| |
| |||||||
Log-Analyse und Auswertung: Wird mein PC Ferngesteuert?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
30.01.2016, 19:31
| #1 |
| |  Wird mein PC Ferngesteuert? Hallo, ich habe heute morgen meine Laptop gestartet und habe seitdem das Gefühl er wird "ferngesteuert". Zunächst reagierte die Maus nicht und dann bewegte sie sich ohne mein Zutun sehr merkwürdig übertrieben. Dann wurden die Icons nicht angezeigt...beim nächsten Neustart schon. Jedoch wurden dann eine Vielzahl von Programmen geöffnet aber nicht verstellt. Ich konnte zwar einige Sachen wieder schließen aber nur über die Tastatur. Habe am Laptop jetzt WLAN ausgemacht und ihn heruntergefahren und bitte um Hilfestellung über einen anderen Rechner Ich habe hier auch gleich die FRST dateien Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:27-01-2016
durchgeführt von ich (Administrator) auf ICH-PC (29-01-2016 23:02:43)
Gestartet von C:\Users\ich\Desktop
Geladene Profile: ich (Verfügbare Profile: ich)
Platform: Microsoft® Windows Vista™ Home Basic Service Pack 2 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 9 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Prozesse (Nicht auf der Ausnahmeliste) =================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)
(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avguard.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
(Paramount Software UK Ltd) C:\Program Files\Macrium\Reflect\ReflectService.exe
(Perfect Privacy) C:\Program Files\Perfect Privacy VPN Manager\VPNManagerService.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avgnt.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(TrueCrypt Foundation) C:\Program Files\TrueCrypt\TrueCrypt.exe
(Sandboxie Holdings, LLC) C:\Program Files\Sandboxie\SbieCtrl.exe
(Perfect-Privacy) C:\Program Files\Perfect Privacy SSH Manager\SSHManager.exe
(Perfect Privacy) C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Antivirus\avshadow.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(The OpenVPN Project) C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmplayer.exe
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66320 2015-12-08] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\Antivirus\avgnt.exe [803200 2015-12-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe [2621240 2015-11-18] (Malwarebytes Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [596528 2015-10-06] (Oracle Corporation)
HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\...\Run: [TrueCrypt] => C:\Program Files\TrueCrypt\TrueCrypt.exe [1516496 2016-01-08] (TrueCrypt Foundation)
HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\...\Run: [SandboxieControl] => C:\Program Files\Sandboxie\SbieCtrl.exe [634504 2015-10-22] (Sandboxie Holdings, LLC)
Startup: C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2016-01-10] ()
==================== Internet (Nicht auf der Ausnahmeliste) ====================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)
Winsock: Catalog9 01 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 19 C:\Program Files\Avira\Antivirus\avsda.dll [507984 2015-12-03] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{10DDE13D-145B-4B1C-8F04-1834120F3E67}: [NameServer] 178.162.194.30,81.95.5.34
Tcpip\..\Interfaces\{10DDE13D-145B-4B1C-8F04-1834120F3E67}: [DhcpNameServer] 193.105.134.50 217.114.218.18
Tcpip\..\Interfaces\{362EBB00-E0F5-4836-8E22-2CDE15D0F941}: [NameServer] 178.162.194.30,81.95.5.34
Tcpip\..\Interfaces\{B189F5D0-F131-4C9C-BE36-1927FA82BCF4}: [NameServer] 94.242.243.66,178.162.194.30
Tcpip\..\Interfaces\{B189F5D0-F131-4C9C-BE36-1927FA82BCF4}: [DhcpNameServer] 192.168.1.1
Internet Explorer:
==================
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1770218144-2934837660-2320225156-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_66\bin\ssv.dll [2016-01-17] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_66\bin\jp2ssv.dll [2016-01-17] (Oracle Corporation)
FireFox:
========
FF ProfilePath: C:\Users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\aD4Mnr2g.default
