Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben

M-K-D-B · 14.04.2016, 15:16

Servus,

was genau meinst du eigentlich, wenn du sagst, du kannst die neueste Version von AdwCleaner nicht starten?

Welche Fehlermeldung erscheint denn?

Lesestoff
MBAM-Funde posten: So gehts...
Manchmal ist es wichtig zu wissen, welche Schadprogramme im Vorfeld ohne Anweisung der Helfer schon gelöscht wurden.
Daher benötige ich den Inhalt der Logdatei, in welcher der Suchlauf protokolliert wurde.

Starte MBAM.
Klicke auf Verlauf.
Klicke auf Anwendungsprotokolle.
Klicke auf das letzte Scan-Protokoll mit Funden.
Klicke auf Export und dann auf "In Zwischenablage kopieren".
Poste den Inhalt in Code-Tags [CODE] [/CODE] durch Einfügen mit Strg+V als Antwort in Deinen Thread.

Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:regfind
DriverTurbo
feed.helperbar
MP4 Player
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Der Suchlauf kann einige Zeit dauern.
Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Arina666 · 14.04.2016, 15:34

Hallo,

Ich meine damit, das sich die ersten beiden neuesten Versionen nicht öffnen lassen. Es erscheint keine Fehlermeldung. Wenn ich darauf klicke, tut sich gar nichts. Das meine ich damit, dass sich das Programm nicht starten lässt. Wenn es eine Fehlermeldung gegeben hätte, hätte ich das gepostet

War die MBAM txt Datei nicht richtig? Sonst poste ich es gerne nochmal

LG

Hier das Ergebnis von Systemlook:

Code:

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 16:32 on 14/04/2016 by Arina
Administrator - Elevation successful

========== regfind ==========

Searching for "DriverTurbo"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DriverTurbo"="C:\Program Files\DriverTurbo\DriverTurbo.exe"
[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"DriverTurbo"="C:\Program Files\DriverTurbo\DriverTurbo.exe"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"

Searching for "feed.helperbar"
No data found.

Searching for "MP4 Player"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\defaulticon]
@=""C:\Program Files\MP4 Player\prog_ico.ico""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\open\command]
@=""C:\Program Files\MP4 Player\mp4Player.exe" -o "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\play]
@="&Play With Mp4 Player"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\play\command]
@=""C:\Program Files\MP4 Player\mp4Player.exe" -o "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe]
@="C:\Program Files\MP4 Player\mp4Player.exe"

-= EOF =-

M-K-D-B · 14.04.2016, 15:34

Zitat:

Zitat von Arina666

War die MBAM txt Datei nicht richtig? Sonst poste ich es gerne nochmal

Du hast die Logdatei der Echtzeitüberwachung gepostet, ich hätte gerne die Logdatei des Suchlaufs...

Arina666 · 14.04.2016, 15:45

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org


Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:22:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: domains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: ips, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akadomains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akaips, 11, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA Domain Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Remediation Database, 2016.2.12.1, 2016.4.12.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Rootkit Database, 2016.2.8.1, 2016.4.9.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA IP Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:32, SYSTEM, ARINA-PC, Manual, IP Database, 0.0.0.0, 2016.4.7.1, 
Update, 13.04.2016 18:22:34, SYSTEM, ARINA-PC, Manual, Domain Database, 0.0.0.0, 2016.4.13.4, 
Update, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Manual, Malware Database, 2016.2.16.6, 2016.4.13.4, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 18:22:57, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 18:23:18, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 18:23:19, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:23:27, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:43:10, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Update, 13.04.2016 18:53:33, SYSTEM, ARINA-PC, Scheduler, Domain Database, 2016.4.13.4, 2016.4.13.5, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 18:54:00, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 18:54:00, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:54:10, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Update, 13.04.2016 19:49:25, SYSTEM, ARINA-PC, Scheduler, Malware Database, 2016.4.13.4, 2016.4.13.5, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 19:49:39, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 19:49:39, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 19:49:45, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 

(end)

Ist es jetzt richtig?

M-K-D-B · 15.04.2016, 19:26

Servus,

nein, das ist wieder die Logdatei der Echtzeitüberwachung....

