Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows8: Virus trotz Neuinstallation des OS noch immer aktiv

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.08.2015, 11:25   #1
Eikstor
 
Windows8: Virus trotz Neuinstallation des OS  noch immer aktiv - Standard

Windows8: Virus trotz Neuinstallation des OS noch immer aktiv



Hallo Leute,
Ich habe mir kürzlich beim entpacken eines Uncut-Patches ein Virus eingefangen. Nachdem weder McAfee, noch die üblichen Freeware-Angebote zur Malwarebekämpfung das Virus entfernen konnten beschloss ich mein OS Win 8.1 Pro 64 Bit neu aufzusetzen.
Zunächst versuchte ich es über das Lenovo-Tool ThinkVantage, was von Lenovo vorgesehen ist für den Factory-Reset. ThinkVantage reagiert nicht und auch der Direktzugriff auf die SicherungsPartition Lenovo_Recovery(Q) ist nicht möglich. Auf dem herkömmlichen Weg von Windows, den "erweiterten Wiederherstellungsmethoden", gabs es ebenso keinen Erfolg, nur die Info: "Die erforderlichen Wiederherstellungsdateien wurden nicht gefunden. Die gleiche Meldung erhielt ich auch, als ich eine Recovery-DVD erstellen wollte.
Auf den Befehl F11 beim Start reagierte das System ebenfalls nicht und fährt normal hoch, obwohl das Gerät laut Hersteller in den Recovery-Mode booten müssten.
Anscheinend blockierte das Virus den Recovery-Mode und den Zugriff auf die Sicherungsdateien.
Als letzte Lösung habe ich ich also die ISO direkt von Microsoft geladen und auf DVD gebrannt. Die Neuinstallation funktionierte einwandfrei und ich klickte auf "nichts" als Microsoft mich fragte, ob ich etwas von meinen Daten übernehmen möchte. Nun habe ich Win8 frisch drauf, aber leider öffnen sich weiterhin willkürlich Fenster und alles ist extrem verlangsamt. Der Virenscan von McAfee ergab, dass sich mein ungebetener Gast noch immer auf dem Gerät herumtreibt.

Ich hoffe ihr könnt mir weiterhelfen.
Vielen Dank vorab.

Ich hab hier mal die Logfiles von FRST rangehangen, sowie die Ergebnisse des Gmer-Scans:

FRST-LogFiles:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:14-08-2015 01
durchgeführt von Eik (Administrator) auf EIK-PC (15-08-2015 10:50:00)
Gestartet von C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1
Geladene Profile: Eik (Verfügbare Profile: Eik)
Platform: Windows 8.1 Pro (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Lenovo.) C:\Windows\System32\ibmpmsvc.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(Synaptics Incorporated) C:\Windows\System32\valWBFPolicyService.exe
(Synaptics Incorporated) C:\Windows\System32\valWbioSyncSvc.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe
(McAfee, Inc.) C:\Windows\System32\mfevtps.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
(McAfee, Inc.) C:\Windows\System32\mfevtps.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe
(McAfee, Inc.) C:\Program Files\McAfee\MSC\McAPExe.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynFP\Shared\SensorDBSynch.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe
(Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel Corporation) C:\Windows\System32\igfxHK.exe
(Intel Corporation) C:\Windows\System32\igfxTray.exe
(Microsoft Corporation) C:\Windows\System32\SkyDrive.exe
(Microsoft Corporation) C:\Windows\System32\SettingSyncHost.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
(Microsoft Corporation) C:\Windows\System32\WWAHost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
AppInit_DLLs: C:\WINDOWS\system32\nvinitx.dll => C:\WINDOWS\system32\nvinitx.dll [184048 2013-12-26] (NVIDIA Corporation)
AppInit_DLLs-x32: C:\WINDOWS\SysWOW64\nvinit.dll => C:\WINDOWS\SysWOW64\nvinit.dll [156256 2013-12-26] (NVIDIA Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt..)

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1442497613-3789252926-842570062-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-1442497613-3789252926-842570062-1001 -> DefaultScope {D07FF20A-D211-4E3A-B792-E863378E2B9B} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C011DE0D20150814&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1442497613-3789252926-842570062-1001 -> {D07FF20A-D211-4E3A-B792-E863378E2B9B} URL = hxxps://de.search.yahoo.com/search?fr=mcafee&type=C011DE0D20150814&p={searchTerms}
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2015-08-04] (McAfee, Inc.)
Handler-x32: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2015-08-04] (McAfee, Inc.)
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2015-08-04] (McAfee, Inc.)
Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2015-08-04] (McAfee, Inc.)
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files\McAfee\MSC\McSnIePl64.dll [2015-07-21] (McAfee, Inc.)
Filter-x32: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\Program Files (x86)\McAfee\MSC\McSnIePl.dll [2015-07-21] (McAfee, Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [2015-07-21] ()
FF Plugin-x32: @mcafee.com/MSC,version=10 -> c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL [2015-07-21] ()
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
FF Extension: McAfee Anti-Spam Thunderbird Extension - C:\Program Files\McAfee\MSK [2015-08-14]

