Laptop Windows 8.1, Virenübertragung durch USB-Stick

Michael54 · 04.04.2017, 00:14

Was wann passiert ist, ist schwer zu sagen, da scheinbar alle betroffenen BS mit Zeitverzögerung zerstört wurden. Ein Freund hat unter Windows 10 mit Format factory ein kurzes Filmchen vom *.mp4 in *.ogg umgewandelt. Ich habe den USB-Stick in meinen Laptop gesteckt. Einen Tag später ist der Windows 10 Rechner nicht mehr hochgefahren. Neues BS durch Händler. Mein Laptop schien zwar keinen Schaden zu nehmen, ist aber so langsam geworden, daß ein Arbeiten damit unmöglich ist. Außerdem geht er seit heute nicht mehr ins Internet. Zwei Tage gewartet, in der Hoffnung, daß die Virensignaturen so aktualisiert sind, daß sie den Schädling erkennen. Den USB-Stick in einen anderen Windows 8.1 Rechner vom Bekannten gesteckt, der Rechner ist sofort eingefroren. Nach dem "Notaus" fuhr er zwar hoch, konnte aber keine Dateien mehr kopieren. Ein Wiederherstellen oder ein Zurücksetzen in den Werkzustand war nicht möglich. Wiederherstellung mit Clonezilla. Der Windows XP-Rechner konnte die Unterverzeichnisse auf dem USB-Stick zwar sehen, aber ein Verzeichnis enthielt nur sinnlose Zeichen. Beim Anklicken eines weiteren Verzeichnisses ist auch der eingefroren. zum Glück konnte ich mithilfe eines Wiederherstellungspunktes das BS wieder aufsetzen. Es war nicht möglich, das Verzeichnis mit den geheimnisvollen Zeichen zu löschen. Der Versuch, vorhandene Daten auf dem USB-Stick zu retten, schlug fehl. Beim nächsten Versuch, den USB-Stick einzustecken, zeigt Windows den USB-Stick im Explorer zwar an, aber beim Anklicken kommt die Meldung: Bitte legen Sie einen Datenträger in Laufwerk D ein. Nun Könnte ich natürlich dummerweise alle meine Sticks und mobile Festplatten infiziert haben, in dem hilflosen Versuch, Daten zu retten. Ich habe noch nicht versucht, meinen Laptop in den Werkzustand zurückzuversetzen. Daher kann ich noch keine Aussage treffen, ob das möglich ist.

Im folgenden Untersuchungen meines Laptops:

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 15-03-2017
durchgeführt von 1 (Administrator) auf LAPTOP (03-04-2017 23:33:35)
Gestartet von D:\
Geladene Profile: 1 (Verfügbare Profile: 1)
Platform: Windows 8.1 (Update) (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "C:\Program Files (x86)\Mozilla Firefox42\firefox.exe" -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(AMD) C:\Windows\System32\atiesrxx.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastSvc.exe
(Windows (R) Win 7 DDK provider) C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\AdminService.exe
(Acer Incorporate) C:\Program Files\Packard Bell\Packard Bell Launch Manager\LMSvc.exe
() C:\Program Files (x86)\1&1 Surf-Stick\AssistantServices.exe
(Acer Incorporated) C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe
(Malwarebytes) C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe
(Malwarebytes) C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamscheduler.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastUI.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Malwarebytes) C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbam.exe
(Acer Incorporate) C:\Program Files\Packard Bell\Packard Bell Launch Manager\LMEvent.exe
(Acer Incorporate) C:\Program Files\Packard Bell\Packard Bell Launch Manager\LMTray.exe
(Atheros Communications) C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Acer Incorporated) C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastUI.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Acer Incorporated) C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerEvent.exe
() C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\ActivateDesktop.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.Reader_6.3.9654.17044_x64__8wekyb3d8bbwe\glcnd.exe
(Avast Software) C:\Program Files\AVAST Software\SZBrowser\launcher.exe
(Avast Software) C:\Program Files\AVAST Software\SZBrowser\3.55.2393.596\SZBrowser_autoupdate.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\ielowutil.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13427784 2013-03-18] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [3016944 2013-06-14] (Synaptics Incorporated)
HKLM\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvLaunch.exe [213824 2017-03-28] (AVAST Software)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [766688 2014-07-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [598552 2016-06-22] (Oracle Corporation)
HKLM\...\Policies\Explorer\Run: [BtvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe [132736 2013-04-24] (Atheros Communications)
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9105112 2016-11-15] (Piriform Ltd)
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\MountPoints2: {06de2015-59c6-11e6-be81-3065ec22b0e4} - "D:\pcwstart.exe" 
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\MountPoints2: {636f427b-9814-11e6-beac-8056f28d26eb} - "D:\AutoRun.exe" 
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\MountPoints2: {7dfbd708-5d2c-11e6-be8b-8056f28d26ec} - "D:\AutoRun.exe" 
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\MountPoints2: {7dfbd780-5d2c-11e6-be8b-8056f28d26ec} - "E:\AutoRun.exe" 
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\MountPoints2: {a9de6108-bcbf-11e6-bec0-3065ec22b0e4} - "D:\AutoRun.exe" 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2017-03-28] (AVAST Software)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2017-03-28] (AVAST Software)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2016-12-03] ()

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{117B1F49-DA1B-4AD5-B4A1-F7528F5264AF}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://acer13.msn.com/
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer13.msn.com
SearchScopes: HKU\S-1-5-21-2435999482-1739437403-3476842393-1001 -> DefaultScope {F4341ED6-581C-458A-8319-2B5FED3BFEA9} URL = 
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll [2017-03-28] (AVAST Software)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_101\bin\ssv.dll [2016-10-16] (Oracle Corporation)
BHO-x32: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll [2017-03-28] (AVAST Software)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_101\bin\jp2ssv.dll [2016-10-16] (Oracle Corporation)

FireFox:
========
FF DefaultProfile: aqgk0ri1.Standard-Benutzer
FF ProfilePath: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\r88ghxnk.buddy_1 [2017-02-21]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\r88ghxnk.buddy_1 -> Wikipedia (de)
FF Homepage: Mozilla\Firefox\Profiles\r88ghxnk.buddy_1 -> file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/lektionsauswahl_de.html
about:preferences
FF ProfilePath: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nw4ziveb.u-block [2017-02-21]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nw4ziveb.u-block -> Wikipedia (de)
FF Homepage: Mozilla\Firefox\Profiles\nw4ziveb.u-block -> file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe1.html
about:preferences#
FF ProfilePath: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\cm2jgiqz.î â î â [2017-02-21]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\cm2jgiqz.î â î â -> Wikipedia (de)
FF Homepage: Mozilla\Firefox\Profiles\cm2jgiqz.î â î â -> file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/vocabular/html2/langzeit_start6.html
FF ProfilePath: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\hbmlufgk.rum_alles [2017-02-23]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\hbmlufgk.rum_alles -> Wikipedia (de)
FF Homepage: Mozilla\Firefox\Profiles\hbmlufgk.rum_alles -> file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/grammatik/verb5.html
file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/vocabular/html2/search1.html
file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/glossar/index.html
file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe3.html
file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe2.html
hxxp://www.verbix.com/webverbix/go.php?T1=ca%3Enta&Submit=Go&D1=5&H1=105
hxxp://www.verbix.com/webverbix/go.php?T1=intra&Submit=Go&D1=5&H1=105
hxxp://www.linguee.de/deutsch-rum%C3%A4nisch/search?source=auto&query=anhalten
hxxp://dero.dict.cc/?s=zeigen
hxxp://www.goethe-verlag.com/book2/_VOCAB/DE/DERO/DERO.HTM
hxxp://www.goethe-verlag.com/book2/DE/DERO/DERO003.HTM
hxxp://www.goethe-verlag.com/book2/DE/
hxxps://www.50languages.com/#startnow
FF ProfilePath: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\aqgk0ri1.Standard-Benutzer [2017-04-03]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\aqgk0ri1.Standard-Benutzer -> Yahoo
FF Homepage: Mozilla\Firefox\Profiles\aqgk0ri1.Standard-Benutzer -> hxxp://search.yahoo.com/
FF Extension: (uBlock Origin) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\aqgk0ri1.Standard-Benutzer\Extensions\uBlock0@raymondhill.net.xpi [2017-02-10] [ist nicht signiert]
FF Extension: (NoScript) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\aqgk0ri1.Standard-Benutzer\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2017-02-10] [ist nicht signiert]
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
FF Extension: (Avast Online Security) - C:\Program Files\AVAST Software\Avast\WebRep\FF [2016-12-04]
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\answers.xml [2008-12-17]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\creativecommons.xml [2008-12-17]
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_23_0_0_207.dll [2016-12-03] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_207.dll [2016-12-03] ()
FF Plugin-x32: @java.com/DTPlugin,version=11.101.2 -> C:\Program Files (x86)\Java\jre1.8.0_101\bin\dtplugin\npDeployJava1.dll [2016-10-16] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.101.2 -> C:\Program Files (x86)\Java\jre1.8.0_101\bin\plugin2\npjp2.dll [2016-10-16] (Oracle Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2016-06-01] (VideoLAN)
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npnul32.dll [2008-12-17] (mozilla.org)
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox42\firefox.exe
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2008-12-17]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2008-12-17]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2008-12-17]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2008-12-17]