FF Plugin: @java.com/DTPlugin,version=11.66.2 -> C:\Program Files\Java\jre1.8.0_66\bin\dtplugin\npDeployJava1.dll [2016-01-17] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.66.2 -> C:\Program Files\Java\jre1.8.0_66\bin\plugin2\npjp2.dll [2016-01-17] (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF Extension: Avira Browser Safety - C:\Users\ich\AppData\Roaming\Mozilla\Firefox\Profiles\aD4Mnr2g.default\Extensions\abs@avira.com [2016-01-07]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-02-27] [ist nicht signiert]
Chrome:
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S2 AntiVirMailService; C:\Program Files\Avira\Antivirus\avmailc.exe [930944 2015-12-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\Antivirus\sched.exe [466408 2015-12-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\Antivirus\avguard.exe [466408 2015-12-03] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\Antivirus\AVWEBGRD.EXE [1222952 2015-12-03] (Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [251160 2015-12-08] (Avira Operations GmbH & Co. KG)
S4 DirMngr; C:\Program Files\GNU\GnuPG\dirmngr.exe [216576 2015-09-09] () [Datei ist nicht signiert]
S3 Disc Soft Lite Bus Service; C:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe [1082200 2015-11-30] (Disc Soft Ltd)
R2 MbaeSvc; C:\Program Files\Malwarebytes Anti-Exploit\mbae-svc.exe [739640 2015-11-18] (Malwarebytes Corporation)
R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [451384 2015-10-22] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [899896 2015-10-22] (Malwarebytes Corporation)
R2 ReflectService.exe; C:\Program Files\Macrium\Reflect\ReflectService.exe [2613200 2015-10-12] (Paramount Software UK Ltd)
R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [137352 2015-10-22] (Sandboxie Holdings, LLC)
R2 VPNManager; C:\Program Files\Perfect Privacy VPN Manager\VPNManagerService.exe [19456 2016-01-12] (Perfect Privacy) [Datei ist nicht signiert]
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation)
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [106968 2015-12-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2015-12-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-12-03] (Avira Operations GmbH & Co. KG)
R3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [26168 2016-01-07] (Disc Soft Ltd)
R3 dtliteusbbus; C:\Windows\System32\DRIVERS\dtliteusbbus.sys [40504 2016-01-07] (Disc Soft Ltd)
R1 ESProtectionDriver; C:\Program Files\Malwarebytes Anti-Exploit\mbae.sys [47928 2015-11-18] ()
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22744 2015-10-22] (Malwarebytes Corporation)
R0 pssnap; C:\Windows\System32\DRIVERS\pssnap.sys [16016 2015-10-12] (Windows (R) Win 7 DDK provider)
R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [166024 2015-10-22] (Sandboxie Holdings, LLC)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [329384 2016-01-08] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-12-03] (Avira Operations GmbH & Co. KG)
R3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [23040 2015-05-26] (The OpenVPN Project)
S3 WIMMount; C:\Program Files\Macrium\Reflect\wimmount.sys [19024 2016-01-10] (Microsoft Corporation)
S4 IpInIp; system32\DRIVERS\ipinip.sys [X]
S4 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S4 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-29 23:02 - 2016-01-29 23:03 - 00011468 _____ C:\Users\ich\Desktop\FRST.txt
2016-01-29 23:02 - 2016-01-29 23:02 - 00000000 ____D C:\FRST
2016-01-29 23:02 - 2016-01-29 23:01 - 01721856 _____ (Farbar) C:\Users\ich\Desktop\FRST.exe
2016-01-29 22:21 - 2016-01-29 22:21 - 00380416 _____ C:\Users\ich\Desktop\yevjru7e.exe
2016-01-21 18:12 - 2016-01-21 18:12 - 155340078 _____ C:\Windows\MEMORY.DMP
2016-01-21 18:12 - 2016-01-21 18:12 - 00143544 _____ C:\Windows\Minidump\Mini012116-01.dmp
2016-01-21 18:12 - 2016-01-21 18:12 - 00000000 ____D C:\Windows\Minidump
2016-01-17 22:10 - 2016-01-17 22:25 - 80331777 _____ C:\Users\ich\Downloads\UofT - Maidan - Visotsky 75 yrs._hd.mp4
2016-01-17 22:08 - 2016-01-17 22:10 - 12576516 _____ C:\Users\ich\Downloads\Cowgirl_sd.mp4
2016-01-17 22:06 - 2016-01-17 22:11 - 27041173 _____ C:\Users\ich\Downloads\Cindy in Bubble Magic by Jay GreenMan_mp4.mp4