Chrome:
=======
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-08-14]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-08-14]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 0258571439587472mcinstcleanup; C:\Users\Eik\AppData\Local\Temp\025857~1.EXE [882000 2015-06-18] (McAfee, Inc.)
R2 HomeNetSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
R2 igfxCUIService1.0.0.0; C:\Windows\system32\igfxCUIService.exe [319376 2014-10-01] (Intel Corporation)
S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
R2 McAfee SiteAdvisor Service; c:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe [155368 2015-08-04] (McAfee, Inc.)
R2 McAPExe; C:\Program Files\McAfee\MSC\McAPExe.exe [782608 2015-07-21] (McAfee, Inc.)
R2 mccspsvc; C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe [1694152 2015-07-23] (McAfee, Inc.)
R2 McMPFSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
R2 McNaiAnn; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
S3 McODS; C:\Program Files\McAfee\VirusScan\mcods.exe [639456 2015-07-17] (McAfee, Inc.)
R2 mcpltsvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
R2 McProxy; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
R3 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [232656 2015-06-29] (McAfee, Inc.)
R2 mfemms; C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe [373704 2015-07-15] (McAfee, Inc.)
R3 mfevtp; C:\WINDOWS\system32\mfevtps.exe [254792 2015-06-29] (McAfee, Inc.)
R2 MSK80Service; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [368048 2015-07-21] (McAfee, Inc.)
R2 valWBFPolicyService; C:\Windows\system32\valWBFPolicyService.exe [49040 2014-07-24] (Synaptics Incorporated)
R2 valWbioSyncSvc; C:\Windows\system32\valWbioSyncSvc.exe [32256 2014-07-24] (Synaptics Incorporated)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [347880 2014-09-24] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23824 2014-09-24] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 cfwids; C:\Windows\System32\drivers\cfwids.sys [77536 2015-07-02] (McAfee, Inc.)
S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [207208 2015-05-19] (McAfee, Inc.)
S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [25816 2015-06-18] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [64216 2015-06-18] (Malwarebytes Corporation)
R3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [412440 2015-07-02] (McAfee, Inc.)
R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [347800 2015-07-02] (McAfee, Inc.)
S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.)
R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [496888 2015-07-02] (McAfee, Inc.)
R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [875928 2015-07-02] (McAfee, Inc.)
R3 mfencbdc; C:\Windows\system32\DRIVERS\mfencbdc.sys [529080 2015-06-28] (McAfee, Inc.)
S3 mfencrk; C:\Windows\system32\DRIVERS\mfencrk.sys [109728 2015-06-28] (McAfee, Inc.)
R3 mfesapsn; C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [37960 2015-08-04] (McAfee, Inc.)
R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [344704 2015-07-02] (McAfee, Inc.)
R3 NETwNe64; C:\Windows\system32\DRIVERS\NETwew00.sys [3344352 2013-07-08] (Intel Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-08-15 10:49 - 2015-08-15 10:50 - 00000000 ____D C:\FRST
2015-08-15 10:45 - 2015-08-15 10:45 - 00000000 _____ C:\Users\Eik\defogger_reenable
2015-08-15 10:42 - 2015-08-15 10:45 - 00000468 _____ C:\Users\Eik\Desktop\defogger_disable.log
2015-08-15 10:19 - 2015-08-15 10:19 - 00113880 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2015-08-15 10:19 - 2015-08-15 10:19 - 00001125 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware
2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\Malwarebytes
2015-08-15 10:19 - 2015-08-15 10:19 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware
2015-08-15 10:19 - 2015-06-18 08:42 - 00064216 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mwac.sys
2015-08-15 10:19 - 2015-06-18 08:41 - 00109272 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2015-08-15 10:19 - 2015-06-18 08:41 - 00025816 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2015-08-15 10:15 - 2015-08-15 10:15 - 00000144 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-08-14 23:41 - 2015-08-14 23:03 - 00000000 ___DC C:\WINDOWS\Panther
2015-08-14 23:40 - 2015-08-14 23:40 - 00000000 ____D C:\Windows.old
2015-08-14 23:34 - 2015-08-14 23:34 - 00262144 _____ C:\WINDOWS\system32\config\userdiff
2015-08-14 23:33 - 2015-08-14 23:33 - 00642560 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\apphelp.dll
2015-08-14 23:33 - 2015-08-14 23:33 - 00564224 _____ (Microsoft Corporation) C:\WINDOWS\system32\apphelp.dll
2015-08-14 23:33 - 2015-08-14 23:33 - 00024576 _____ (Microsoft Corporation) C:\WINDOWS\system32\sdbinst.exe
2015-08-14 23:33 - 2015-08-14 23:33 - 00021504 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\sdbinst.exe
2015-08-14 23:33 - 2015-08-14 23:33 - 00007168 _____ (Microsoft Corporation) C:\WINDOWS\system32\shimeng.dll
2015-08-14 23:33 - 2015-08-14 23:33 - 00005632 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\shimeng.dll
2015-08-14 23:28 - 2015-07-05 12:08 - 00300704 ____N (Microsoft Corporation) C:\WINDOWS\system32\MpSigStub.exe
2015-08-14 23:27 - 2015-08-14 23:27 - 00001943 _____ C:\Users\Public\Desktop\McAfee Total Protection.lnk
2015-08-14 23:27 - 2015-08-14 23:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
2015-08-14 23:26 - 2015-08-14 23:26 - 00000000 ____D C:\WINDOWS\System32\Tasks\McAfee
2015-08-14 23:26 - 2015-05-19 13:59 - 00207208 _____ (McAfee, Inc.) C:\WINDOWS\system32\Drivers\HipShieldK.sys
2015-08-14 23:25 - 2015-08-14 23:25 - 00000000 ____D C:\Program Files (x86)\McAfee.com
2015-08-14 23:24 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files\McAfee
2015-08-14 23:24 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files (x86)\McAfee
2015-08-14 23:24 - 2015-08-14 23:24 - 00000000 ____D C:\Program Files\McAfee.com
2015-08-14 23:24 - 2015-08-14 23:24 - 00000000 ____D C:\Program Files\Common Files\AV
2015-08-14 23:13 - 2015-08-15 10:20 - 00003596 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-1442497613-3789252926-842570062-1001
2015-08-14 23:13 - 2015-08-15 10:19 - 00000000 ____D C:\ProgramData\McAfee
2015-08-14 23:13 - 2015-08-14 23:26 - 00000000 ____D C:\Program Files\Common Files\McAfee
2015-08-14 23:13 - 2015-06-29 10:03 - 00254792 _____ (McAfee, Inc.) C:\WINDOWS\system32\mfevtps.exe
2015-08-14 23:10 - 2015-08-15 10:17 - 00003914 _____ C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{DAC54D4A-C96A-4978-93D1-FCEFD2A698CF}
2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 __SHD C:\Users\Eik\AppData\Local\EmieUserList
2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 __SHD C:\Users\Eik\AppData\Local\EmieSiteList
2015-08-14 23:10 - 2015-08-14 23:10 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Macromedia
2015-08-14 23:09 - 2015-08-14 23:09 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_User_LocationProvider_01_11_00.Wdf
2015-08-14 23:09 - 2015-08-14 23:09 - 00000000 ____D C:\Users\Eik\AppData\Local\GWX
2015-08-14 23:08 - 2015-08-15 10:15 - 00000000 ___RD C:\Users\Eik\OneDrive
2015-08-14 23:04 - 2015-08-14 23:04 - 00000000 ____D C:\WINDOWS\System32\Tasks\WPD
2015-08-14 23:03 - 2015-08-14 23:05 - 00000000 ____D C:\Users\Eik\AppData\Local\Packages
2015-08-14 23:03 - 2015-08-14 23:03 - 00001461 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-08-14 23:03 - 2015-08-14 23:03 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Adobe
2015-08-14 23:03 - 2015-08-14 23:03 - 00000000 ____D C:\Users\Eik\AppData\Local\VirtualStore
2015-08-14 23:02 - 2015-08-14 23:02 - 00000451 _____ C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2015-08-14 23:01 - 2015-08-14 23:01 - 00000000 ___SD C:\WINDOWS\SysWOW64\GWX
2015-08-14 23:00 - 2015-08-15 10:45 - 00000000 ____D C:\Users\Eik
2015-08-14 23:00 - 2015-08-14 23:06 - 00000000 ___SD C:\WINDOWS\system32\GWX
2015-08-14 23:00 - 2015-08-14 23:00 - 00000020 ___SH C:\Users\Eik\ntuser.ini
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Vorlagen
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Startmenü
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Netzwerkumgebung
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Lokale Einstellungen
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Eigene Dateien
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Druckumgebung
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Documents\Eigene Musik
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Documents\Eigene Bilder
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Local\Verlauf
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\AppData\Local\Anwendungsdaten
2015-08-14 23:00 - 2015-08-14 23:00 - 00000000 _SHDL C:\Users\Eik\Anwendungsdaten
2015-08-14 23:00 - 2014-09-24 09:41 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools
2015-08-14 23:00 - 2014-09-24 09:41 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility
2015-08-14 23:00 - 2014-09-24 08:17 - 00000369 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pictures.lnk
2015-08-14 23:00 - 2014-09-24 08:17 - 00000369 _____ C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Documents.lnk
2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ___RD C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ____D C:\Users\Eik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2015-08-14 22:59 - 2015-07-09 21:51 - 00136904 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
2015-08-14 22:59 - 2015-07-09 20:48 - 02758128 _____ (Microsoft Corporation) C:\WINDOWS\explorer.exe
2015-08-14 22:59 - 2015-07-09 20:48 - 00131712 _____ (Microsoft Corporation) C:\WINDOWS\system32\RestoreOptIn.exe
2015-08-14 22:59 - 2015-07-09 20:40 - 00359936 _____ (Microsoft Corporation) C:\WINDOWS\system32\WinSetupUI.dll
2015-08-14 22:59 - 2015-07-09 19:59 - 02412576 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\explorer.exe
2015-08-14 22:59 - 2015-07-09 19:59 - 00112624 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\RestoreOptIn.exe
2015-08-14 22:59 - 2015-07-09 18:03 - 03701760 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaueng.dll
2015-08-14 22:59 - 2015-07-09 17:54 - 00035840 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuapp.exe
2015-08-14 22:59 - 2015-07-09 17:53 - 00140288 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuwebv.dll
2015-08-14 22:59 - 2015-07-09 17:50 - 00409088 _____ (Microsoft Corporation) C:\WINDOWS\system32\WUSettingsProvider.dll
2015-08-14 22:59 - 2015-07-09 17:50 - 00095744 _____ (Microsoft Corporation) C:\WINDOWS\system32\wudriver.dll
2015-08-14 22:59 - 2015-07-09 17:48 - 00891904 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuapi.dll
2015-08-14 22:59 - 2015-07-09 17:46 - 02229248 _____ (Microsoft Corporation) C:\WINDOWS\system32\wucltux.dll
2015-08-14 22:59 - 2015-07-09 17:38 - 00029696 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuapp.exe
2015-08-14 22:59 - 2015-07-09 17:37 - 00124928 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuwebv.dll
2015-08-14 22:59 - 2015-07-09 17:35 - 00081920 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wudriver.dll
2015-08-14 22:59 - 2015-07-09 17:34 - 00721920 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wuapi.dll
2015-08-14 22:59 - 2015-06-27 05:08 - 00066048 _____ (Microsoft Corporation) C:\WINDOWS\system32\wups.dll
2015-08-14 22:59 - 2015-06-27 05:08 - 00052224 _____ (Microsoft Corporation) C:\WINDOWS\system32\wups2.dll
2015-08-14 22:59 - 2015-06-27 04:14 - 00027136 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wups.dll
2015-08-14 22:59 - 2015-03-14 03:51 - 00015360 _____ (Microsoft Corporation) C:\WINDOWS\system32\wu.upgrade.ps.dll
2015-08-14 22:59 - 2014-10-18 08:50 - 00017408 _____ (Microsoft Corporation) C:\WINDOWS\system32\wuaext.dll
2015-08-14 22:58 - 2015-08-14 22:58 - 00000000 ____D C:\WINDOWS\CSC
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Vorlagen
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Startmenü
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Lokale Einstellungen
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Eigene Dateien
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default\Anwendungsdaten
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Vorlagen
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Startmenü
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Dokumente
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\ProgramData\Anwendungsdaten
2015-08-14 22:51 - 2015-08-14 22:51 - 00000000 _SHDL C:\Program Files\Gemeinsame Dateien
2015-08-14 22:45 - 2015-08-14 23:02 - 00000000 ____D C:\ProgramData\Validity
2015-08-14 22:45 - 2015-08-14 22:45 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_User_wbf_vfs_lvcmn_01_09_00.Wdf
2015-08-14 22:45 - 2015-08-14 22:45 - 00000000 ____D C:\Program Files\Synaptics
2015-08-14 22:44 - 2015-08-14 22:56 - 00000000 ____D C:\WINDOWS\SysWOW64\NV
2015-08-14 22:44 - 2015-08-14 22:56 - 00000000 ____D C:\WINDOWS\system32\NV
2015-08-14 22:44 - 2015-08-14 22:44 - 00000000 ____D C:\ProgramData\NVIDIA
2015-08-14 22:44 - 2015-08-14 22:44 - 00000000 ____D C:\Program Files\Intel
2015-08-14 22:44 - 2014-10-01 19:54 - 00064000 _____ (Khronos Group) C:\WINDOWS\system32\OpenCL.DLL
2015-08-14 22:44 - 2014-10-01 19:54 - 00060416 _____ (Khronos Group) C:\WINDOWS\SysWOW64\OpenCL.DLL
2015-08-14 22:43 - 2015-08-14 23:29 - 02022794 _____ C:\WINDOWS\WindowsUpdate.log
2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\ProgramData\NVIDIA Corporation
2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2015-08-14 22:43 - 2015-08-14 22:43 - 00000000 ____D C:\Program Files (x86)\NVIDIA Corporation
2015-08-14 22:43 - 2013-10-29 01:39 - 06610720 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcpl.dll
2015-08-14 22:43 - 2013-10-29 01:39 - 03477280 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvc64.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 02559776 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvcr.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 01042720 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshext.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 00920864 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvvsvc.exe
2015-08-14 22:43 - 2013-10-29 01:38 - 00580384 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\oemdspif.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 00219424 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvmctray.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 00067072 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshextr.dll
2015-08-14 22:43 - 2013-10-29 01:38 - 00063776 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvshext.dll
2015-08-14 22:43 - 2013-10-25 13:44 - 03435888 _____ C:\WINDOWS\system32\nvcoproc.bin
2015-08-14 22:11 - 2015-08-14 22:26 - 00000000 ___HD C:\$WINDOWS.~BT
2015-08-14 20:17 - 2015-08-14 22:47 - 00000000 __SHD C:\Recovery
2015-08-14 17:58 - 2015-08-14 17:58 - 00000000 __RHD C:\ESD
2015-08-12 16:50 - 2015-08-13 10:51 - 00001519 _____ C:\task.vbs
2015-08-12 16:49 - 2015-08-12 16:49 - 00000000 _____ C:\dummy.htm
2015-07-17 12:27 - 2015-07-17 12:27 - 00156920 _____ (Lenovo.) C:\WINDOWS\system32\ibmpmsvc.exe
2015-07-17 12:27 - 2015-07-17 12:27 - 00081144 _____ (Lenovo.) C:\WINDOWS\system32\ibmpmctl.exe
2015-07-17 12:27 - 2015-07-17 12:27 - 00072400 _____ (Lenovo.) C:\WINDOWS\system32\Drivers\ibmpmdrv.sys
2015-07-17 12:27 - 2015-07-17 12:27 - 00050936 _____ (Lenovo.) C:\WINDOWS\system32\tpinspm.dll
2015-07-16 17:26 - 2015-07-16 17:26 - 00000000 ____D C:\682892ca55ebb7cd73