Chrome: 
=======
CHR DefaultSearchURL: Default -> hxxps://metager.de/meta/meta.ger3?focus=web&encoding=utf8&lang=all&eingabe={searchTerms}
CHR DefaultSearchKeyword: Default -> metager.de
CHR Profile: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default [2017-04-03]
CHR Extension: (No-Script Suite Lite) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahnanjpbkghcdgmlchbcfoiefnifjeni [2017-02-04]
CHR Extension: (Flash Video Downloader) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc [2017-02-22]
CHR Extension: (Google Docs) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-12-03]
CHR Extension: (Google Drive) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-12-03]
CHR Extension: (YouTube) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-12-03]
CHR Extension: (uBlock Origin) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2017-02-11]
CHR Extension: (Google Docs Offline) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-03]
CHR Extension: (Superblock Extended - Adblocker) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmljjoddjjkoidiahlgbgjjgodcajhgf [2017-02-04]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-02-04]
CHR Extension: (uBlock Origin Extra) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgdnlhfefecpicbbihgmbmffkjpaplco [2017-02-19]
CHR Extension: (Google Mail) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-12-03]
CHR Extension: (Chrome Media Router) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-03]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S4 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2014-07-04] (Advanced Micro Devices, Inc.) [Datei ist nicht signiert]
S3 aswbIDSAgent; C:\Program Files\AVAST Software\Avast\x64\aswidsagenta.exe [7398336 2017-03-28] (AVAST Software s.r.o.)
R2 AtherosSvc; C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\adminservice.exe [310400 2013-04-24] (Windows (R) Win 7 DDK provider) [Datei ist nicht signiert]
R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [261712 2017-03-28] (AVAST Software)
S3 DeviceFastLaneService; C:\Program Files\Packard Bell\Packard Bell Device Fast-lane\DeviceFastLaneSvc.exe [470056 2013-05-01] (Acer Incorporated)
R3 ePowerSvc; C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [662088 2013-03-15] (Acer Incorporated)
R2 LMSvc; C:\Program Files\Packard Bell\Packard Bell Launch Manager\LMSvc.exe [431656 2013-06-18] (Acer Incorporate)
R2 MBAMScheduler; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
S3 rpcapd; C:\Program Files (x86)\WinPcap\rpcapd.exe [118520 2013-03-01] (Riverbed Technology, Inc.)
R2 UI Assistant Service; C:\Program Files (x86)\1&1 Surf-Stick\AssistantServices.exe [274208 2012-05-04] ()
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [366552 2015-07-07] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23824 2015-07-07] (Microsoft Corporation)
S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 APXACC; C:\WINDOWS\system32\DRIVERS\appexDrv.sys [219360 2013-04-18] (AppEx Networks Corporation)
R1 aswbidsdriver; C:\WINDOWS\system32\drivers\aswbidsdrivera.sys [307736 2017-03-28] (AVAST Software s.r.o.)
R0 aswbidsh; C:\WINDOWS\system32\drivers\aswbidsha.sys [189768 2017-03-28] (AVAST Software s.r.o.)
R0 aswblog; C:\WINDOWS\system32\drivers\aswbloga.sys [334088 2017-03-28] (AVAST Software s.r.o.)
R0 aswbuniv; C:\WINDOWS\system32\drivers\aswbuniva.sys [48528 2017-03-28] (AVAST Software s.r.o.)
S3 aswHwid; C:\WINDOWS\system32\drivers\aswHwid.sys [38296 2017-03-28] (AVAST Software)
R1 aswKbd; C:\WINDOWS\system32\drivers\aswKbd.sys [32600 2017-03-28] (AVAST Software)
R2 aswMonFlt; C:\WINDOWS\system32\drivers\aswMonFlt.sys [127112 2017-03-28] (AVAST Software)
R1 aswRdr; C:\WINDOWS\system32\drivers\aswRdr2.sys [101152 2017-03-28] (AVAST Software)
R0 aswRvrt; C:\WINDOWS\system32\drivers\aswRvrt.sys [75704 2017-03-28] (AVAST Software)
R1 aswSnx; C:\WINDOWS\system32\drivers\aswSnx.sys [1005048 2017-03-28] (AVAST Software)
R1 aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [556784 2017-03-28] (AVAST Software)
S2 aswStm; C:\WINDOWS\system32\drivers\aswStm.sys [164064 2017-03-28] (AVAST Software)
R0 aswVmm; C:\WINDOWS\system32\drivers\aswVmm.sys [339696 2017-03-28] (AVAST Software)
R3 AthrSdSrv; C:\WINDOWS\system32\DRIVERS\athrsd.sys [48760 2012-12-01] (Qualcomm Atheros, Inc.)
R3 AtiHDAudioService; C:\WINDOWS\system32\drivers\AtihdW86.sys [98744 2013-04-23] (Advanced Micro Devices)
S3 BTATH_LWFLT; C:\WINDOWS\system32\DRIVERS\btath_lwflt.sys [77464 2013-04-24] (Qualcomm Atheros)
R3 LMDriver; C:\WINDOWS\System32\drivers\LMDriver.sys [21360 2013-01-10] (Acer Incorporated)
R1 mbamchameleon; C:\WINDOWS\system32\drivers\mbamchameleon.sys [140672 2016-03-10] (Malwarebytes)
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [192216 2017-04-03] (Malwarebytes)
R3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [65408 2016-03-10] (Malwarebytes Corporation)
R2 NPF; C:\WINDOWS\System32\drivers\npf.sys [36600 2013-03-01] (Riverbed Technology, Inc.)
S3 PolarUSB; C:\Windows\SysWOW64\DRIVERS\PolarUSB.sys [17343 2001-07-12] (Polar Electro) [Datei ist nicht signiert]
R3 RadioShim; C:\WINDOWS\System32\drivers\RadioShim.sys [15704 2013-01-10] (Acer Incorporated)
S3 WdBoot; C:\WINDOWS\system32\drivers\WdBoot.sys [44560 2015-07-07] (Microsoft Corporation)
R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [270168 2015-07-07] (Microsoft Corporation)
S3 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [114520 2015-07-07] (Microsoft Corporation)
U3 aswMBR; \??\C:\Users\1\AppData\Local\Temp\aswMBR.sys [X] <==== ACHTUNG