Wir entfernen die letzten Reste und kontrollieren nochmal alles.

Hinweis: Der Suchlauf mit ESET kann länger dauern.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [DriverTurbo] => C:\Program Files\DriverTurbo\DriverTurbo.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

Starte die HitmanPro.exe
Klicke auf
Entferne den Haken bei
Klicke auf
und
Akzeptiere die Lizenzbedingungen und klicke auf
Klicke auf

und auf
Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
und speichere die Logdatei auf Deinem Desktop.
Schließe HitmanPro und poste mir das Log.

Schritt 4

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von ESET,
die Logdatei von HitmanPro,
die beiden neuen Logdateien von FRST,
die Beantwortung der gestellten Fragen.

Arina666 · 17.04.2016, 10:18

Guten Morgen,

ich habe nochmal nachgesehen, wegen MBAM.
In den Anwendungsprotokollen sind nur "Schutzprotokolle" gespeichert. Es sind keine "Such-Protokolle" gelistet. Woran liegt das?

Habe wie beschrieben den Suchlauf gestartet.

LG

Schritt 1

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-17 11:13:13) Run:1
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [DriverTurbo] => C:\Program Files\DriverTurbo\DriverTurbo.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
*****************

Prozess erfolgreich geschlossen.
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DriverTurbo => Wert erfolgreich entfernt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file => konnte nicht entfernt werden im ersten Versuch (ErrorCode: C0000121), siehe nächste Zeile.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file => Schlüssel erfolgreich entfernt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe => Schlüssel erfolgreich entfernt
Chrome DefaultSearchURL => erfolgreich entfernt
Chrome DefaultSearchKeyword => erfolgreich entfernt
Chrome DefaultSuggestURL => erfolgreich entfernt

========= RemoveProxy: =========

HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => Wert erfolgreich entfernt
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wert erfolgreich entfernt
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========  ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl�sungscache wurde geleert.

========= Ende von CMD: =========


=========  netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlie�en.


========= Ende von CMD: =========

EmptyTemp: => 1.8 GB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende vom Fixlog 11:14:05 ====

M-K-D-B · 17.04.2016, 11:16

Servus,

ok, dann warte ich auf die restlichen Logdateien.

Arina666 · 17.04.2016, 14:50

Schritt 2

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=init
# utc_time=2016-04-17 09:22:45
# local_time=2016-04-17 11:22:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT 
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=37126
Update Finalize
Updated modules version: 0
Old modules - leave modules
Update Init
Update Download
Update Init
Update Download
Update Finalize
Updated modules version: 29104
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=updated
# utc_time=2016-04-17 09:31:22
# local_time=2016-04-17 11:31:22 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT 
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# engine=29104
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-04-17 11:20:55
# local_time=2016-04-17 01:20:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6000 NT 
# compatibility_mode_1='Avira Antivirus'
# compatibility_mode=1815 16777213 100 100 8381 52800651 0 0
# compatibility_mode_1=''
# compatibility_mode=5892 16776574 100 95 298420785 298424910 0 0
# scanned=173328
# found=14
# cleaned=0
# scan_time=6572
sh=FF40B3A6FC5C3337DB4D319BB4E7FA65C03840D1 ft=1 fh=6f964c4cfa468e48 vn="Win32/Ivefound evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\AdwCleaner\FileQuarantine\C\Program Files\MP4 Player\Mp4Player.exe.vir"
sh=BA3C65EB1B44F05DFEE583A7B9ED77505E44B835 ft=1 fh=d6fc58829664dd4f vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"

Schritt 3

Code:

ATTFilter


	Code: 

 ATTFilter

  
	HitmanPro 3.7.13.258
www.hitmanpro.com

   Computer name . . . . : ARINA-PC
   Windows . . . . . . . : 6.0.0.6000.X86/2
   User name . . . . . . : Arina-PC\Arina
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2016-04-17 15:13:18
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 28m 26s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 4

   Objects scanned . . . : 699.896
   Files scanned . . . . : 34.798
   Remnants scanned  . . : 228.455 files / 436.643 keys