2016-01-17 22:06 - 2016-01-17 22:08 - 07421964 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_mp4.mp4
2016-01-17 22:02 - 2016-01-17 22:06 - 19822687 _____ C:\Users\ich\Downloads\The first times in the nude Outdoor_mp4.mp4
2016-01-17 22:01 - 2016-01-17 22:06 - 26091189 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_hd.mp4
2016-01-17 22:00 - 2016-01-17 22:02 - 07421964 _____ C:\Users\ich\Downloads\Naked Mentally Ill is Dancing Hava Nagila⁄ On Maidan and Holocaust_sd.mp4
2016-01-17 20:25 - 2016-01-17 20:44 - 315378127 _____ C:\Users\ich\Downloads\UNCANNY VALLEY (2015)_hd.mp4
2016-01-17 20:24 - 2016-01-18 21:10 - 00000000 ____D C:\Downloads JD
2016-01-17 20:01 - 2016-01-17 20:01 - 00001618 _____ C:\Users\ich\Desktop\JDownloader 2.lnk
2016-01-17 20:01 - 2016-01-17 20:01 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\JDownloader
2016-01-17 19:50 - 2016-01-17 19:50 - 00000000 ____D C:\Windows\Sun
2016-01-17 19:48 - 2016-01-17 19:48 - 00000000 ____D C:\Program Files\Common Files\Java
2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\AppData\Roaming\Sun
2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\AppData\LocalLow\Sun
2016-01-17 19:45 - 2016-01-17 19:45 - 00000000 ____D C:\Users\ich\.oracle_jre_usage
2016-01-17 19:44 - 2016-01-17 19:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-01-17 19:44 - 2016-01-17 19:43 - 00095840 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2016-01-17 19:42 - 2016-01-17 19:47 - 00000000 ____D C:\ProgramData\Oracle
2016-01-17 19:42 - 2016-01-17 19:42 - 00000000 ____D C:\Program Files\Java
2016-01-17 19:40 - 2016-01-17 19:40 - 00000000 ____D C:\Users\ich\AppData\LocalLow\Oracle
2016-01-17 18:38 - 2016-01-17 18:38 - 00002080 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Word Viewer 2003.lnk
2016-01-17 18:38 - 2016-01-17 18:38 - 00000000 ____D C:\Program Files\Microsoft Office
2016-01-17 18:37 - 2016-01-17 18:37 - 00000000 ____D C:\Program Files\MSECache
2016-01-17 17:38 - 2016-01-16 21:06 - 00000888 _____ C:\Users\ich\Desktop\Sandboxed Web Browser.lnk
2016-01-16 21:07 - 2016-01-26 21:04 - 00001508 _____ C:\Windows\Sandboxie.ini
2016-01-16 21:07 - 2016-01-16 21:07 - 00000000 ___RD C:\Sandbox
2016-01-16 21:06 - 2016-01-16 21:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sandboxie
2016-01-16 21:06 - 2016-01-16 21:06 - 00000000 ____D C:\Program Files\Sandboxie
2016-01-12 19:21 - 2016-01-12 19:23 - 00000000 ____D C:\Users\ich\AppData\Roaming\.purple
2016-01-11 19:07 - 2016-01-27 19:07 - 00000947 _____ C:\Users\Public\Desktop\VPN Manager.lnk
2016-01-11 00:19 - 2016-01-11 00:19 - 00009023 _____ C:\Users\ich\Desktop\My Backup.xml
2016-01-10 18:45 - 2016-01-10 18:45 - 00000000 ____D C:\Users\ich\AppData\Roaming\SteelBytes
2016-01-10 18:32 - 2016-01-10 18:32 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Macrium
2016-01-10 18:32 - 2016-01-10 18:32 - 00000000 ____D C:\Program Files\Macrium
2016-01-10 18:29 - 2016-01-10 19:01 - 00000000 ____D C:\ProgramData\Macrium
2016-01-10 18:28 - 2016-01-28 22:19 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-01-10 18:28 - 2016-01-10 18:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
2016-01-10 18:28 - 2016-01-10 18:34 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2016-01-10 18:28 - 2016-01-10 18:28 - 00000000 ____D C:\Users\ich\AppData\Roaming\Malwarebytes
2016-01-10 18:28 - 2016-01-10 18:28 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-01-10 18:28 - 2015-10-22 21:37 - 00022744 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\Users\ich\AppData\Roaming\gnupg
2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\ProgramData\GNU
2016-01-10 18:26 - 2016-01-10 18:26 - 00000000 ____D C:\Program Files\GNU
2016-01-10 18:25 - 2016-01-10 18:25 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pidgin-otr
2016-01-10 18:25 - 2016-01-10 18:25 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pidgin-otr
2016-01-10 18:24 - 2016-01-10 18:25 - 00000000 ____D C:\Program Files\Pidgin
2016-01-10 16:50 - 2016-01-10 16:50 - 00049168 _____ C:\Users\ich\AppData\Local\GDIPFONTCACHEV1.DAT