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-04-03 01:04 - 2017-04-03 01:04 - 00337919 _____ C:\Users\1\Downloads\Microsoft Windows XP – Wikipedia.htm
2017-04-03 01:04 - 2017-04-03 01:04 - 00000000 ____D C:\Users\1\Downloads\Microsoft Windows XP – Wikipedia-Dateien
2017-04-02 21:27 - 2017-04-02 21:35 - 40335888 _____ (Check Point Software Technologies LTD) C:\Users\1\Downloads\zafwSetup_120_118_000.exe
2017-04-02 21:17 - 2017-04-02 21:25 - 40367128 _____ (Check Point Software Technologies LTD) C:\Users\1\Downloads\zafwSetup_120_121_000.exe
2017-04-02 21:07 - 2017-04-02 21:16 - 42614936 _____ (Check Point Software Technologies Ltd.) C:\Users\1\Downloads\zafwSetup_131_211_000.exe
2017-04-02 09:25 - 2017-04-02 09:25 - 00001130 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2017-04-02 09:22 - 2017-04-02 09:24 - 22851472 _____ (Malwarebytes ) C:\Users\1\Downloads\mbam-setup-2.2.1.1043.exe
2017-04-02 00:54 - 2017-04-02 00:54 - 00055737 _____ C:\Users\1\Downloads\Windows Cleaning Toolkit entfernen.htm
2017-04-02 00:54 - 2017-04-02 00:54 - 00000000 ____D C:\Users\1\Downloads\Windows Cleaning Toolkit entfernen-Dateien
2017-04-02 00:49 - 2017-04-02 00:50 - 00059833 _____ C:\Users\1\Downloads\Anleitung  Sandboxie.htm
2017-04-02 00:49 - 2017-04-02 00:50 - 00000000 ____D C:\Users\1\Downloads\Anleitung  Sandboxie-Dateien
2017-04-02 00:39 - 2017-04-02 00:49 - 126927328 _____ (Check Point Software Technologies LTD) C:\Users\1\Downloads\zafwSetup_102_078_000.exe
2017-04-02 00:30 - 2017-04-02 00:39 - 126953288 _____ (Check Point Software Technologies LTD) C:\Users\1\Downloads\zafwSetup_102_074_000.exe
2017-04-02 00:26 - 2017-04-02 00:29 - 42570912 _____ (Check Point Software Technologies Ltd.) C:\Users\1\Downloads\zafwSetup_133_052_000.exe
2017-04-02 00:23 - 2017-04-02 00:24 - 08518280 _____ (Sandboxie Holdings, LLC) C:\Users\1\Downloads\Sandboxie5.04Install.exe
2017-04-02 00:22 - 2017-04-02 00:23 - 06979720 _____ (Sandboxie Holdings, LLC) C:\Users\1\Downloads\Sandboxie4.18Install.exe
2017-04-02 00:21 - 2017-04-02 00:21 - 02656264 _____ (Sandboxie Holdings, LLC) C:\Users\1\Downloads\Sandboxie4.12Install.exe
2017-04-02 00:19 - 2017-04-02 00:20 - 08974992 _____ (Sandboxie Holdings, LLC) C:\Users\1\Downloads\Sandboxie5.16Install.exe
2017-04-02 00:01 - 2017-04-02 00:03 - 00003690 _____ C:\Users\1\Downloads\aswMBR.txt
2017-04-02 00:01 - 2017-04-02 00:03 - 00000512 _____ C:\Users\1\Downloads\MBR.dat
2017-04-01 23:53 - 2017-04-01 23:53 - 05198336 _____ (AVAST Software) C:\Users\1\Downloads\aswMBR.exe
2017-04-01 23:11 - 2017-04-01 23:33 - 00027815 _____ C:\Users\1\Downloads\FRST.txt
2017-04-01 22:13 - 2017-04-01 23:33 - 00024979 _____ C:\Users\1\Downloads\Addition.txt
2017-04-01 22:10 - 2017-04-03 23:33 - 00000000 ____D C:\FRST
2017-04-01 22:10 - 2017-04-01 22:10 - 00000000 ____D C:\ProgramData\SWCUTemp
2017-04-01 22:09 - 2017-04-01 22:09 - 02424832 _____ (Farbar) C:\Users\1\Downloads\FRST64.exe
2017-04-01 21:50 - 2017-04-01 21:50 - 00001404 _____ C:\Users\1\Desktop\Wireshark.exe - Verknüpfung.lnk
2017-04-01 20:55 - 2017-04-01 20:55 - 00066376 _____ C:\Users\1\Downloads\Anleitung  Bootvarianten seit Windows 8.htm
2017-04-01 20:55 - 2017-04-01 20:55 - 00000000 ____D C:\Users\1\Downloads\Anleitung  Bootvarianten seit Windows 8-Dateien
2017-04-01 20:25 - 2017-04-03 14:37 - 00019497 _____ C:\Users\1\Desktop\KKK.txt
2017-04-01 20:24 - 2017-04-01 20:24 - 00000000 _____ C:\Users\1\Desktop\Neues Textdokument.txt
2017-04-01 15:44 - 2017-04-01 21:59 - 00000000 ____D C:\Users\1\AppData\Roaming\Wireshark
2017-04-01 15:30 - 2017-04-01 15:30 - 00001810 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wireshark.lnk
2017-04-01 15:30 - 2017-04-01 15:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinPcap
2017-04-01 15:30 - 2017-04-01 15:30 - 00000000 ____D C:\Program Files (x86)\WinPcap
2017-04-01 15:19 - 2017-04-01 15:19 - 00001601 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wireshark Legacy.lnk
2017-04-01 15:17 - 2017-04-01 15:31 - 00000000 ____D C:\Program Files\Wireshark
2017-04-01 14:20 - 2017-04-01 14:29 - 49367072 _____ (Wireshark development team) C:\Users\1\Downloads\Wireshark-win64-2.2.5.exe
2017-04-01 14:20 - 2017-04-01 14:29 - 43836008 _____ (PortableApps.com) C:\Users\1\Downloads\WiresharkPortable_2.0.11.paf.exe
2017-04-01 14:19 - 2017-04-01 14:28 - 47778256 _____ (Wireshark development team) C:\Users\1\Downloads\Wireshark-win64-2.0.11.exe
2017-04-01 13:53 - 2017-04-01 13:53 - 00003096 _____ C:\WINDOWS\System32\Tasks\{E807A70E-28A7-4E0E-8492-E0411BB8E7CE}
2017-04-01 13:52 - 2017-04-01 13:52 - 00000000 ____D C:\WINDOWS\Internet Logs
2017-04-01 13:52 - 2017-04-01 13:52 - 00000000 ____D C:\Program Files (x86)\Zone Labs
2017-03-29 20:59 - 2017-03-29 21:11 - 286261248 _____ C:\Users\1\Downloads\gparted-live-0.28.1-1-amd64.iso
2017-03-29 20:45 - 2017-03-29 20:58 - 287309824 _____ C:\Users\1\Downloads\gparted-live-0.28.1-1-i686.iso
2017-03-29 20:10 - 2017-03-29 20:16 - 129667072 _____ C:\Users\1\Downloads\gparted-live-0.13.0-1.iso
2017-03-29 20:10 - 2017-03-29 20:10 - 00010526 _____ C:\Users\1\Downloads\packages-0.13.0-1.txt
2017-03-29 00:13 - 2017-03-29 00:13 - 00276333 _____ C:\Users\1\Downloads\Solved  how to fix window boot manager has been blocked by... - Acer Community - 268548.htm