Suspicious files ____________________________________________________________

   C:\Users\Arina\Desktop\FRST.exe
      Size . . . . . . . : 1.725.952 bytes
      Age  . . . . . . . : 4.8 days (2016-04-12 19:22:01)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 60C6508DD75C51DB24A2922E00758B158BAE07C4A0DE737D59B1EBFB276C3D28
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      References
         HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Arina\Desktop\FRST.exe

   C:\Windows\system32\GameMon.des
      Size . . . . . . . : 3.299.328 bytes
      Age  . . . . . . . : 490.7 days (2014-12-13 21:24:10)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 8A8908E793D5BB90E300E12603EFD3D1C1A271A76E97CA1BA66418FECCDF4198
      Product  . . . . . : nProtect Game Monitor
      Publisher  . . . . : INCA Internet Co., Ltd.
      Description  . . . : nProtect Game Monitor Rev 2162
      Version  . . . . . : 2014.11.27.1
      RSA Key Size . . . : 2048
      Service  . . . . . : npggsvc
      LanguageID . . . . : 1042
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 27.0
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
         Starts automatically as a service during system bootup.
         Program is code signed with a valid Authenticode certificate.
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\

Schritt 4

FRST

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:10-04-2016 01
durchgeführt von Arina (Administrator) auf ARINA-PC (17-04-2016 15:47:09)
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Platform: Microsoft® Windows Vista™ Ultimate  (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 7 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe
(pdfforge GmbH) C:\Program Files\PDF Architect 4\creator-ws.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbam.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Google Inc.) C:\Program Files\Google\Update\1.3.29.5\GoogleCrashHandler.exe
(AVM Berlin) C:\Program Files\avmwlanstick\FRITZWLANMini.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Microsoft Corporation) C:\Windows\System32\wuauclt.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1004136 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [AVMWlanClient] => C:\Program Files\avmwlanstick\FRITZWLANMini.exe [283136 2007-02-02] (AVM Berlin)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [807392 2016-03-19] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [RtHDVCpl] => C:\Windows\RtHDVCpl.exe [4317184 2006-12-29] (Realtek Semiconductor)
HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66328 2016-01-27] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify Web Helper] => C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe [1524848 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Arina\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify] => C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe [6754928 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {629c23f0-3f4f-11e4-9b5e-806e6f6e6963} - D:\Autorun.exe
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {c1305a49-3f50-11e4-a009-0017312fa2fe} - E:\pushinst.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-04-12]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{F81179B7-9A32-4BA9-A2FD-6C0E393A582D}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

FireFox:
========
FF ProfilePath: C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-13] ()
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.)
FF Extension: Avira Browser Safety - C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default\Extensions\abs@avira.com [2014-09-18] [ist nicht signiert]
FF HKLM\...\Firefox\Extensions: [pdf_architect_4_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension
FF Extension: PDF Architect 4 Creator - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension [2015-11-30] [ist nicht signiert]