2016-01-10 16:49 - 2016-01-10 16:50 - 00229056 _____ C:\Windows\system32\FNTCACHE.DAT
2016-01-09 17:23 - 2016-01-09 17:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PWGen
2016-01-09 17:23 - 2016-01-09 17:23 - 00000000 ____D C:\Program Files\PWGen
2016-01-09 16:50 - 2016-01-09 18:36 - 00000000 ____D C:\Proxifier PE
2016-01-08 19:33 - 2016-01-09 16:27 - 00000000 ____D C:\Program Files\WinRAR
2016-01-08 19:30 - 2016-01-08 19:41 - 00000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2016-01-08 19:30 - 2016-01-08 19:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit
2016-01-08 19:30 - 2016-01-08 19:30 - 00000000 ____D C:\Program Files\Malwarebytes Anti-Exploit
2016-01-08 15:56 - 2014-04-11 19:13 - 00258048 _____ (Flo) C:\Vista-ShutdownTimer.exe
2016-01-08 13:43 - 2016-01-08 13:43 - 00000000 ____D C:\Users\ich\AppData\Local\Disc_Soft_Ltd
2016-01-08 13:42 - 2016-01-08 13:42 - 00329384 _____ (Duplex Secure Ltd.) C:\Windows\system32\Drivers\sptd.sys
2016-01-08 13:41 - 2016-01-08 13:41 - 00000000 ____D C:\ProgramData\TrueCrypt
2016-01-08 13:14 - 2016-01-09 17:22 - 00000000 ____D C:\Users\ich\AppData\Roaming\TrueCrypt
2016-01-08 13:13 - 2016-01-19 19:06 - 00000600 _____ C:\Users\ich\AppData\Local\PUTTY.RND
2016-01-08 13:03 - 2016-01-08 13:03 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys
2016-01-08 13:03 - 2016-01-08 13:03 - 00000000 ____D C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TrueCrypt
2016-01-08 12:58 - 2016-01-08 13:14 - 00000000 ____D C:\Program Files\TrueCrypt
2016-01-07 23:21 - 2016-01-10 18:59 - 00000000 ____D C:\AdwCleaner
2016-01-07 22:36 - 2016-01-07 22:36 - 00000000 ____D C:\Users\ich\AppData\Local\Apps\2.0
2016-01-07 22:28 - 2016-01-07 22:28 - 00000000 ____D C:\Users\ich\AppData\Roaming\Avira
2016-01-07 22:18 - 2016-01-07 22:18 - 00000000 ____D C:\Program Files\Disc Soft
2016-01-07 22:17 - 2016-01-07 22:17 - 00040504 _____ (Disc Soft Ltd) C:\Windows\system32\Drivers\dtliteusbbus.sys
2016-01-07 22:16 - 2016-01-09 18:56 - 00000000 ____D C:\Users\ich\AppData\Roaming\DAEMON Tools Lite
2016-01-07 22:16 - 2016-01-07 22:18 - 00000000 ____D C:\Program Files\DAEMON Tools Lite
2016-01-07 22:16 - 2016-01-07 22:16 - 00026168 _____ (Disc Soft Ltd) C:\Windows\system32\Drivers\dtlitescsibus.sys
2016-01-07 22:07 - 2016-01-07 22:09 - 00000000 ____D C:\ProgramData\DAEMON Tools Lite
2016-01-07 22:05 - 2016-01-07 22:05 - 00000717 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
2016-01-07 22:04 - 2016-01-07 22:04 - 00000000 ____D C:\Users\ich\AppData\Local\Perfect_Privacy
2016-01-07 22:04 - 2016-01-07 22:04 - 00000000 ____D C:\Program Files\Perfect Privacy SSH Manager
2016-01-07 22:02 - 2016-01-27 19:07 - 00000000 ____D C:\Program Files\Perfect Privacy VPN Manager
2016-01-07 22:02 - 2016-01-07 22:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Perfect Privacy VPN
2016-01-07 22:00 - 2016-01-05 22:36 - 00000091 _____ C:\Users\ich\Desktop\IPs PP.txt
2016-01-07 21:59 - 2016-01-29 22:25 - 00000000 ____D C:\Users\ich\AppData\Roaming\Mozilla
2016-01-07 21:55 - 2015-12-03 15:25 - 00031848 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\ssmdrv.sys
2016-01-07 21:55 - 2015-12-03 15:24 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2016-01-07 21:55 - 2015-12-03 15:24 - 00106968 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2016-01-07 21:55 - 2015-12-03 15:24 - 00037896 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2016-01-07 19:15 - 2016-01-07 21:57 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2016-01-07 19:15 - 2016-01-07 21:57 - 00000000 ____D C:\ProgramData\Avira
2016-01-07 19:15 - 2016-01-07 19:21 - 00000000 ____D C:\Program Files\Avira
2016-01-07 19:15 - 2016-01-07 19:15 - 00000000 ____D C:\ProgramData\Package Cache
2016-01-07 19:11 - 2016-01-17 20:24 - 00000000 ____D C:\Users\ich
2016-01-07 19:11 - 2016-01-09 18:55 - 00000000 ____D C:\Users\ich\AppData\Local\VirtualStore
2016-01-07 19:11 - 2016-01-07 19:11 - 00000949 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2016-01-07 19:11 - 2016-01-07 19:11 - 00000944 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2016-01-07 19:11 - 2016-01-07 19:11 - 00000915 _____ C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk
2016-01-07 19:11 - 2016-01-07 19:11 - 00000020 ___SH C:\Users\ich\ntuser.ini
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Vorlagen
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Startmenü
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Netzwerkumgebung
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Lokale Einstellungen
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Eigene Dateien
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Druckumgebung
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Local\Verlauf
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\AppData\Local\Anwendungsdaten
2016-01-07 19:11 - 2016-01-07 19:11 - 00000000 _SHDL C:\Users\ich\Anwendungsdaten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Vorlagen
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Startmenü
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Lokale Einstellungen
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Eigene Dateien
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default\Anwendungsdaten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Vorlagen
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Startmenü
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Favoriten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Dokumente
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\ProgramData\Anwendungsdaten
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Program Files\Gemeinsame Dateien
2016-01-07 19:07 - 2016-01-07 19:07 - 00000000 _SHDL C:\Dokumente und Einstellungen
2016-01-07 19:03 - 2016-01-07 19:03 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_07_00.Wdf
2016-01-07 19:02 - 2016-01-07 19:02 - 00000000 _____ C:\Windows\system32\atiicdxx.dat
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-01-29 22:59 - 2009-04-11 17:51 - 01474270 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-29 22:59 - 2009-04-11 17:50 - 00635776 _____ C:\Windows\system32\perfh007.dat
2016-01-29 22:59 - 2009-04-11 17:50 - 00137690 _____ C:\Windows\system32\perfc007.dat
2016-01-29 22:59 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\inf
2016-01-29 22:49 - 2006-11-02 13:58 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-29 22:49 - 2006-11-02 13:45 - 00003760 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2016-01-29 22:49 - 2006-11-02 13:45 - 00003760 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2016-01-29 22:26 - 2006-11-02 13:58 - 00022120 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-01-17 18:38 - 2006-11-02 12:18 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2016-01-09 18:56 - 2015-02-27 07:51 - 00000000 ____D C:\Windows\Panther
2016-01-08 19:30 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache
2016-01-07 23:42 - 2006-11-02 13:35 - 00000000 ___RD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
2016-01-07 19:07 - 2006-11-02 12:18 - 00000000 ____D C:\Program Files\Windows NT
2016-01-07 18:57 - 2015-02-27 07:51 - 00008192 ___RS C:\BOOTSECT.BAK
2016-01-07 18:57 - 2006-11-02 13:35 - 00262144 _____ C:\Windows\system32\config\BCD-Template
==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======
2016-01-08 13:13 - 2016-01-19 19:06 - 0000600 _____ () C:\Users\ich\AppData\Local\PUTTY.RND
Einige Dateien in TEMP:
====================
C:\Users\ich\AppData\Local\Temp\130974432490035610.exe
C:\Users\ich\AppData\Local\Temp\13097443255524361014.exe
C:\Users\ich\AppData\Local\Temp\130975302773071384.exe
C:\Users\ich\AppData\Local\Temp\13097530284038138411.exe
C:\Users\ich\AppData\Local\Temp\avgnt.exe
C:\Users\ich\AppData\Local\Temp\proxy_vole3317470329584973791.dll
C:\Users\ich\AppData\Local\Temp\proxy_vole4848454028124059118.dll
C:\Users\ich\AppData\Local\Temp\proxy_vole6311932760061653979.dll
C:\Users\ich\AppData\Local\Temp\proxy_vole6938619521027522022.dll
C:\Users\ich\AppData\Local\Temp\proxy_vole8217370270631560779.dll
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert
LastRegBack: 2016-01-29 22:58
==================== Ende vom FRST.txt ============================