2017-03-29 00:13 - 2017-03-29 00:13 - 00000000 ____D C:\Users\1\Downloads\Solved  how to fix window boot manager has been blocked by... - Acer Community - 268548-Dateien
2017-03-28 23:32 - 2017-03-28 23:32 - 00128030 _____ C:\Users\1\Downloads\How to Burn an ISO File to a DVD, CD or BD [10 Minutes].htm
2017-03-28 23:32 - 2017-03-28 23:32 - 00000000 ____D C:\Users\1\Downloads\How to Burn an ISO File to a DVD, CD or BD [10 Minutes]-Dateien
2017-03-28 22:39 - 2017-03-28 23:30 - 352321536 _____ C:\Users\1\Downloads\pmagic_2013_08_01(2).iso
2017-03-28 22:37 - 2017-03-28 23:24 - 352321536 _____ C:\Users\1\Downloads\pmagic_2013_08_01(1).iso
2017-03-28 22:34 - 2017-03-28 23:25 - 352321536 _____ C:\Users\1\Downloads\pmagic_2013_08_01.iso
2017-03-28 22:27 - 2017-03-28 22:27 - 00138577 _____ C:\Users\1\Downloads\Dateisysteme erklärt - FAT, exFAT und NTFS - com! professional.htm
2017-03-28 22:27 - 2017-03-28 22:27 - 00000000 ____D C:\Users\1\Downloads\Dateisysteme erklärt - FAT, exFAT und NTFS - com! professional-Dateien
2017-03-28 22:01 - 2017-03-28 22:05 - 00215904 _____ C:\WINDOWS\ntbtlog.txt
2017-03-28 21:39 - 2017-03-28 21:39 - 00399944 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-04-03 23:33 - 2016-08-16 16:42 - 00003906 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{CD77860A-4F0C-4565-A505-E835F0EF844B}
2017-04-03 23:31 - 2016-08-07 01:57 - 00192216 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2017-04-03 15:24 - 2016-08-02 19:56 - 00003600 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-2435999482-1739437403-3476842393-1001
2017-04-02 10:28 - 2014-11-21 05:35 - 01776918 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2017-04-02 10:28 - 2014-11-21 04:45 - 00765582 _____ C:\WINDOWS\system32\perfh007.dat
2017-04-02 10:28 - 2014-11-21 04:45 - 00159366 _____ C:\WINDOWS\system32\perfc007.dat
2017-04-02 10:28 - 2013-08-22 15:36 - 00000000 ____D C:\WINDOWS\Inf
2017-04-02 09:25 - 2016-08-07 01:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2017-04-02 09:25 - 2016-08-07 01:56 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2017-04-01 22:39 - 2016-10-15 21:15 - 00000000 ____D C:\Program Files (x86)\Google
2017-04-01 22:26 - 2013-08-06 09:21 - 00000000 ____D C:\ProgramData\Nero
2017-04-01 22:23 - 2016-10-15 21:15 - 00000000 ____D C:\Users\1\AppData\Local\Google
2017-04-01 22:22 - 2013-08-06 09:20 - 00000000 ____D C:\Program Files (x86)\Packard Bell
2017-04-01 22:22 - 2013-08-06 09:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Packard Bell
2017-04-01 21:54 - 2013-08-22 16:45 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2017-04-01 18:18 - 2016-07-14 21:35 - 00000000 ____D C:\Users\1\AppData\Roaming\vlc
2017-04-01 15:19 - 2016-08-08 08:01 - 00000000 ____D C:\ProgramData\Package Cache
2017-04-01 13:04 - 2017-02-09 08:51 - 00004172 _____ C:\WINDOWS\System32\Tasks\Avast Emergency Update
2017-03-28 21:44 - 2016-12-04 19:32 - 00003910 _____ C:\WINDOWS\System32\Tasks\SafeZone scheduled Autoupdate 1480872718
2017-03-28 21:44 - 2016-12-04 19:32 - 00001071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk
2017-03-28 21:39 - 2016-12-04 19:21 - 00556784 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSP.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00339696 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswVmm.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00164064 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswStm.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00127112 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswMonFlt.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00101152 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRdr2.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00075704 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswRvrt.sys
2017-03-28 21:39 - 2016-12-04 19:21 - 00038296 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswHwid.sys
2017-03-28 21:38 - 2017-02-09 08:51 - 00334088 _____ (AVAST Software s.r.o.) C:\WINDOWS\system32\Drivers\aswbloga.sys
2017-03-28 21:38 - 2017-02-09 08:51 - 00307736 _____ (AVAST Software s.r.o.) C:\WINDOWS\system32\Drivers\aswbidsdrivera.sys
2017-03-28 21:38 - 2017-02-09 08:51 - 00189768 _____ (AVAST Software s.r.o.) C:\WINDOWS\system32\Drivers\aswbidsha.sys
2017-03-28 21:38 - 2017-02-09 08:51 - 00048528 _____ (AVAST Software s.r.o.) C:\WINDOWS\system32\Drivers\aswbuniva.sys
2017-03-28 21:38 - 2016-12-04 19:30 - 00032600 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswKbd.sys
2017-03-28 21:38 - 2016-12-04 19:21 - 01005048 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswSnx.sys
2017-03-28 10:55 - 2013-08-22 15:25 - 00262144 ___SH C:\WINDOWS\system32\config\BBI
2017-03-26 23:12 - 2016-08-07 00:44 - 00000000 ____D C:\Users\1\AppData\Local\ElevatedDiagnostics
2017-03-26 23:07 - 2016-12-04 19:21 - 00548928 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswsp.sys.149056247832809
2017-03-26 23:06 - 2016-12-04 19:21 - 00547904 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswsp.sys.149056247012504
2017-03-26 23:06 - 2016-12-04 19:21 - 00337592 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswvmm.sys.149056247273406