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-08-15 10:39 - 2013-08-22 17:20 - 00000000 ____D C:\WINDOWS\CbsTemp
2015-08-15 10:16 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\sru
2015-08-14 23:41 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\Recovery
2015-08-14 23:40 - 2013-08-22 17:36 - 00262144 _____ C:\WINDOWS\system32\config\BCD-Template
2015-08-14 23:33 - 2013-08-22 15:25 - 00262144 ___SH C:\WINDOWS\system32\config\ELAM
2015-08-14 23:25 - 2013-08-22 17:36 - 00000000 ___HD C:\WINDOWS\ELAMBKUP
2015-08-14 23:13 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\AppReadiness
2015-08-14 23:09 - 2013-08-22 16:46 - 00016691 _____ C:\WINDOWS\setupact.log
2015-08-14 23:07 - 2014-09-24 08:16 - 01686150 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2015-08-14 23:07 - 2014-09-24 07:43 - 00727930 _____ C:\WINDOWS\system32\perfh007.dat
2015-08-14 23:07 - 2014-09-24 07:43 - 00151586 _____ C:\WINDOWS\system32\perfc007.dat
2015-08-14 23:05 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\WinBioDatabase
2015-08-14 23:02 - 2013-08-22 16:45 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2015-08-14 23:00 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\PolicyDefinitions
2015-08-14 22:59 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\restore
2015-08-14 22:59 - 2013-08-22 15:36 - 00000000 ____D C:\WINDOWS\system32\AdvancedInstallers
2015-08-14 22:51 - 2013-08-22 17:36 - 00000000 ____D C:\Program Files\Windows NT
2015-08-14 22:51 - 2013-08-22 15:36 - 00000000 __RHD C:\Users\Default
2015-08-14 22:50 - 2013-08-22 16:44 - 00338016 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2015-08-14 22:49 - 2013-08-22 15:25 - 00262144 ___SH C:\WINDOWS\system32\config\BBI
2015-08-14 22:47 - 2013-08-22 17:37 - 00002664 _____ C:\WINDOWS\DtcInstall.log
2015-08-14 22:45 - 2013-08-22 17:36 - 00000000 ____D C:\WINDOWS\system32\WinBioPlugIns
2015-08-14 22:42 - 2014-09-23 23:06 - 00002482 _____ C:\WINDOWS\PFRO.log
2015-08-14 15:06 - 2013-12-14 22:31 - 00000000 ____D C:\swshare
2015-08-13 15:10 - 2015-01-24 16:15 - 00000000 ____D C:\AdwCleaner