hier die Additions.txt Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:27-01-2016
durchgeführt von ich (2016-01-29 23:03:42)
Gestartet von C:\Users\ich\Desktop
Microsoft® Windows Vista™ Home Basic Service Pack 2 (X86) (2016-01-07 18:03:16)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-1770218144-2934837660-2320225156-500 - Administrator - Disabled)
Gast (S-1-5-21-1770218144-2934837660-2320225156-501 - Limited - Disabled)
ich (S-1-5-21-1770218144-2934837660-2320225156-1000 - Administrator - Enabled) => C:\Users\ich
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.15.129 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM\...\{eac7da46-2097-4dd4-80a6-8b67cbb2b23f}) (Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG)
Avira Launcher (Version: 1.1.53.13962 - Avira Operations GmbH & Co. KG) Hidden
DAEMON Tools Lite (HKLM\...\DAEMON Tools Lite) (Version: 10.2.0.0114 - Disc Soft Ltd)
Gpg4win (2.2.6) (HKLM\...\GPG4Win) (Version: 2.2.6 - The Gpg4win Project)
Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.17 - Oracle Corporation)
JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
Macrium Reflect Workstation Edition (HKLM\...\MacriumReflect) (Version: 6.1 - Paramount Software (UK) Ltd.)
Macrium Reflect Workstation Edition (Version: 6.1.936 - Paramount Software (UK) Ltd.) Hidden
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU (HKLM\...\Microsoft .NET Framework 3.5 Language Pack SP1 - deu) (Version: - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (HKLM\...\Microsoft .NET Framework 3.5 SP1) (Version: - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office Word Viewer 2003 (HKLM\...\{90850407-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.8173.0 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 (HKLM\...\{196BB40D-1578-3D01-B289-BEFC77A11A1E}) (Version: 10.0.30319 - Microsoft Corporation)
Pidgin (HKLM\...\Pidgin) (Version: 2.10.11 - )
pidgin-otr 4.0.1 (HKLM\...\pidgin-otr) (Version: 4.0.1 - Cypherpunks CA)
Sandboxie 5.06 (32-bit) (HKLM\...\Sandboxie) (Version: 5.06 - Sandboxie Holdings, LLC)
TrueCrypt (HKLM\...\TrueCrypt) (Version: 7.1a - TrueCrypt Foundation)
VPN Manager 1.7.28.14 (HKLM\...\VPN Manager) (Version: 1.7.28.14 - Perfect-Privacy)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {18DFD9FC-082E-4E9B-8285-5F21D2B4EDAE} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {1A71FFAB-753E-4EC7-B1A6-98857FAAB5CB} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {A7B867A4-4E91-449F-B704-7B612785E38D} - System32\Tasks\Perfect Privacy SSH Manager => C:\Program Files\Perfect Privacy SSH Manager\SSHManager.exe [2015-06-17] (Perfect-Privacy)
Task: {F616FDE0-5105-4C47-8A48-F639BFC7EBC6} - System32\Tasks\VPN Manager => C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe [2016-01-12] (Perfect Privacy)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2006-11-02 11:25 - 2006-11-02 10:46 - 00159744 _____ () C:\Windows\system32\atitmmxx.dll
2015-11-15 00:22 - 2015-11-15 00:22 - 00175144 _____ () C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\liblzo2-2.dll
2015-11-15 00:22 - 2015-11-15 00:22 - 00112736 _____ () C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\libpkcs11-helper-1.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2006-11-02 11:23 - 2006-09-18 22:41 - 00000761 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-1770218144-2934837660-2320225156-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img23.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
MSCONFIG\Services: AeLookupSvc => 2
MSCONFIG\Services: RemoteRegistry => 3
MSCONFIG\Services: SCardSvr => 3
MSCONFIG\Services: Spooler => 2
MSCONFIG\Services: TabletInputService => 2
MSCONFIG\Services: Themes => 2
MSCONFIG\Services: VSS => 3
MSCONFIG\Services: W32Time => 2
MSCONFIG\Services: WinRM => 3
MSCONFIG\Services: WPCSvc => 3
MSCONFIG\Services: wscsvc => 2
MSCONFIG\Services: WSearch => 2
MSCONFIG\Services: wuauserv => 2
MSCONFIG\startupreg: DAEMON Tools Lite Automount => "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
MSCONFIG\startupreg: Windows Defender => %ProgramFiles%\Windows Defender\MSASCui.exe -hide