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-04-03 15:24

==================== Ende von FRST.txt ============================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 15-03-2017
durchgeführt von 1 (03-04-2017 23:36:20)
Gestartet von D:\
Windows 8.1 (Update) (X64) (2016-08-07 10:18:04)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

1 (S-1-5-21-2435999482-1739437403-3476842393-1001 - Administrator - Enabled) => C:\Users\1
Administrator (S-1-5-21-2435999482-1739437403-3476842393-500 - Administrator - Disabled)
Gast (S-1-5-21-2435999482-1739437403-3476842393-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2435999482-1739437403-3476842393-1005 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

1&1 Surf-Stick (HKLM-x32\...\{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}) (Version: 1.0.0.2 - )
3DYD Youtube Source (remove only) (HKLM-x32\...\3DYD Youtube Source) (Version:  - )
7-Zip 16.04 (HKLM-x32\...\7-Zip) (Version: 16.04 - Igor Pavlov)
AC3Filter 2.6.0b (HKLM-x32\...\AC3Filter_is1) (Version: 2.6.0b - Alexander Vigovsky)
Adobe Flash Player 23 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 23.0.0.207 - Adobe Systems Incorporated)
AMD Catalyst Install Manager (HKLM\...\{9770EA17-52C1-78A7-C3B3-59F0A2091BAE}) (Version: 8.0.911.0 - Advanced Micro Devices, Inc.)
AMD Quick Stream (HKLM\...\{E9EED4AE-682B-4501-9574-D09A21717599}_is1) (Version: 3.4.4.2 - AppEx Networks)
Avast Free Antivirus (HKLM-x32\...\Avast Antivirus) (Version: 17.3.2290 - AVAST Software)
CCleaner (HKLM\...\CCleaner) (Version: 5.24 - Piriform)
DCoder Image Source (remove only) (HKLM-x32\...\DCoder Image Source) (Version:  - )
Defraggler (HKLM\...\Defraggler) (Version: 2.21 - Piriform)
DirectVobSub (remove only) (HKLM-x32\...\DirectVobSub) (Version:  - )
Exact Audio Copy 1.3 (HKLM-x32\...\Exact Audio Copy) (Version: 1.3 - Andre Wiethoff)
ffdshow v1.3.4533 [2014-09-29] (HKLM-x32\...\ffdshow_is1) (Version: 1.3.4533.0 - )
FFMPEG Core Files (remove only) (HKLM-x32\...\FFMPEG Core Files) (Version:  - )
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 55.0.2883.75 - Google Inc.)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.31.5 - Google Inc.)
GPAC (remove only) (HKLM-x32\...\GPAC) (Version:  - )
Haali Media Splitter (HKLM-x32\...\HaaliMkx) (Version:  - )
Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.3005 - Packard Bell)
Java 8 Update 101 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180101F0}) (Version: 8.0.1010.13 - Oracle Corporation)
LibreOffice 5.0.3.2 (HKLM-x32\...\{D61E7AA0-0380-49B9-8DDD-7685E2306176}) (Version: 5.0.3.2 - The Document Foundation)
Lotus SmartSuite Version 9.5 (HKLM-x32\...\SmartSuite V99.0) (Version:  - )
MadVR (remove only) (HKLM-x32\...\MadVR) (Version:  - )
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 (HKLM-x32\...\{15134cb0-b767-4960-a911-f2d16ae54797}) (Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 (HKLM-x32\...\{22154f09-719a-4619-bb71-5b3356999fbf}) (Version: 11.0.50727.1 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40649 (HKLM-x32\...\{5d0723d3-cff7-4e07-8d0b-ada737deb5e6}) (Version: 12.0.40649.5 - Microsoft Corporation)
Mozilla Firefox (2.0.0.20) (HKLM-x32\...\Mozilla Firefox (2.0.0.20)) (Version: 2.0.0.20 (en-US) - Mozilla)
Mozilla Firefox 42.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 42.0 (x86 de)) (Version: 42.0 - Mozilla)
OEM Application Profile (HKLM-x32\...\{276FD4A2-030F-8A24-7DFE-9B1384131BCD}) (Version: 1.00.0000 - Ihr Firmenname)
Opera 10.10 (HKLM-x32\...\{FB8148DD-C575-4B0A-9F6C-0CFC46937930}) (Version: 10.10 - Opera Software ASA)
Packard Bell Device Fast-lane (HKLM\...\{3F62D2FD-13C1-49A2-8B5D-47623D9460D7}) (Version: 1.00.3013 - Packard Bell)
Packard Bell Launch Manager (HKLM\...\{C18D55BD-1EC6-466D-B763-8EEDDDA9100E}) (Version: 8.00.3005 - Packard Bell)
Packard Bell Power Management (HKLM\...\{91F52DE4-B789-42B0-9311-A349F10E5479}) (Version: 7.00.3013 - Packard Bell)
Packard Bell Recovery Management (HKLM\...\{07F2005A-8CAC-4A4B-83A2-DA98A722CA61}) (Version: 6.00.3016 - Packard Bell)
Polar Precision Performance SW  (HKLM-x32\...\{DF7DBA84-0A55-11D6-A0A6-6A7573736972}) (Version: 4.01.029 - )
QCA CardReader Driver Installer (HKLM-x32\...\{4E0BC999-655B-421D-87F3-640C6F2BFC11}) (Version: 1.0.1.34 - Qualcomm Inc.)
Qualcomm Atheros Bluetooth Suite (64) (HKLM\...\{A84A4FB1-D703-48DB-89E0-68B6499D2801}) (Version: 8.0.0.226 - Qualcomm Atheros Communications)
Qualcomm Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (HKLM-x32\...\{3108C217-BE83-42E4-AE9E-A56A2A92E549}) (Version: 2.1.0.13 - Qualcomm Atheros Communications Inc.)
Qualcomm Atheros WLAN and Bluetooth Client Installation Program (HKLM-x32\...\{28006915-2739-4EBE-B5E8-49B25D32EB33}) (Version: 11.53 - Qualcomm Atheros)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6865 - Realtek Semiconductor Corp.)
SafeZone Stable 3.55.2393.596 (x32 Version: 3.55.2393.596 - Avast Software) Hidden
SeaMonkey (1.1.18) (HKLM-x32\...\SeaMonkey (1.1.18)) (Version:  - )
Speccy (HKLM\...\Speccy) (Version: 1.29 - Piriform)
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 16.3.12.39 - Synaptics Incorporated)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.4 - VideoLAN)
WinPcap 4.1.3 (HKLM-x32\...\WinPcapInst) (Version: 4.1.0.2980 - Riverbed Technology, Inc.)
Wireshark 2.2.5 (64-bit) (HKLM-x32\...\Wireshark) (Version: 2.2.5 - The Wireshark developer community, hxxps://www.wireshark.org)
Wise Disk Cleaner 9.33 (HKLM-x32\...\Wise Disk Cleaner_is1) (Version: 9.33 - WiseCleaner.com, Inc.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {6A23FB0C-5248-4FEC-AE94-CD39ED76B609} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-02-03] (AVAST Software)
Task: {8DD819CE-2EF9-407D-AA28-73228F90D91F} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe [2017-03-28] (AVAST Software)
Task: {9BCB0F3A-DBEB-415F-AB66-9E8FCD40D509} - System32\Tasks\{E807A70E-28A7-4E0E-8492-E0411BB8E7CE} => pcalua.exe -a D:\Zonealarm\zlsSetup_65_737_000_de__.exe -d D:\Zonealarm
Task: {9F627C59-A8AA-407E-B46B-14D919177BF4} - System32\Tasks\Power Management => C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe [2013-03-15] (Acer Incorporated)
Task: {CB032C39-AA99-4975-A982-16732589A35C} - System32\Tasks\Launch Manager => C:\Program Files\Packard Bell\Packard Bell Launch Manager\LMLauncher.exe [2013-06-18] (Acer Incorporate)
Task: {CF9A1E7E-A6E3-4235-8944-B62AA229C9A3} - System32\Tasks\SafeZone scheduled Autoupdate 1480872718 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe [2017-03-22] (Avast Software)
Task: {D1CBA7FD-D526-40A8-9D74-53FD04F77A82} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2016-11-15] (Piriform Ltd)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\WINDOWS\Tasks\Synaptics TouchPad Enhancements.job => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

Shortcut: C:\Users\1\Favorites\Packard Bell\Packard Bell.lnk -> hxxp://www.packardbell.com

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-08-12 18:37 - 2012-05-04 17:19 - 00274208 _____ () C:\Program Files (x86)\1&1 Surf-Stick\AssistantServices.exe
2013-04-24 17:09 - 2013-04-24 17:09 - 00011264 _____ () C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\Modules\ActivateDesktopDebugger\ActivateDesktopDebugger.dll
2013-04-24 17:07 - 2013-04-24 17:07 - 00086016 _____ () C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\Modules\Map\MAP.dll
2013-04-24 17:12 - 2013-04-24 17:12 - 00012928 _____ () C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\ActivateDesktop.exe
2017-03-28 21:39 - 2017-03-28 21:39 - 00170216 _____ () C:\Program Files\AVAST Software\Avast\JsonRpcServer.dll
2016-12-04 19:20 - 2016-12-04 19:20 - 48936448 _____ () C:\Program Files\AVAST Software\Avast\libcef.dll
2017-03-28 21:39 - 2017-03-28 21:39 - 00176480 _____ () C:\Program Files\AVAST Software\Avast\event_routing_rpc.dll
2017-03-28 21:38 - 2017-03-28 21:38 - 00293936 _____ () C:\Program Files\AVAST Software\Avast\gaming_mode_ui.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ==========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2017-04-01 14:11 - 2017-04-01 14:09 - 01031174 ____A C:\WINDOWS\system32\Drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1		redirect.zonelabs.com127.0.0.1	52.201.4.70
127.0.0.1	84.53.136.68
193.25.182.191	www.volkswagenbank.de
193.25.182.191	www.sueddeutsche.de
193.25.182.191	www.microsoft.de
127.0.0.1	www.handelsblatt.com
127.0.0.1	www.handelsblatt.de
127.0.0.1	www.freiepresse.de
127.0.0.1	www.acrobat.com
127.0.0.1	www.adobe.com
127.0.0.1	www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
127.0.0.1	www.download.windowsupdate.com127.0.0.1	www.mozilla.org
127.0.0.1	snippets.cdn.mozilla.net
127.0.0.1	www.mozilla.ar
127.0.0.1	www.mozilla.de127.0.0.1	www.news.de127.0.0.1	tracking-rce.veeseo.com127.0.0.1	www.googletagmanager.com	127.0.0.1	www.gamona.de
127.0.0.1	www.dvdvideosoft.com127.0.0.1	www.netzwelt.de127.0.0.1	www.AppNexus.com
127.0.0.1	www.criteo.com
127.0.0.1	www.adition.com
127.0.0.1	www.twitter.com
127.0.0.1	www.adform.com
127.0.0.1	www.comscore.com
127.0.0.1	www.amazon.com
127.0.0.1	www.meetrics.com
127.0.0.1	www.apple.com
127.0.0.1	mp-success.com
127.0.0.1       www.mp-success.com
0.0.0.0	pornsnapper.com
0.0.0.0	pornhub.com
0.0.0.0	4tube.com

Da befinden sich 24706 zusätzliche Einträge.