Einige Dateien in TEMP:
====================
C:\Users\Eik\AppData\Local\Temp\0258571439587472mcinst.exe
C:\Users\Eik\AppData\Local\Temp\McCSPInstall.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\wininit.exe => Datei ist digital signiert
C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\SysWOW64\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-08-14 22:42

==================== Ende von Ergebnis ============================

Additional-Logfiles von FRST:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:14-08-2015 01
durchgeführt von Eik (2015-08-15 10:50:43)
Gestartet von C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1442497613-3789252926-842570062-500 - Administrator - Disabled)
Eik (S-1-5-21-1442497613-3789252926-842570062-1001 - Administrator - Enabled) => C:\Users\Eik
Gast (S-1-5-21-1442497613-3789252926-842570062-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-1442497613-3789252926-842570062-1003 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: McAfee Anti-Virus und Anti-Spyware (Enabled - Up to date) {DA9F8ED0-D0DE-39CC-F55A-51AB4CC1B556}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: McAfee Anti-Virus und Anti-Spyware (Enabled - Up to date) {61FE6F34-F6E4-3642-CFEA-6AD93746FFEB}
FW: McAfee Firewall (Enabled) {E2A40FF5-9AB1-3894-DE05-F89EB212F22D}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.10.17 - Lenovo)
Malwarebytes Anti-Malware Version 2.1.8.1057 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.1.8.1057 - Malwarebytes Corporation)
McAfee Total Protection (HKLM-x32\...\MSC) (Version: 14.0.4113 - McAfee, Inc.)
McAfee WebAdvisor (HKLM-x32\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.0.124 - McAfee, Inc.)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