Chrome: 
=======
CHR Profile: C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-19]
CHR Extension: (Google Docs) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-19]
CHR Extension: (Google Drive) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-27]
CHR Extension: (YouTube) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-27]
CHR Extension: (Google-Suche) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04]
CHR Extension: (Google Tabellen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-19]
CHR Extension: (Avira Browserschutz) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-04-13]
CHR Extension: (Google Docs Offline) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-31]
CHR Extension: (AdBlock) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-04-17]
CHR Extension: (Share With Care) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa [2016-04-13]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13]
CHR Extension: (Google Mail) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-10]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [940304 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1236896 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [260456 2016-01-27] (Avira Operations GmbH & Co. KG)
R2 MBAMScheduler; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe [239880 2016-03-11] (McAfee, Inc.)
S3 npggsvc; C:\Windows\system32\GameMon.des [3299328 2014-11-26] (INCA Internet Co., Ltd.)
S3 PDF Architect 4; C:\Program Files\PDF Architect 4\ws.exe [2220768 2015-10-19] (pdfforge GmbH)
S3 PDF Architect 4 CrashHandler; C:\Program Files\PDF Architect 4\crash-handler-ws.exe [970464 2015-10-19] (pdfforge GmbH)
R2 PDF Architect 4 Creator; C:\Program Files\PDF Architect 4\creator-ws.exe [772832 2015-10-19] (pdfforge GmbH)
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [263272 2006-11-02] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [109016 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-06-01] (Avira Operations GmbH & Co. KG)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2007-01-26] (AVM Berlin) [Datei ist nicht signiert]
R3 eapihdrv; C:\Users\Arina\AppData\Local\Temp\ehdrv.sys [135760 2016-04-17] (ESET)
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24448 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [170200 2016-04-17] (Malwarebytes)
R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-06-10] (Avira Operations GmbH & Co. KG)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 dump_wmimmc; \??\C:\Program Files\Webzen\FlyFF\GameGuard\dump_wmimmc.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-17 15:12 - 2016-04-17 15:46 - 00000000 ____D C:\ProgramData\HitmanPro
2016-04-17 15:11 - 2016-04-17 15:12 - 10457272 _____ (SurfRight B.V.) C:\Users\Arina\Desktop\HitmanPro.exe
2016-04-17 11:20 - 2016-04-17 11:20 - 02870984 _____ (ESET) C:\Users\Arina\Desktop\esetsmartinstaller_deu.exe
2016-04-17 11:13 - 2016-04-17 11:14 - 00003130 _____ C:\Users\Arina\Desktop\Fixlog.txt
2016-04-14 16:32 - 2016-04-14 16:33 - 00003432 _____ C:\Users\Arina\Desktop\SystemLook.txt
2016-04-14 16:31 - 2016-04-14 16:31 - 00139264 _____ C:\Users\Arina\Desktop\SystemLook.exe
2016-04-13 18:59 - 2016-04-13 18:59 - 00003825 _____ C:\Users\Arina\Desktop\JRT.txt
2016-04-13 18:54 - 2016-04-13 18:54 - 01610352 _____ (Malwarebytes) C:\Users\Arina\Desktop\JRT.exe
2016-04-13 18:52 - 2016-04-13 18:52 - 00002471 _____ C:\Users\Arina\Desktop\mbam.txt
2016-04-13 18:21 - 2016-04-17 15:10 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-04-13 18:21 - 2016-04-13 18:21 - 00000690 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-04-13 18:21 - 2016-03-10 14:09 - 00053120 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00126336 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00024448 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-04-13 18:12 - 2016-04-13 18:14 - 22851472 _____ (Malwarebytes ) C:\Users\Arina\Desktop\mbam-setup-2.2.1.1043.exe
2016-04-13 17:20 - 2016-04-13 17:20 - 03102720 _____ C:\Users\Arina\Desktop\AdwCleaner_5.108.exe
2016-04-13 17:18 - 2016-04-13 18:06 - 00000000 ____D C:\AdwCleaner
2016-04-12 19:33 - 2016-04-12 19:36 - 00176760 _____ C:\TDSSKiller.3.1.0.9_12.04.2016_19.33.01_log.txt
2016-04-12 19:30 - 2016-04-12 19:31 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Arina\Desktop\tdsskiller.exe
2016-04-12 19:25 - 2016-04-13 19:13 - 00022920 _____ C:\Users\Arina\Desktop\Addition.txt
2016-04-12 19:24 - 2016-04-17 15:47 - 00012754 _____ C:\Users\Arina\Desktop\FRST.txt
2016-04-12 19:24 - 2016-04-17 15:47 - 00000000 ____D C:\FRST
2016-04-12 19:22 - 2016-04-12 19:22 - 01725952 _____ (Farbar) C:\Users\Arina\Desktop\FRST.exe
2016-04-12 19:19 - 2016-04-12 19:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2016-03-31 14:21 - 2016-03-31 14:21 - 00085086 _____ C:\Users\Arina\Downloads\Merkblatt_ELSTER_Einzureichende_Belege.pdf
2016-03-31 11:23 - 2016-03-31 11:23 - 00070674 _____ C:\Users\Arina\ESt2015_Düser_Ingo_und_Düser_Janin.elfo
2016-03-31 10:13 - 2016-03-31 10:13 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElsterFormular

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-17 15:47 - 2014-12-14 10:36 - 00000000 ____D C:\Users\Arina\AppData\Roaming\Spotify
2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2016-04-17 15:01 - 2015-09-11 14:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-04-17 14:54 - 2014-09-18 19:14 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-04-17 11:20 - 2006-11-02 17:48 - 00651406 _____ C:\Windows\system32\perfh007.dat
2016-04-17 11:20 - 2006-11-02 17:48 - 00120112 _____ C:\Windows\system32\perfc007.dat
2016-04-17 11:20 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\inf
2016-04-17 11:20 - 2006-11-02 12:33 - 01488240 _____ C:\Windows\system32\PerfStringBackup.INI
2016-04-17 11:17 - 2014-12-14 10:38 - 00000000 ____D C:\Users\Arina\AppData\Local\Spotify
2016-04-17 11:16 - 2014-09-18 19:14 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-04-17 11:15 - 2006-11-02 15:00 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-04-17 11:14 - 2006-11-02 15:00 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-04-13 17:01 - 2015-09-11 14:16 - 00797376 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-04-13 17:01 - 2015-09-11 14:16 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-04-12 19:35 - 2014-09-18 19:15 - 00001975 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2016-04-12 19:35 - 2014-09-18 19:15 - 00001963 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00001952 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00000000 ____D C:\Program Files\McAfee Security Scan
2016-03-31 12:02 - 2015-11-30 15:37 - 00000000 ____D C:\Users\Arina\AppData\Roaming\PDF Architect 4
2016-03-31 11:23 - 2014-09-18 18:35 - 00000000 ____D C:\Users\Arina
2016-03-31 10:15 - 2014-10-18 16:32 - 00000000 ____D C:\ProgramData\elsterformular
2016-03-31 10:13 - 2015-03-11 10:58 - 00001022 _____ C:\Users\Public\Desktop\ElsterFormular.lnk
2016-03-31 10:13 - 2015-03-11 10:56 - 00000000 ____D C:\Program Files\ElsterFormular
2016-03-19 08:22 - 2014-09-18 19:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2016-03-19 08:17 - 2014-09-18 20:25 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2016-03-19 08:17 - 2014-09-18 20:25 - 00109016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2016-03-19 08:08 - 2015-10-18 17:11 - 00001003 _____ C:\Users\Public\Desktop\Avira Launcher.lnk
2016-03-19 08:08 - 2014-09-18 19:18 - 00000000 ____D C:\ProgramData\Package Cache

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-12-27 10:10 - 2015-12-27 10:10 - 0000036 ____H () C:\Users\Arina\AppData\Roaming\swk.ini
2015-12-27 07:24 - 2015-12-27 07:24 - 0004608 _____ () C:\Users\Arina\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

Einige Dateien in TEMP:
====================
C:\Users\Arina\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-04-17 11:21

==================== Ende vom FRST.txt ============================

Schritt 4

Addition

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-17 15:47:56)
Gestartet von C:\Users\Arina\Desktop
Microsoft® Windows Vista™ Ultimate  (X86) (2014-09-18 16:26:24)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1934108226-2973484334-1918421108-500 - Administrator - Disabled)
Arina (S-1-5-21-1934108226-2973484334-1918421108-1000 - Administrator - Enabled) => C:\Users\Arina
Gast (S-1-5-21-1934108226-2973484334-1918421108-501 - Limited - Disabled)
UpdatusUser (S-1-5-21-1934108226-2973484334-1918421108-1001 - Limited - Enabled) => C:\Users\UpdatusUser