==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [{443857B6-D451-4928-B2C7-B743A1104204}] => (Allow) LPort=80
FirewallRules: [{35B93C39-A697-4052-BD49-CBF311D35C32}] => (Allow) LPort=80
FirewallRules: [{2A4CA275-B05F-4762-B3C9-FCE505E05DDF}] => (Allow) LPort=80
FirewallRules: [{A97A0E59-A829-46CC-8A37-3A910225F51D}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
FirewallRules: [{AE507756-BE32-4584-9034-6DA1C2E7D954}] => (Allow) C:\Program Files\Perfect Privacy VPN Manager\OpenVPN\openvpn.exe
FirewallRules: [{04AF7876-7EA4-4484-BD20-92D7F5E80981}] => (Allow) C:\Program Files\Perfect Privacy VPN Manager\VPNManager.exe
==================== Wiederherstellungspunkte =========================
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (01/29/2016 11:04:10 PM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070422.
Vorgang:
VSS-Server wird instanziiert
Error: (01/29/2016 11:04:10 PM) (Source: VSS) (EventID: 39) (User: )
Description: Volumeschattenkopie-Dienst-Fehler: Der Volumeschattenkopie-Dienst (VSS) ist deaktiviert.
Aktivieren Sie den Dienst, und wiederholen Sie den Vorgang.
Vorgang:
VSS-Server wird instanziiert
Error: (01/29/2016 07:08:35 PM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
bei System.ServiceProcess.ServiceBase.DeferredSessionCh...
Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.14 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32
Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.14 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32
Error: (01/27/2016 07:07:57 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: Application Exception:
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.13 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32
Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: An error occured!
If you want to help us, take a screenshot of this message and post it in our forum or send it via mail!
Program Main
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
VPN Manager 1.7.28.13 on Microsoft Windows Vista (TM) Home Basic Service Pack 2 32
Error: (01/27/2016 07:07:29 PM) (Source: VPNManager) (EventID: 0) (User: )
Description: Application Exception:
System.InvalidOperationException: Das Anzeigen eines modalen Dialogfelds oder eines Formulars ist ein ungültiger Vorgang, wenn die Anwendung nicht im UserInteractive-Modus ausgeführt wird. Geben Sie das Format ServiceNotification oder DefaultDesktopOnly an, um Benachrichtigungen einer Dienstanwendung anzuzeigen.
bei System.Windows.Forms.Form.ShowDialog(IWin32Window owner)
bei System.Windows.Forms.Form.ShowDialog()
bei VPNManager.Program.Main(String[] args)
Error: (01/17/2016 07:58:48 PM) (Source: VSS) (EventID: 8193) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070422.
Vorgang:
VSS-Server wird instanziiert
Systemfehler:
=============
Error: (01/29/2016 09:56:23 PM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.22.20 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.13.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/29/2016 07:29:30 AM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.23.18 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.22.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/28/2016 11:22:19 PM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.13.240 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.23.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/28/2016 08:50:27 PM) (Source: Ntfs) (EventID: 137) (User: )
Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten.
Error: (01/28/2016 08:20:30 PM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.11.242 für die Netzwerkkarte mit der Netzwerkadresse 00FF10DDE13D wurde durch den DHCP-Server 10.7.13.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/27/2016 07:14:37 PM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.21.245 für die Netzwerkkarte mit der Netzwerkadresse 00FF78A7976B wurde durch den DHCP-Server 10.7.23.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/26/2016 09:09:03 PM) (Source: Ntfs) (EventID: 137) (User: )
Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten.