CustomCLSID: HKU\S-1-5-21-1442497613-3789252926-842570062-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\WINDOWS\system32\igfxEM.exe (Intel Corporation)

==================== Wiederherstellungspunkte =========================


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\WINDOWS\system32\Drivers\etc\hosts

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {854D7562-5D05-431C-AFCF-06247131C87E} - System32\Tasks\Microsoft\Windows\SetupSQMTask => C:\WINDOWS\SYSTEM32\OOBE\SETUPSQM.EXE [2013-08-22] (Microsoft Corporation)
Task: {9E4FBDDD-EA47-4E91-BF89-CD6FDA8366B9} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-12-26 19:42 - 2013-12-26 19:42 - 00013088 _____ () C:\Program Files\NVIDIA Corporation\CoProcManager\detoured.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\Users\Eik\OneDrive:ms-properties

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"

==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1442497613-3789252926-842570062-1001\Control Panel\Desktop\\Wallpaper -> C:\WINDOWS\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppextcomobj.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppextcomobj.exe
FirewallRules: [{492A9EE6-9E9D-42BE-9961-3A1C7B2BE812}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: PCI-Gerät
Description: PCI-Gerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (08/14/2015 11:04:30 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
hr=0xC004E028
Befehlszeilenargumente:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=0cdc4d08-6df6-4eb4-b5b4-a373c3e351e7;NotificationInterval=1440;Trigger=UserLogon;SessionId=1


Systemfehler:
=============
Error: (08/14/2015 11:46:49 PM) (Source: DCOM) (EventID: 10010) (User: EIK-PC)
Description: {4AA0A5C4-1B9B-4F2E-99D7-99C6AEC83474}

Error: (08/14/2015 11:33:51 PM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: NT-AUTORITÄT)
Description: Fehler beim Lesen der Datei für lokale Hosts.

Error: (08/14/2015 11:01:58 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (08/14/2015 10:51:46 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Der Dienst "BranchCache" wurde mit dem folgenden dienstspezifischen Fehler beendet:
%%1260

Error: (08/14/2015 10:51:40 PM) (Source: NETLOGON) (EventID: 3095) (User: )
Description: Dieser Computer ist als Mitglied einer Arbeitsgruppe konfiguriert, nicht als
Mitglied einer Domäne. Der Anmeldedienst braucht bei dieser
Konfiguration nicht gestartet zu sein.

Error: (08/14/2015 10:49:58 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (08/14/2015 10:47:14 PM) (Source: DCOM) (EventID: 10010) (User: NT-AUTORITÄT)
Description: {A47979D2-C419-11D9-A5B4-001185AD2B89}

Error: (08/14/2015 10:45:27 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (08/14/2015 10:45:14 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Netzwerklistendienst" wurde mit folgendem Fehler beendet:
%%21

Error: (08/14/2015 10:43:16 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "IP-Hilfsdienst" wurde mit folgendem Fehler beendet:
%%1058


Microsoft Office:
=========================
Error: (08/14/2015 11:04:30 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: hr=0xC004E028RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=0cdc4d08-6df6-4eb4-b5b4-a373c3e351e7;NotificationInterval=1440;Trigger=UserLogon;SessionId=1


==================== Speicherinformationen ===========================

Processor: Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz
Prozentuale Nutzung des RAM: 30%
Installierter physikalischer RAM: 7757.65 MB
Verfügbarer physikalischer RAM: 5403.06 MB
Summe virtueller Speicher: 9677.65 MB
Verfügbarer virtueller Speicher: 7265.66 MB

==================== Laufwerke ================================

Drive c: (Windows7_OS) (Fixed) (Total:450.84 GB) (Free:416.23 GB) NTFS ==>[System mit Startkomponenten (eingeholt von lesen Laufwerk)]
Drive d: (ESD-ISO) (CDROM) (Total:3.23 GB) (Free:0 GB) UDF
Drive q: () (Fixed) (Total:14.72 GB) (Free:14.67 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 465.8 GB) (Disk ID: A5A2C9A7)
Partition 1: (Active) - (Size=200 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=450.8 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=14.7 GB) - (Type=07 NTFS)

==================== Ende von Ergebnis ============================


Gmer-Logfiles:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-08-15 11:03:09
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002d HGST_HTS725050A7E630 rev.GH2ZB550 465,76GB
Running: Gmer-19357.exe; Driver: C:\Users\Eik\AppData\Local\Temp\kwtdapob.sys


---- User code sections - GMER 2.1 ----

.text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\valWBFPolicyService.exe[1520] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\Windows\System32\WUDFHost.exe[2016] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[2772] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\mfevtps.exe[4616] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\CSP\1.6.1008.0\McCSPServiceHost.exe[4252] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[4604] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\McAfee\MSC\McAPExe.exe[4196] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffab7a728c0 7 bytes JMP 00007ffbb54c02d0
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffab7a743d8 7 bytes JMP 00007ffbb54c0308
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffab7b21f20 7 bytes JMP 00007ffbb54c0378
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffab7b240b4 7 bytes JMP 00007ffbb54c03b0
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffab7b24510 7 bytes JMP 00007ffbb54c0340
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleFileNameExW 00007ffab7b24af0 7 bytes JMP 00007ffbb54c0260
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffab7b4cea0 7 bytes JMP 00007ffbb54c0228
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffab7b4cf10 7 bytes JMP 00007ffbb54c0298
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffab5522300 7 bytes JMP 00007ffbb54c00d8
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffab5525770 5 bytes JMP 00007ffbb54c0180
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffab5525860 5 bytes JMP 00007ffbb54c0148
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffab5525a30 5 bytes JMP 00007ffbb54c0110
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffab58cb6f4 10 bytes JMP 00007ffbb54c0490
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffab58d45e8 5 bytes JMP 00007ffbb54c0458
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffab58d4760 1 byte JMP 00007ffbb54c03e8
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2 00007ffab58d4762 7 bytes {JMP 0xffffffffffbebc88}
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffab58e4fc0 5 bytes JMP 00007ffbb54c0420
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffab6051500 8 bytes JMP 00007ffbb54c01b8
.text C:\WINDOWS\system32\dwm.exe[5512] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffab6051750 8 bytes JMP 00007ffbb54c01f0
.text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\system32\nvvsvc.exe[4852] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5560] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffab627169a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffab62716a2 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffab627181a 4 bytes [27, B6, FA, 7F]
.text C:\WINDOWS\Explorer.EXE[568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffab6271832 4 bytes [27, B6, FA, 7F]