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
mpsdrv => Firewall Dienst läuft nicht.
MpsSvc => Firewall Dienst läuft nicht.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

MSCONFIG\Services: BthHFSrv => 2
MSCONFIG\Services: bthserv => 2
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: gusvc => 3
MSCONFIG\Services: IEEtwCollectorService => 3
MSCONFIG\Services: MpsSvc => 2
MSCONFIG\Services: wuauserv => 3
HKLM\...\StartupApproved\StartupFolder: => "Lotus Organizer EasyClip.lnk"
HKLM\...\StartupApproved\Run32: => "StartCCC"
HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
HKU\S-1-5-21-2435999482-1739437403-3476842393-1001\...\StartupApproved\Run: => "CCleaner Monitoring"

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [TCP Query User{ECE1BAEF-256C-4778-818F-F6314E19D3BC}C:\program files (x86)\opera\opera.exe] => (Allow) C:\program files (x86)\opera\opera.exe
FirewallRules: [UDP Query User{71B9258A-74EB-4453-95E2-4138176C4140}C:\program files (x86)\opera\opera.exe] => (Allow) C:\program files (x86)\opera\opera.exe
FirewallRules: [{31DECDF6-2856-4459-8DC6-C26AC56F0E2D}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

17-02-2017 20:04:05 JRT Pre-Junkware Removal
27-03-2017 20:39:27 Geplanter Prüfpunkt
28-03-2017 10:29:28 Vor dem Anschluß infizierter Laufwerke
01-04-2017 15:18:10 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40649
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Bluetooth USB Module
Description: Bluetooth USB Module
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: Qualcomm Atheros Communications
Service: BTHUSB
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/03/2017 02:02:20 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_PcaSvc, Version: 6.3.9600.17415, Zeitstempel: 0x54504177
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18438, Zeitstempel: 0x57ae642e
Ausnahmecode: 0xc0000008
Fehleroffset: 0x00000000000925fa
ID des fehlerhaften Prozesses: 0x374
Startzeit der fehlerhaften Anwendung: 0x01d2ab21ba723d73
Pfad der fehlerhaften Anwendung: C:\WINDOWS\System32\svchost.exe
Pfad des fehlerhaften Moduls: C:\WINDOWS\SYSTEM32\ntdll.dll
Berichtskennung: cdd1e514-1800-11e7-bef2-3065ec22b0e4
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (04/01/2017 01:54:39 PM) (Source: RasClient) (EventID: 20227) (User: )
Description: CoID={2B713CC5-9D75-4F49-A94A-AC870226F90C}: Der Benutzer "Laptop\1" hat eine Verbindung mit dem Namen "1&1" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 797.

Error: (03/29/2017 09:13:09 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_TapiSrv, Version: 6.3.9600.17415, Zeitstempel: 0x54504177
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18438, Zeitstempel: 0x57ae642e
Ausnahmecode: 0xc0000008
Fehleroffset: 0x00000000000925fa
ID des fehlerhaften Prozesses: 0x49c
Startzeit der fehlerhaften Anwendung: 0x01d2a80f4edac09d
Pfad der fehlerhaften Anwendung: C:\WINDOWS\system32\svchost.exe
Pfad des fehlerhaften Moduls: C:\WINDOWS\SYSTEM32\ntdll.dll
Berichtskennung: be4eefef-14b3-11e7-beee-3065ec22b0e4
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "Object List" des Schlüssels "SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "First Help" des Schlüssels "SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "First Counter" des Schlüssels "SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "Last Help" des Schlüssels "SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "Last Counter" des Schlüssels "SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "Last Help" des Schlüssels "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.

Error: (03/28/2017 10:06:12 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3016) (User: NT-AUTORITÄT)
Description: Der Wert "Last Counter" des Schlüssels "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib" kann nicht aktualisiert werden. Das erste DWORD im Datenbereich enthält den Fehlercode, und das zweite DWORD enthält den aktualisierten Wert.


Systemfehler:
=============
Error: (04/03/2017 11:30:59 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Description" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:59 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Start" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:58 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Description" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:58 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Start" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:58 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "DelayedAutostart" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:58 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Description" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 11:30:58 PM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: Der Aufruf "ScRegSetValueExW" ist für "Start" aufgrund folgenden Fehlers fehlgeschlagen: 
Zugriff verweigert

Error: (04/03/2017 03:25:42 PM) (Source: DCOM) (EventID: 10010) (User: Laptop)
Description: Der Server "{1B1F472E-3221-4826-97DB-2C2324D389AE}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/03/2017 03:25:09 PM) (Source: DCOM) (EventID: 10010) (User: Laptop)
Description: Der Server "{BF6C1E47-86EC-4194-9CE5-13C15DCB2001}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/03/2017 03:00:56 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Dnscache erreicht.


==================== Speicherinformationen =========================== 

Prozessor: AMD A4-5000 APU with Radeon(TM) HD Graphics 
Prozentuale Nutzung des RAM: 70%
Installierter physikalischer RAM: 1477.01 MB
Verfügbarer physikalischer RAM: 438.99 MB
Summe virtueller Speicher: 2964.87 MB
Verfügbarer virtueller Speicher: 1011.66 MB

==================== Laufwerke ================================

Drive c: (Packard Bell) (Fixed) (Total:450.21 GB) (Free:399 GB) NTFS
Drive d: () (Removable) (Total:29.28 GB) (Free:29.28 GB) FAT32

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 465.8 GB) (Disk ID: 20AD0EE0)

Partition: GPT.

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 29.3 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt ============================

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 03.04.2017
Suchlaufzeit: 14:35
Protokolldatei: MBAM.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2017.04.02.05
Rootkit-Datenbank: v2017.04.02.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Aktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: 1

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 327996
Abgelaufene Zeit: 24 Min., 21 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

Code:

ATTFilter

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2017-04-01 23:54:28
-----------------------------
23:54:28.220    OS Version: Windows x64 6.2.9200 
23:54:28.221    Number of processors: 4 586 0x1
23:54:28.226    ComputerName: LAPTOP  UserName: 1
23:54:30.947    Initialize success
23:54:30.982    VM: initialized successfully
23:54:30.985    VM: Amd CPU BiosDisabled 
23:54:43.834    AVAST engine defs: 17040100
23:54:53.414    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000002e
23:54:53.414    Disk 0 Vendor: WDC_WD5000LPVX-22V0TT0 01.01A01 Size: 476940MB BusType: 11
23:54:53.586    Disk 0 MBR read successfully
23:54:53.586    Disk 0 MBR scan
23:54:53.648    Disk 0 unknown MBR code
23:54:53.664    Disk 0 Partition 1 00     EE          GPT           2097151 MB offset 1
23:54:53.726    Disk 0 scanning C:\WINDOWS\system32\drivers
23:55:15.773    Service scanning
23:55:50.946    Modules scanning
23:55:50.961    Disk 0 trace - called modules:
23:55:50.992    ntoskrnl.exe CLASSPNP.SYS disk.sys aswSP.sys storport.sys hal.dll storahci.sys 
23:55:51.039    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00182f98350]
23:55:51.039    3 aswSP.sys[fffff801c451f3b2] -> nt!IofCallDriver -> \Device\0000002e[0xffffe001825cc060]
23:55:52.195    AVAST engine scan C:\WINDOWS
23:55:55.774    AVAST engine scan C:\WINDOWS\system32
00:00:06.385    AVAST engine scan C:\WINDOWS\system32\drivers
00:00:28.526    AVAST engine scan C:\Users\1
00:01:56.785    Disk 0 MBR has been saved successfully to "C:\Users\1\Downloads\MBR.dat"
00:01:56.801    The log file has been saved successfully to "C:\Users\1\Downloads\aswMBR.txt"