Error: (01/21/2016 07:53:56 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {6295DF2D-35EE-11D1-8707-00C04FD93327}
Error: (01/21/2016 06:21:14 PM) (Source: Dhcp) (EventID: 1002) (User: )
Description: Die IP-Adresslease 10.7.13.16 für die Netzwerkkarte mit der Netzwerkadresse 00FF78A7976B wurde durch den DHCP-Server 10.7.21.254 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
Error: (01/21/2016 06:19:32 PM) (Source: Ntfs) (EventID: 137) (User: )
Description: Der Transaktionsressourcen-Manager auf Volume "N:" konnte aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten.
CodeIntegrity:
===================================
Date: 2016-01-29 23:03:17.891
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-29 23:03:17.730
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-29 23:03:17.577
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-29 23:03:17.448
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-21 18:16:25.290
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-21 18:16:25.165
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-21 18:16:24.978
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-21 18:16:24.822
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-16 21:07:18.076
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-01-16 21:07:17.936
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Sandboxie\SbieDrv.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
==================== Memory info ===========================
Processor: Genuine Intel(R) CPU T2250 @ 1.73GHz
Prozentuale Nutzung des RAM: 51%
Installierter physikalischer RAM: 1533.71 MB
Verfügbarer physikalischer RAM: 747.83 MB
Summe virtueller Speicher: 3321.24 MB
Verfügbarer virtueller Speicher: 2133.7 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:110.38 GB) (Free:86.62 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive e: (SONY_16W) (Removable) (Total:14.45 GB) (Free:1.16 GB) FAT32
Drive f: (RÜCKEN) (Removable) (Total:3.74 GB) (Free:0.59 GB) FAT32
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (Size: 110.4 GB) (Disk ID: 0008A0FE)
Partition 1: (Active) - (Size=110.4 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (Size: 14.5 GB) (Disk ID: E793A4F6)
Partition 1: (Not Active) - (Size=14.5 GB) - (Type=0C)
========================================================
Disk: 2 (Size: 3.8 GB) (Disk ID: 0016DFD5)
Partition 1: (Active) - (Size=3.7 GB) - (Type=0B)
==================== Ende vom Addition.txt ============================
wenn etwas ist, ich helfe !!! jetzt schreibe ich vom infizierten Rechner aus. Habe mir alles gesichert was mir wichtig ist und bin bereit zu reinigen. hier auch noch die GMER log Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit quick scan 2016-01-30 19:31:15
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD1200BEVS-75LAT0 rev.02.06M02 110,39GB
Running: yevjru7e.exe; Driver: C:\Users\ich\AppData\Local\Temp\uwldrpow.sys
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- Devices - GMER 2.1 ----
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 83CD81F8
Device \Driver\atapi \Device\Ide\IdePort0 83CD81F8
Device \Driver\atapi \Device\Ide\IdePort1 83CD81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 83CD81F8
Device \FileSystem\Ntfs \Ntfs 83CD91F8
Device \FileSystem\fastfat \Fat 91C97440
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys
---- EOF - GMER 2.1 ----
mache mir sorgen... Geändert von Springfield6 (30.01.2016 um 12:51 Uhr) |
|
01.02.2016, 01:01
| #2 |
| | Wird mein PC Ferngesteuert? Ihr seid ne tolle Hilfe. Danke! Das wars mit euch...nichtmal ne kurze Antwort
__________________ |
|
01.02.2016, 09:29
| #3 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Wird mein PC Ferngesteuert?Zitat:
Und mal beachtet wann du gepostet hast? Ist es normal für dich, dass die Helfer an einem Sonntag für dich alles stehen und liegen lassen, nur damit du kostenlos Support bekommst   Denk mal in Ruhe drüber nach und reflektiere. Wenn du zu ungeduldig bist und nicht 1-2 Tage warten kannst und dann hier empört eine völlig unberechtigte Beschwerde lostrittst, dann solltest du besser in eine PC-Werkstatt und Kohle auf den Tisch packen. 
__________________ |
|
| Themen zu Wird mein PC Ferngesteuert? |
| benachrichtigungen, dnsapi.dll, ferngesteuert |
Linear-Darstellung