---- Threads - GMER 2.1 ----

Thread C:\WINDOWS\system32\csrss.exe [1404:6072] fffff96000988b90
---- Processes - GMER 2.1 ----

Process C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\ZU65WWR4\Gmer-19357.exe (*** suspicious ***) @ C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\ZU65WWR4\Gmer-19357.exe [2632](2015-08-15 08:56:00) 0000000000400000

---- Services - GMER 2.1 ----

Service C:\Program Files (x86)\Windows Defender\MsMpEng.exe (*** hidden *** ) [AUTO] WinDefend <-- ROOTKIT !!!
Service C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (*** hidden *** ) [MANUAL] WMPNetworkSvc <-- ROOTKIT !!!

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\LEN40B40_00_07DC_35^B00020D99E608D4829EAFDD4CDB1C9B4@Timestamp 0xBA 0x7B 0x59 0x77 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\381b4222-f694-41f0-9685-ff5bb260df2e\7516b95f-f776-4464-8c53-06167f40cc99\aded5e82-b909-4619-9949-f5d71dac0bcb@DCSettingIndex 0
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations \??\C:\PROGRA~1\McAfee\MSC\McBootSvcSet.exe??\??\C:\Users\Eik\AppData\Local\Temp\SiteAdvisor{E4D01897-AAE4-4D55-9902-0BBDBB468AFE}\mcinst.exe??\??\C:\Program Files (x86)\McAfee\SiteAdvisor\Download\s27g??\??\C:\Program Files (x86)\McAfee\SiteAdvisor\Download\s27g.1??
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed 888748793
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime 21480
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime 16466
Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@GlassSessionId 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00c2c6261a05
Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@LocalJoiningUser
Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@AutoCreate 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\HomeGroupProvider\ServiceData@AutoCreateUserName eikhaase@outlook.de
Reg HKLM\SYSTEM\CurrentControlSet\Services\IBMPMSVC\Parameters\Notification@ -67010448
Reg HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT@Start 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT
Reg HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{CE0FF5D9-799E-4B62-9BAF-9B1082399CE7}@DefunctTimestamp 0x57 0x5A 0xCE 0x55 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters@EnableAuthenticateUserSharing 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@VTPOptions.MSTRINTSLL_AAC 1048576
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@start.MSTRINTSLL_AAC 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeaack@BootLoadContent.MSTRINTSLL_AAC 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@VTPOptions.MSTRINTSLL_AAC 1310720
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@start.MSTRINTSLL_AAC 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfeavfk@BootLoadContent.MSTRINTSLL_AAC 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@SUPPORTEDFEATURES.MSTRINTSLL_AAC 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@SUPPORTEDFEATURES.MSTRINTSLL_MMS 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfehidk@ProductId.MSTRINTSLL {308C1AD7-765B-4A17-B25B-D415F07357F3}
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfemms@ServiceDelayNormal 60
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfemms@ServiceDelayLate 120
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfencbdc@SmoothWritesDefaultTimeout 2000
Reg HKLM\SYSTEM\CurrentControlSet\Services\mfencbdc@DefaultTTL 10
Reg HKLM\SYSTEM\CurrentControlSet\Services\NcbService\NCB\KapiNlmCache\2@Timestamp 0xAA 0x5C 0x86 0xBF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 536
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 12
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-In-UDP-x86 v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31023|Desc=@FirewallAPI.dll,-31006|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-UDP-x86 v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31024|Desc=@FirewallAPI.dll,-31010|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-TCP-x86 v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|App=%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31025|Desc=@FirewallAPI.dll,-31014|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31003|Desc=@FirewallAPI.dll,-31006|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31007|Desc=@FirewallAPI.dll,-31010|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|App=%ProgramFiles%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31011|Desc=@FirewallAPI.dll,-31014|EmbedCtxt=@FirewallAPI.dll,-31002|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Session-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=139|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAP I.dll,-28503|Desc=@FirewallAPI.dll,-28506|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Session-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=139|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28507|Desc=@FirewallAPI.dll,-28510|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SMB-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=445|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAP I.dll,-28511|Desc=@FirewallAPI.dll,-28514|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SMB-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=445|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28515|Desc=@FirewallAPI.dll,-28518|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Name-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=137|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28519|Desc=@FirewallAPI.dll,-28522|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Name-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=137|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-28523|Desc=@FirewallAPI.dll,-28526|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Datagram-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=138|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallA PI.dll,-28527|Desc=@FirewallAPI.dll,-28530|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-NB_Datagram-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=138|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-28531|Desc=@FirewallAPI.dll,-28534|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-SpoolSvc-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=RPC|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\s poolsv.exe|Svc=Spooler|Name=@FirewallAPI.dll,-28535|Desc=@FirewallAPI.dll,-28538|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-RPCSS-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=RPC-EPMap|RA4=LocalSubnet|RA6=LocalSubnet|Svc=Rpcss|Name=@FirewallAPI.dll,-28539|Desc=@FirewallAPI.dll,-28542|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP4-ERQ-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=1|Profile=Private|Profile=Public|ICMP4=8:*|RA4=LocalSubnet|Name=@FirewallAPI.dll,-28543|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP4-ERQ-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=1|Profile=Private|Profile=Public|ICMP4=8:*|RA4=LocalSubnet|Name=@FirewallAPI.dll,-28544|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP6-ERQ-In v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=58|Profile=Private|Profile=Public|ICMP6=128:*|RA6=LocalSubnet|Name=@FirewallAPI.dll,-28545|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-ICMP6-ERQ-Out v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=58|Profile=Private|Profile=Public|ICMP6=128:*|RA6=LocalSubnet|Name=@FirewallAPI.dll,-28546|Desc=@FirewallAPI.dll,-28547|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-LLMNR-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|LPort=5355|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=dnscache|Name= @FirewallAPI.dll,-28548|Desc=@FirewallAPI.dll,-28549|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@FPS-LLMNR-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|RPort=5355|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=dnscache|Name =@FirewallAPI.dll,-28550|Desc=@FirewallAPI.dll,-28551|EmbedCtxt=@FirewallAPI.dll,-28502|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|LPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32 \svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31253|Desc=@FirewallAPI.dll,-31256|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system3 2\svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31257|Desc=@FirewallAPI.dll,-31260|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\ svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31261|Desc=@FirewallAPI.dll,-31264|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-QWave-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=2177|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32 \svchost.exe|Svc=Qwave|Name=@FirewallAPI.dll,-31265|Desc=@FirewallAPI.dll,-31268|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-SSDPSrv-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|LPort=1900|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=ssdpsrv|Name=@ FirewallAPI.dll,-31269|Desc=@FirewallAPI.dll,-31272|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-SSDPSrv-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|RPort=1900|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=ssdpsrv|Name= @FirewallAPI.dll,-31273|Desc=@FirewallAPI.dll,-31276|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnPHost-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|LPort=2869|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAPI.dll,-31277|Desc=@FirewallAPI.dll,-31280|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnPHost-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@FirewallAPI.dll,-31281|Desc=@FirewallAPI.dll,-31284|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-HTTPSTR-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|LPort=10243|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewall API.dll,-31285|Desc=@FirewallAPI.dll,-31288|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-HTTPSTR-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RPort=10243|RA4=LocalSubnet|RA6=LocalSubnet|App=System|Name=@Firewal lAPI.dll,-31289|Desc=@FirewallAPI.dll,-31292|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31293|Desc=@FirewallAPI.dll,-31296|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31297|Desc=@FirewallAPI.dll,-31300|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-WMP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmplayer.exe|Name=@FirewallAPI.dll,-31301|Desc=@FirewallAPI.dll,-31304|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-In-UDP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31305|Desc=@FirewallAPI.dll,-31308|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-Out-UDP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=17|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31309|Desc=@FirewallAPI.dll,-31312|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-In-TCP v2.22|Action=Allow|Active=FALSE|Dir=In|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31313|Desc=@FirewallAPI.dll,-31316|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|Profile=Private|Profile=Public|RA4=LocalSubnet|RA6=LocalSubnet|App=%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe|Name=@FirewallAPI.dll,-31317|Desc=@FirewallAPI.dll,-31320|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules@WMPNSS-UPnP-Out-TCP v2.22|Action=Allow|Active=FALSE|Dir=Out|Protocol=6|RA4=LocalSubnet|RA6=LocalSubnet|App=%SystemRoot%\system32\svchost.exe|Svc=upnphost|Name=@FirewallAP I.dll,-31321|Desc=@FirewallAPI.dll,-31322|EmbedCtxt=@FirewallAPI.dll,-31252|
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@LeaseObtainedTime 1439587290
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@T1 1440019290
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@T2 1440343290
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{161FB349-D555-43EB-BCCE-5908A72C7262}@LeaseTerminatesTime 1440451290
Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@Group Early-Launch
Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@ImagePath system32\drivers\WdBoot.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\WdBoot
Reg HKLM\SYSTEM\CurrentControlSet\Services\WinDefend@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\WinDefend
Reg HKLM\SYSTEM\CurrentControlSet\Services\WMPNetworkSvc@Start 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\WMPNetworkSvc
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore@Count 16
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore@Count 38
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@WindowsRequestBucketCounter 39
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastWindowsLargeRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@OtherBandwidthBucketCounter 46492
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@OtherRequestBucketCounter 397
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastOtherRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@GlobalBandwidthBucketCounter 62162
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@GlobalRequestBucketCounter 597
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastGlobalRequestBucketDrainTime 0x23 0x7C 0x9A 0x7E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@RoamingSyncToken LM%3d63575225450170%3bID%3d3AE63DE13AE45A1F!102%3bLR%3d63575184717437%3bEP%3d4%3bTD%3dTrue%3bSO%3d0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\PolicyData@LastUploadTime 0xE4 0x95 0xDA 0x7B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\RegistrarData@LastRenewCollectionsInterest 0x4B 0xFA 0x95 0x98 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\SettingSync\SyncData@PendingOperations 26