Code:

ATTFilter

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2017-04-01 23:54:28
-----------------------------
23:54:28.220    OS Version: Windows x64 6.2.9200 
23:54:28.221    Number of processors: 4 586 0x1
23:54:28.226    ComputerName: LAPTOP  UserName: 1
23:54:30.947    Initialize success
23:54:30.982    VM: initialized successfully
23:54:30.985    VM: Amd CPU BiosDisabled 
23:54:43.834    AVAST engine defs: 17040100
23:54:53.414    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000002e
23:54:53.414    Disk 0 Vendor: WDC_WD5000LPVX-22V0TT0 01.01A01 Size: 476940MB BusType: 11
23:54:53.586    Disk 0 MBR read successfully
23:54:53.586    Disk 0 MBR scan
23:54:53.648    Disk 0 unknown MBR code
23:54:53.664    Disk 0 Partition 1 00     EE          GPT           2097151 MB offset 1
23:54:53.726    Disk 0 scanning C:\WINDOWS\system32\drivers
23:55:15.773    Service scanning
23:55:50.946    Modules scanning
23:55:50.961    Disk 0 trace - called modules:
23:55:50.992    ntoskrnl.exe CLASSPNP.SYS disk.sys aswSP.sys storport.sys hal.dll storahci.sys 
23:55:51.039    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00182f98350]
23:55:51.039    3 aswSP.sys[fffff801c451f3b2] -> nt!IofCallDriver -> \Device\0000002e[0xffffe001825cc060]
23:55:52.195    AVAST engine scan C:\WINDOWS
23:55:55.774    AVAST engine scan C:\WINDOWS\system32
00:00:06.385    AVAST engine scan C:\WINDOWS\system32\drivers
00:00:28.526    AVAST engine scan C:\Users\1
00:01:56.785    Disk 0 MBR has been saved successfully to "C:\Users\1\Downloads\MBR.dat"
00:01:56.801    The log file has been saved successfully to "C:\Users\1\Downloads\aswMBR.txt"
00:02:26.958    AVAST engine scan C:\ProgramData
00:03:15.615    Disk 0 statistics 3135964/0/0 @ 5,20 MB/s
00:03:15.647    Scan finished successfully
00:03:35.647    Disk 0 MBR has been saved successfully to "C:\Users\1\Downloads\MBR.dat"
00:03:35.647    The log file has been saved successfully to "C:\Users\1\Downloads\aswMBR.txt"

cosinus · 04.04.2017, 12:55

hi,

1. nur weil der Rechner langsam ist, ist das noch lange kein Grund hysterisch irgendeinen Schädlingsbefall zu erfinden und dann so zu tun, als stünde die Kompromittierung fest

2. wenn du schon felsenfest von einem Befall überzeugt bist, dann poste auch Logs, die das klar belegen, zB alle Funde des Virenscanners und/oder Malwarebytes; leere Logfiles sind da deutlich sinnfrei; wenn du keine Funde bisher hattest, muss man sich umso mehr fragen, warum du dir eine Infektion einredest - alles was man nicht kennt ist ein Virus oder welche Haltung ist das?

3. Windows XP

- mit diesem anderen Rechner gehst du bitte NICHT MEHR INS INTERNET!

4. Finger weg von Spezialtools wie aswMBR - ab jetzt bitte nur noch Instruktionen umsetzen

5. Bitte Avast deinstallieren (am besten mit revo, siehe unten) das Teil können wir einfach nicht mehr guten Gewissens empfehlen. => Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog

Auch andere Freewareanbieter wie Avira, AVG oder Panda springen auf diesen oder ähnlichen Zügen rauf, basteln Junkware in die Setups, arbeiten mit ASK zusammen etc; so was ist bei Sicherheitssoftware einfach inakzeptabel.

Gib Bescheid wenn Avast weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

Lade Dir bitte von hier

Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
Klicke auf Optionen und wähle als Sprache Deutsch.
Suche im Uninstallerfeld nach den Programmen:

Avast Free Antivirus
Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
Wähle anschließend den Modus "Moderat" aus.
Reste löschen:
Klicke auf dann auf und dann auf .

Michael54 · 04.04.2017, 17:49

Avast ist weg. Noch einmal Farbar drüber laufen lassen?

cosinus · 04.04.2017, 22:33

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Michael54 · 05.04.2017, 22:32

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2017.04.05.05
  rootkit: v2017.04.02.01

Windows 8.1 x64 NTFS
Internet Explorer 11.0.9600.18500
1 :: LAPTOP [administrator]

05.04.2017 12:47:47
mbar-log-2017-04-05 (12-47-47).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 328379
Time elapsed: 1 hour(s), 49 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Ich wundere mich. Es ist nichts gefunden worden. Nach dem Deinstallieren von avast geht der Laptop aber wieder ins Internet, ich war völlig überrascht, als er Malwarebytes aktualisiert hat. Obwohl nichts gefunden wurde, habe ich immer noch Hemmungen, USB-Sticks, die in diesem Rechner steckten, in einen anderen Computer zu stecken. Irgendwas ist auch passiert, er ist immer noch so langsam, daß ich nicht mit arbeiten kann. Ist es möglich, daß ein USB-Stick einfach so kaput geht, und dann irgendeinen "Datensalat" an die Rechner verteilt, so daß die Betriebsysteme Schaden nehmen? Wäre schön, wenn du mir trotzdem weiterhelfen kannst, bis der Laptop wieder so schnell ist, wie er mal war, bzw bis er mit der Arbeitsgeschwindigkeit mit den alten Rechnern zumindest annähernd mithalten kann (im Moment vergehen zwischen Rechtsklick auf Start und Öffnen des Windows Explorers über 150 Sekunden, das Starten der Lotus Programme dauert noch ein Vielfaches länger.

cosinus · 06.04.2017, 09:58

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Wir haben leider noch ne ältere Anleitung vom adwCleaner, bitte nochmal ausführen und so einstellen:

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Michael54 · 06.04.2017, 15:36

Code:

ATTFilter

# AdwCleaner v6.045 - Bericht erstellt am 06/04/2017 um 13:06:24
# Aktualisiert am 28/03/2017 von Malwarebytes
# Datenbank : 2017-04-04.2 [Server]
# Betriebssystem : Windows 8.1  (X64)
# Benutzername : 1 - LAPTOP
# Gestartet von : C:\Users\1\Downloads\AdwCleaner_6.045.exe
# Modus: Löschen
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****



***** [ Ordner ] *****



***** [ Dateien ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Verknüpfungen ] *****



***** [ Aufgabenplanung ] *****



***** [ Registrierungsdatenbank ] *****



***** [ Browser ] *****

[-] Firefox Einstellungen bereinigt: "browser.startup.homepage" -  "file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/grammatik/verb5.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/vocabular/html2/search1.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/glossar/index.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe3.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe2.html hxxp://www.verbix.com/webverbix/go.php?T1=ca%3Enta&Submit=Go&D1=5&H1=105 hxxp://www.verbix.com/webverbix/go.php?T1=intra&Submit=Go&D1=5&H1=105 hxxp://www.linguee.de/deutsch-rum%C3%A4nisch/search?source=auto&query=anhalten hxxp://dero.dict.cc/?s=zeigen hxxp://www.goethe-verlag.com/book2/_VOCAB/DE/DERO/DERO.HTM hxxp://www.goethe-verlag.com/book2/DE/DERO/DERO003.HTM hxxp://www.goethe-verlag.com/book2/DE/ hxxps://www.50languages.com/#startnow about:preferences"


*************************

:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1963 Bytes] - [06/04/2017 13:06:24]
C:\AdwCleaner\AdwCleaner[S0].txt - [1484 Bytes] - [06/04/2017 13:04:08]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [2109 Bytes] ##########

Code:

ATTFilter

# AdwCleaner v6.045 - Bericht erstellt am 06/04/2017 um 13:06:24
# Aktualisiert am 28/03/2017 von Malwarebytes
# Datenbank : 2017-04-04.2 [Server]
# Betriebssystem : Windows 8.1  (X64)
# Benutzername : 1 - LAPTOP
# Gestartet von : C:\Users\1\Downloads\AdwCleaner_6.045.exe
# Modus: Löschen
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****



***** [ Ordner ] *****



***** [ Dateien ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Verknüpfungen ] *****



***** [ Aufgabenplanung ] *****



***** [ Registrierungsdatenbank ] *****



***** [ Browser ] *****

[-] Firefox Einstellungen bereinigt: "browser.startup.homepage" -  "file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/grammatik/verb5.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/vocabular/html2/search1.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/glossar/index.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe3.html file:///C:/Rum%C3%A4nisch_v_Laptop/Rum%C3%A4nisch_Yandex/komplett/sprachenlernen24/Rumaenisch_Komplett/content/de/aufgabe2.html hxxp://www.verbix.com/webverbix/go.php?T1=ca%3Enta&Submit=Go&D1=5&H1=105 hxxp://www.verbix.com/webverbix/go.php?T1=intra&Submit=Go&D1=5&H1=105 hxxp://www.linguee.de/deutsch-rum%C3%A4nisch/search?source=auto&query=anhalten hxxp://dero.dict.cc/?s=zeigen hxxp://www.goethe-verlag.com/book2/_VOCAB/DE/DERO/DERO.HTM hxxp://www.goethe-verlag.com/book2/DE/DERO/DERO003.HTM hxxp://www.goethe-verlag.com/book2/DE/ hxxps://www.50languages.com/#startnow about:preferences"


*************************

:: "Tracing" Schlüssel gelöscht
:: Winsock Einstellungen zurückgesetzt

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1963 Bytes] - [06/04/2017 13:06:24]
C:\AdwCleaner\AdwCleaner[S0].txt - [1484 Bytes] - [06/04/2017 13:04:08]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [2109 Bytes] ##########

Code:

ATTFilter

# AdwCleaner v6.045 - Bericht erstellt am 06/04/2017 um 13:32:10
# Aktualisiert am 28/03/2017 von Malwarebytes
# Datenbank : 2017-04-04.2 [Lokal]
# Betriebssystem : Windows 8.1  (X64)
# Benutzername : 1 - LAPTOP
# Gestartet von : C:\Users\1\Downloads\AdwCleaner_6.045.exe
# Modus: Suchlauf
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****

Keine schädlichen Dienste gefunden.


***** [ Ordner ] *****

Keine schädlichen Ordner gefunden.


***** [ Dateien ] *****

Keine schädlichen Dateien gefunden.


***** [ DLL ] *****

Keine infizierten DLLs gefunden.


***** [ WMI ] *****

Keine schädlichen Schlüssel gefunden.


***** [ Verknüpfungen ] *****

Keine infizierten Verknüpfungen gefunden.


***** [ Aufgabenplanung ] *****

Keine schädlichen Aufgaben gefunden.


***** [ Registrierungsdatenbank ] *****

Keine schädlichen Elemente in der Registrierungsdatenbank gefunden.


***** [ Internetbrowser ] *****

Keine schädlichen Elemente in Firefox basierten Browsern gefunden.
Keine schädlichen Elemente in Chrome basierten Browsern gefunden.

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [2188 Bytes] - [06/04/2017 13:06:24]
C:\AdwCleaner\AdwCleaner[S0].txt - [1484 Bytes] - [06/04/2017 13:04:08]
C:\AdwCleaner\AdwCleaner[S1].txt - [1320 Bytes] - [06/04/2017 13:32:10]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1393 Bytes] ##########

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.2 (03.10.2017)
Operating System: Windows 8.1 x64 
Ran by 1 (Administrator) on 06.04.2017 at 13:40:12,56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 06.04.2017 at 13:44:44,64
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.2 (03.10.2017)
Operating System: Windows 8.1 x64 
Ran by 1 (Administrator) on 06.04.2017 at 13:40:12,56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 06.04.2017 at 13:44:44,64
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cosinus · 06.04.2017, 21:29

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:

1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

Installiere das Programm in den vorgegebenen Pfad.
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM nach dem Neustart, klicke auf Berichte.
Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Michael54 · 07.04.2017, 02:51

Code:

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 07.04.17
Scan-Zeit: 00:34
Protokolldatei: mbam.txt
Administrator: Ja

-Softwaredaten-
Version: 3.0.6.1469
Komponentenversion: 1.0.96
Version des Aktualisierungspakets: 1.0.1677
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Laptop\1

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 350220
Abgelaufene Zeit: 6 Min., 37 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 3
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Ersetzt, [1046], [302767],1.0.1677
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Ersetzt, [1046], [302772],1.0.1677
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Ersetzt, [1046], [302772],1.0.1677

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=b9ae7366880d404080fb1928bb786a3b
# end=init
# utc_time=2017-04-06 11:25:02
# local_time=2017-04-07 01:25:02 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
Update Init
Update Download
Update Finalize
Updated modules version: 32977
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=b9ae7366880d404080fb1928bb786a3b
# end=updated
# utc_time=2017-04-06 11:34:43
# local_time=2017-04-07 01:34:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=b9ae7366880d404080fb1928bb786a3b
# engine=32977
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2017-04-07 01:25:43
# local_time=2017-04-07 03:25:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 14202620 55317913 0 0
# scanned=211226
# found=6
# cleaned=0
# scan_time=6658
sh=411F53A6F332858918E3D6B490A35E450C3937E5 ft=1 fh=ea2694f298faac98 vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_102_074_000.exe"
sh=17D1115C29E587564D6502E9F1B611FE21DCE422 ft=1 fh=2940bf01406f2354 vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_102_078_000.exe"
sh=0CF32FF6C5769A156A32D77D0B176AE87B94E0A4 ft=1 fh=2f36abc55baa2a6c vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_120_118_000.exe"
sh=1B644D98EB8B8F424A9686807EC8B5277170C638 ft=1 fh=7e22e270a4766744 vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_120_121_000.exe"
sh=1849F13349ED79A909648D0940F0EE8477C92FDF ft=1 fh=955d55fe6f4249e8 vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_131_211_000.exe"
sh=9F50D1D597670CB33F90D150F5E586C08BBEEFFB ft=1 fh=d1238e2d94891a8a vn="Win32/Toolbar.Conduit eventuell unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\1\Downloads\zafwSetup_133_052_000.exe"

Code:

ATTFilter

 Results of screen317's Security Check version 1.009  
   x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Windows Defender   
Malwarebytes       
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 MVPS Hosts File  
 Wise Disk Cleaner 9.33  
 Java 8 Update 101  
 Java version 32-bit out of Date! 
 Adobe Flash Player 	23.0.0.207  
 Mozilla Firefox (42.0) 
 Google Chrome (55.0.2883.75) 
 Google Chrome (SetupMetrics...) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamtray.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````

cosinus · 07.04.2017, 08:14

Zitat:

C:\Users\1\Downloads\zafwSetup_102_074_000.exe

Downloadordner aufräumen

Zitat:

Wise Disk Cleaner 9.33

Muss das sein??

Zitat:

Java 8 Update 101
Adobe Flash Player 23.0.0.207
Mozilla Firefox (42.0)

Alt!! Deinstallieren

Michael54 · 07.04.2017, 12:42

alles auf ext. Festplatte gesichert, dann gelöscht, die Programme mit Revo. Der Laptop ist jetzt deutlich schneller, allerdings das Internet mit "seamonkey" wesentlich langsamer.

cosinus · 07.04.2017, 13:22

Seamonkey nutze ich ich nicht, sondern immer Firefox.

07.04.2017, 13:22	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop Windows 8.1, Virenübertragung durch USB-Stick Seamonkey nutze ich ich nicht, sondern immer Firefox. __________________ Logfiles bitte immer in CODE-Tags posten

Laptop Windows 8.1, Virenübertragung durch USB-Stick

Plagegeister aller Art und deren Bekämpfung: Laptop Windows 8.1, Virenübertragung durch USB-Stick