11-16 16:05 - 000003680 _____ C:\Windows\System32\Tasks\G2MUploadTask-S-1-5-21-3844128967-1944758327-3508676871-1001
2019-05-14 14:44 - 2017-11-16 16:05 - 000003584 _____ C:\Windows\System32\Tasks\G2MUpdateTask-S-1-5-21-3844128967-1944758327-3508676871-1001
2019-05-01 16:55 - 2019-02-15 15:37 - 000000000 ____D C:\Users\C******\Desktop\Sardinien Mai 2019
2019-04-30 07:58 - 2011-03-01 06:56 - 000769468 _____ C:\Windows\system32\perfh007.dat
2019-04-30 07:58 - 2011-03-01 06:56 - 000173786 _____ C:\Windows\system32\perfc007.dat
2019-04-30 07:58 - 2009-07-14 07:13 - 001795460 _____ C:\Windows\system32\PerfStringBackup.INI
2019-04-30 07:58 - 2009-07-14 05:20 - 000000000 ____D C:\Windows\inf

==================== SigCheck ===============================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)


LastRegBack: 2018-11-14 11:54
==================== Ende von FRST.txt ============================
Addition.txt:

Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 27-05.2019
durchgeführt von C****** (28-05-2019 10:11:46)
Gestartet von C:\Users\C****** \Desktop
Windows 7 Professional Service Pack 1 (X64) (2016-06-15 13:16:29)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Admin (S-1-5-21-3844128967-1944758327-3508676871-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-3844128967-1944758327-3508676871-500 - Administrator - Disabled)
C****** (S-1-5-21-3844128967-1944758327-3508676871-1001 - Administrator - Enabled) => C:\Users\C*******
Gast (S-1-5-21-3844128967-1944758327-3508676871-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Avira Safe Shopping (HKLM-x32\...\{9158dccb-03a7-493c-b07e-f47b9784425c}) (Version: 1.0.65.2672 - Avira Operations Gmbh & Co. KG) Hidden
Dell Edoc Viewer (HKLM\...\{8EBA8727-ADC2-477B-9D9A-1A1836BE4E05}) (Version: 1.0.0 - Dell Inc)
E-POSTBUSINESS BOX (HKLM-x32\...\{581A252C-6E36-49F5-9FF7-D9596B909918}) (Version: 3.1.5 - pawisda systems GmbH)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
Ghostscript (HKLM-x32\...\{20B947A1-7F78-40BE-97DA-0353BB2AF819}) (Version: 9.06.0 - pawisda systems GmbH)
GoTo Opener (HKLM-x32\...\{351B54B2-1AFC-42A7-A8C0-9E05C26F0D1E}) (Version: 1.0.470 - LogMeIn, Inc.)
GoToMeeting 8.44.2.13022 (HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\...\GoToMeeting) (Version: 8.44.2.13022 - LogMeIn, Inc.)
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.19) (Version: 9.19 - Artifex Software Inc.)
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 10.0.31.1000 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.14.4432 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.5.4.40 - Intel Corporation)
Java 8 Update 211 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180211F0}) (Version: 8.0.2110.12 - Oracle Corporation)
Malwarebytes Version 3.7.1.2839 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.7.1.2839 - Malwarebytes)
Maxx Audio Installer (x64) (HKLM\...\{307032B2-6AF2-46D7-B933-62438DEB2B9A}) (Version: 1.6.5073.107 - Waves Audio Ltd.) Hidden
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version:  - Microsoft)
Microsoft Office Home and Business 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.6029.1000 - Microsoft Corporation)
MozBackup 1.5.1 (HKLM-x32\...\MozBackup) (Version:  - Pavel Cvrcek)
Mozilla Firefox 67.0 (x64 de) (HKLM\...\Mozilla Firefox 67.0 (x64 de)) (Version: 67.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 67.0.0.7075 - Mozilla)
Mozilla Thunderbird 60.7.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 60.7.0 (x86 de)) (Version: 60.7.0 - Mozilla)
Pimero 2014 R2 (HKLM-x32\...\Pimero 2014 R2_is1) (Version: 9.2 - soft-evolution)
Pimero 2016 R1 (HKLM-x32\...\Pimero 2016 R1_is1) (Version: 11.1 - soft-evolution)
Pimero 2019 R1 (HKLM-x32\...\Pimero 2019 R1_is1) (Version: 19.1 - soft-evolution)
Realtek Audio COM Components (HKLM-x32\...\{2355B503-9B11-4449-861D-1C1748B26320}) (Version: 1.0.2 - Realtek Semiconductor Corp.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6068 - Realtek Semiconductor Corp.)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
FIRMENNAME FIRMENARTIKELWelt 4.3.3 (HKLM-x32\...\07C8CCAD-EDCF-4E13-9B8D-BBDF7A700E0B_is1) (Version: 4.3.3.0 - FIRMENNAME GmbH)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-3844128967-1944758327-3508676871-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel(R) pGFX -> Intel Corporation)
CustomCLSID: HKU\S-1-5-21-3844128967-1944758327-3508676871-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\C*******\AppData\Local\GoToMeeting\13022\G2MOutlookAddin64.dll (LogMeIn, Inc. -> LogMeIn, Inc.)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-02-01] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Keine Datei
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\Windows\system32\igfxDTCM.dll [2016-06-09] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-02-01] (Malwarebytes Corporation -> Malwarebytes)