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----

Alt 15.08.2015, 11:30   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Windows8: Virus trotz Neuinstallation des OS  noch immer aktiv - Standard

Windows8: Virus trotz Neuinstallation des OS noch immer aktiv



hi,

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.




Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.
__________________

__________________

Alt 15.08.2015, 15:56   #3
Eikstor
 
Windows8: Virus trotz Neuinstallation des OS  noch immer aktiv - Standard

Windows8: Virus trotz Neuinstallation des OS noch immer aktiv



Hey Schrauber,
ich habe meine Festplatte nochmal formatiert und Windows anschließend erneut installiert.
Nach den Updates habe ich McAfee wieder durchlaufen lassen und erneut wurde das Virus in dreifacher Ausführung gefunden. Dieses mal gelang es McAfee jedoch erstmalig die Viren erfolgreich zu isolieren.
Ich habe trotzdem die Logfiles angefertigt wie erbeten!
Sieht sauber aus oder?


Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 15.08.2015
Suchlaufzeit: 10:20
Protokolldatei: Logfiles_Malwarebytes.txt
Administrator: Ja

Version: 2.1.8.1057
Malware-Datenbank: v2015.08.15.02
Rootkit-Datenbank: v2015.08.06.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Eik

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 327773
Abgelaufene Zeit: 13 Min., 45 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         





Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.6 (08.10.2015:1)
OS: Windows 8.1 Pro x64
Ran by Eik on 15.08.2015 at 14:09:01,18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 15.08.2015 at 14:11:29,15
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         





AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v5.000 - Logfile created 15/08/2015 at 14:15:01
# Updated 14/08/2015 by Xplode
# Database : 2015-08-14.3 [Server]
# Operating system : Windows 8.1 Pro  (x64)
# Username : Eik - EIK-PC
# Running from : C:\Users\Eik\AppData\Local\Microsoft\Windows\INetCache\IE\92WDGHS1\AdwCleaner_5.000.exe
# Option : Cleaning

***** [ Services ] *****


***** [ Folders ] *****


***** [ Files ] *****


***** [ Shortcuts ] *****


***** [ Scheduled tasks ] *****


***** [ Registry ] *****


***** [ Web browsers ] *****


*************************

:: Proxy settings cleared
:: Winsock settings cleared

*************************

C:\AdwCleaner[C1].txt - [919 octets] - [15/08/2015 13:46:03]
C:\AdwCleaner[C2].txt - [727 octets] - [15/08/2015 14:15:01]
C:\AdwCleaner[S1].txt - [766 octets] - [15/08/2015 13:36:58]
C:\AdwCleaner[S2].txt - [890 octets] - [15/08/2015 14:14:30]
C:\AdwCleanerDebug.txt - [55 octets] - [06/12/2014 00:58:34]

########## EOF - C:\AdwCleaner[C2].txt - [975 octets] ##########
         
--- --- ---

Hallo,
nachdem ich ja bereits dachte den Kampf gewonnen zu haben ist mein Trojaner wieder aufgetaucht.
Wär kool wenn jemand einen Tip hätte, wie ich das Problem ganz beheben könnte. Aktuell stell ich die gefundenen Probleme immer unter Quarantäne und Lösche sie anschließend, aber kurze zeit später tauchen die selben Probleme wieder auf.

Hier das passende Logfile vom McAfee-Scan:

Code:
ATTFilter
8/14/2015	11:35:53 PM	Scan Started: 08/14/2015 11:35:53 PM

8/14/2015	11:37:17 PM	"C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-5.exe.vir"	"Artemis!F03B8C536AD1"	"2"

8/14/2015	11:37:17 PM	"C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-1-7.exe.vir"	"Artemis!B21F5C0B372A"	"2"

8/14/2015	11:37:18 PM	"C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\Uninstall.exe.vir"	"Artemis!7F0A211EF848"	"2"

8/14/2015	11:46:07 PM	Total objects scanned: 40622

8/14/2015	11:46:07 PM	Objects detected: 3

8/14/2015	11:46:07 PM	Scan Done: 08/14/2015 11:46:07 PM

8/15/2015	11:27:17 AM	Scan Started: 08/15/2015 11:27:17 AM

8/15/2015	12:33:16 PM	Total objects scanned: 312107

8/15/2015	12:33:16 PM	Objects detected: 0

8/15/2015	12:33:16 PM	Scan Done: 08/15/2015 12:33:16 PM

8/15/2015	2:49:29 PM	Scan Started: 08/15/2015 02:49:29 PM

8/15/2015	2:50:21 PM	"C:\AdwCleaner\Quarantine\C\Program Files (x86)\CinemaPlus-3.2cV12.08\c09d4715-781d-4038-92b1-8f83f6dc9fcc-4.exe.vir"	"Artemis!A985CB154175"	"2"

8/15/2015	3:26:32 PM	Total objects scanned: 304478

8/15/2015	3:26:32 PM	Objects detected: 1

8/15/2015	3:26:32 PM	Scan Done: 08/15/2015 03:26:32 PM
         

Vielen Dank!
__________________

Alt 16.08.2015, 07:35   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Windows8: Virus trotz Neuinstallation des OS  noch immer aktiv - Standard

Windows8: Virus trotz Neuinstallation des OS noch immer aktiv



Zitat:
ich habe meine Festplatte nochmal formatiert
Nein, hast Du nicht.

Die 3 Funde sind Funde in der Quarantäne von AdwCleaner. Also:

1) total harmlos
2) der Beweis dafür dass der Rechner nicht formatiert wurde, sonst wäre der Quarantäne Ordner weg
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Windows8: Virus trotz Neuinstallation des OS noch immer aktiv
administrator, adobe, booten, computer, cpu, defender, desktop, dnsapi.dll, entfernen, explorer, firewall, home, ip-hilfsdienst, neuinstallation, nvidia, ordner, prozesse, registry, scan, services.exe, siteadvisor, software, svchost.exe, system, temp, trojaner, virus, windows, windows 8, winlogon.exe



Ähnliche Themen: Windows8: Virus trotz Neuinstallation des OS noch immer aktiv


  1. Malware trotz Neuinstallation vermutlich noch vorhanden
    Log-Analyse und Auswertung - 18.08.2015 (5)
  2. Positive Finds trotz Googleanleitung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 11.05.2015 (7)
  3. Durch eine Windows8.1-Neuinstallation schädlingsfrei?
    Alles rund um Windows - 18.01.2014 (9)
  4. GVU-Virus noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2013 (11)
  5. Außergewöhnlicher Virus, der nach Neuinstallation immer noch da ist!
    Log-Analyse und Auswertung - 12.09.2012 (3)
  6. Facebook Virus trotz Neuinstallation?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (2)
  7. GVU Trojaner (sperrt Computer) und ist trotz Kaspersky Rescue noch aktiv
    Log-Analyse und Auswertung - 14.08.2012 (9)
  8. Gema Virus: Nach der Entschlüsselung noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (1)
  9. Windows neuinstallation - Pc immer noch infiziert?
    Alles rund um Windows - 06.05.2012 (6)
  10. Trojan ADH trotz format C: immer noch aktiv
    Log-Analyse und Auswertung - 14.02.2011 (1)
  11. Trojan.Win32.Generic!BT nach neuinstallation immer noch auf dem PC
    Log-Analyse und Auswertung - 28.08.2010 (15)
  12. Trotz neuinstallation wird Internet immer wieder von Virus geblockt.
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (2)
  13. hotkeyshook immer noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (7)
  14. Trojaner immer noch aktiv?
    Log-Analyse und Auswertung - 26.03.2010 (1)
  15. MSN Virus nach Formatierung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 17.05.2009 (3)
  16. Virus trotz Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 10.05.2009 (3)
  17. Windows Neuinstallation durchgeführt - Trojaner immer noch da
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (3)

Zum Thema Windows8: Virus trotz Neuinstallation des OS noch immer aktiv - Hallo Leute, Ich habe mir kürzlich beim entpacken eines Uncut-Patches ein Virus eingefangen. Nachdem weder McAfee, noch die üblichen Freeware-Angebote zur Malwarebekämpfung das Virus entfernen konnten beschloss ich mein OS - Windows8: Virus trotz Neuinstallation des OS noch immer aktiv...
Archiv
Du betrachtest: Windows8: Virus trotz Neuinstallation des OS noch immer aktiv auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.