==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

ShortcutWithArgument: C:\Users\C*******\Desktop\FIRMENARTIKELWeb.lnk -> C:\Program Files\Java\jre1.8.0_211\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"
ShortcutWithArgument: C:\Users\C*******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FIRMENNAME\FIRMENARTIKELKom\FIRMENARTIKELWeb.lnk -> C:\Program Files\Java\jre1.8.0_211\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"
ShortcutWithArgument: C:\Users\C*******\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FIRMENARTIKELWeb.lnk -> C:\Program Files\Java\jre1.8.0_211\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://commserver.FIRMENNAME.com/FIRMENARTIKELweb/FIRMENARTIKELweb.jnlp "C:\Users\C*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\1857aac5-43755ce5"

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-06-15 19:31 - 2012-06-21 07:25 - 000113152 _____ () [Datei ist nicht signiert] C:\Windows\System32\redmon64.dll
2016-06-15 17:08 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\fbserver.exe
2019-03-20 11:38 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\fbserver.exe
2019-01-18 10:19 - 2014-06-26 13:44 - 003784704 _____ (Firebird Project) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\fbserver.exe
2016-06-15 17:08 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\icudt30.dll
2016-06-15 17:08 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2014\fbserver\bin\icuuc30.dll
2019-03-20 11:38 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\icudt30.dll
2019-03-20 11:38 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero 2019\fbserver\bin\icuuc30.dll
2019-01-18 10:19 - 2014-06-26 13:44 - 001568768 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\icudt30.dll
2019-01-18 10:19 - 2014-06-26 13:44 - 000675840 _____ (IBM Corporation and others) [Datei ist nicht signiert] C:\Program Files (x86)\Pimero\fbserver\bin\icuuc30.dll
2015-12-21 09:52 - 2014-04-10 22:07 - 000073728 _____ (Intel Corporation) [Datei ist nicht signiert] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.dll
2016-06-15 17:05 - 2013-06-17 13:52 - 000036864 _____ (pawisda systems GmbH) [Datei ist nicht signiert] C:\Windows\System32\vpportmon.dll
2014-03-18 20:50 - 2014-03-18 20:50 - 000373760 _____ (shbox.de) [Datei ist nicht signiert] C:\Program Files (x86)\FreePDF_XP\fpassist.exe

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1113 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1276 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:551 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:593 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:691 [0]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path -> C:\Program Files (x86)\Common Files\Oracle\Java\javapath;C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Intel\iCLS Client\;C:\Program Files\Intel\iCLS Client\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine Components\IPT;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT
HKU\S-1-5-21-3844128967-1944758327-3508676871-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\C*******\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.100.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{DA3EE8B6-3D2C-47E9-A2D5-103D7505C259}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{68209138-7451-40C2-8DAD-4982BD13254A}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)

==================== Wiederherstellungspunkte =========================

27-05-2019 10:39:19 Removed Adobe Acrobat Reader DC - Deutsch.
27-05-2019 10:43:11 Removed Avira Safe Shopping
27-05-2019 10:43:47 Removed Avira Browser Safety

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (05/28/2019 09:39:14 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/28/2019 09:36:52 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/28/2019 09:14:07 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/27/2019 10:50:42 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/27/2019 08:09:13 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Avira.SystemSpeedup.Maintenance.exe, Version: 5.4.3.10308, Zeitstempel: 0x5c8a28ac
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000409
Fehleroffset: 0x003da180
ID des fehlerhaften Prozesses: 0x19a4
Startzeit der fehlerhaften Anwendung: 0x01d51452b519a53a
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Maintenance.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: f3067542-8045-11e9-b5b2-64006a3569c9

Error: (05/27/2019 07:52:09 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (05/24/2019 10:09:14 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: Avira.SystemSpeedup.Maintenance.exe, Version: 5.4.3.10308, Zeitstempel: 0x5c8a28ac
Name des fehlerhaften Moduls: clr.dll, Version: 4.0.30319.34209, Zeitstempel: 0x5348961e
Ausnahmecode: 0xc0000409
Fehleroffset: 0x002ec083
ID des fehlerhaften Prozesses: 0x150c
Startzeit der fehlerhaften Anwendung: 0x01d51207f96c9df9
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Maintenance.exe
Pfad des fehlerhaften Moduls: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
Berichtskennung: 376a17a3-7dfb-11e9-9f48-64006a3569c9

Error: (05/24/2019 08:14:11 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.


Systemfehler:
=============
Error: (05/28/2019 09:38:34 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Modules Installer" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:34 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:34 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Firebird Server - Pimero 2019" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:34 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Presentation Foundation-Schriftartcache 3.0.0.0" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:34 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Firebird Server - Pimero 2014" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:33 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Firebird Server - Pimero" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/28/2019 09:38:33 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Intel(R) HD Graphics Control Panel Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (05/28/2019 09:36:21 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.


==================== Speicherinformationen ===========================

BIOS: Dell Inc. A09 07/27/2015
Motherboard: Dell Inc. 040DDP
Prozessor: Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz
Prozentuale Nutzung des RAM: 50%
Installierter physikalischer RAM: 8110.54 MB
Verfügbarer physikalischer RAM: 4036.5 MB
Summe virtueller Speicher: 16219.27 MB
Verfügbarer virtueller Speicher: 12043.97 MB

==================== Laufwerke ================================

Drive c: (OS) (Fixed) (Total:919.74 GB) (Free:844.89 GB) NTFS

\\?\Volume{ffaa4d44-a84c-11e5-8c75-806e6f6e6963}\ (RECOVERY) (Fixed) (Total:11.73 GB) (Free:2.38 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 931.5 GB) (Disk ID: 56789C3D)
Partition 1: (Not Active) - (Size=39 MB) - (Type=DE)
Partition 2: (Active) - (Size=11.7 GB) - (Type=27)
Partition 3: (Not Active) - (Size=919.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

cosinus 28.05.2019 09:24
Zitat:
Avira Safe Shopping
Vergessen oder konntest du den nicht deinstallieren?


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:07 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131