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.213 - Adobe Systems Incorporated)
Adobe Flash Player ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 9.0.124.0 - Adobe Systems Incorporated)
Adobe Reader X (10.1.16) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.16 - Adobe Systems Incorporated)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.16.282 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM\...\{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}) (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG)
Avira Launcher (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG) Hidden
CPUID CPU-Z 1.71.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
Die Sims™ 3 (HKLM\...\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}) (Version: 1.67.2 - Electronic Arts)
ElsterFormular (HKLM\...\ElsterFormular) (Version: 17.2.19144 - Landesfinanzdirektion Thüringen)
EPSON-Drucker-Software (HKLM\...\EPSON Printer and Utilities) (Version:  - SEIKO EPSON Corporation)
EVEREST Home Edition v2.20 (HKLM\...\EVEREST Home Edition_is1) (Version: 2.20 - Lavalys Inc)
Flyff (HKLM\...\{7E210E1C-52A1-40E3-817B-D504E9F64DFA}_is1) (Version: Flyff - WEBZEN Inc)
Google Chrome (HKLM\...\Google Chrome) (Version: 49.0.2623.112 - Google Inc.)
Google Update Helper (Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.309.1 - McAfee, Inc.)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.)
NVIDIA Grafiktreiber 307.83 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 307.83 - NVIDIA Corporation)
NVIDIA Update 1.10.8 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 1.10.8 - NVIDIA Corporation)
OpenOffice 4.1.1 (HKLM\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Origin (HKLM\...\Origin) (Version: 8.4.1.210 - Electronic Arts, Inc.)
PDF Architect 4 (HKLM\...\PDF Architect 4) (Version: 4.0.26.25466 - pdfforge GmbH)
PDF Architect 4 Create Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 Edit Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 View Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.2.1 - pdfforge)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5350 - Realtek Semiconductor Corp.)
Scan2PDF 1.6 (HKLM\...\Scan2PDF_is1) (Version:  - Koma-Code)
Spotify (HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Spotify) (Version: 1.0.24.104.g92a22684 - Spotify AB)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.1 - VideoLAN)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2F7696E2-D699-48B2-A9DF-3D24D9E8497F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-14] (Adobe Systems Incorporated)
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Task: {AA04316A-0BE7-4D2E-8EFD-78539AC3A464} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-13] (Adobe Systems Incorporated)
Task: {B03EC56A-B3FB-4B08-BB5C-6097EE4A477F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {CDA1D71D-58A1-4FED-AF59-05E0FB42A62F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-03-30 19:13 - 2016-03-31 09:58 - 47503472 _____ () C:\Users\Arina\AppData\Roaming\Spotify\libcef.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxps://aeriagames.com
IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxp://aeriagames.com

==================== Hosts Inhalt: ==========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2006-11-02 12:23 - 2016-04-12 19:19 - 00000802 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost
0.0.0.1	mssplus.mcafee.com

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img24.jpg
HKU\S-1-5-21-1934108226-2973484334-1918421108-1001\Control Panel\Desktop\\Wallpaper -> C:\windows\Web\Wallpaper\img24.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [WinCollab-DFSR-In-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-DFSR-Out-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-In-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-In-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [{AED4CA55-F36F-4696-8030-42072527E089}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{8FD5EDD5-2EC9-4A91-B69D-E4294F7C611C}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [TCP Query User{86990BA0-6650-4FED-B633-8028E2DA5570}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{62266EBC-0996-43FB-B686-EA4DCA37A238}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [TCP Query User{13D26848-23E8-43D2-8CC0-B0D673799378}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [UDP Query User{966CCDF2-9846-4291-9C61-B3340B918A31}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [TCP Query User{EDD2E74D-BCEE-4DD6-BE17-CF5E3BEF3A21}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{0A1C4173-26ED-417C-AE1F-24E3EEE238CF}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [{37EF2582-4A4E-4F23-8911-9D5DB3B62DFA}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

22-01-2016 16:50:28 Geplanter Prüfpunkt
13-04-2016 17:55:07 Geplanter Prüfpunkt
13-04-2016 18:55:45 JRT Pre-Junkware Removal
14-04-2016 17:26:31 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/13/2016 05:03:57 PM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServicePro...

Error: (03/31/2016 10:15:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Fehlerhafte Anwendung installationsverwaltung.exe, Version 0.0.0.0, Zeitstempel 0x56e2ddf5, fehlerhaftes Modul Qt5WinExtras.dll, Version 5.2.1.0, Zeitstempel 0x5357c785, Ausnahmecode 0xc0000005, Fehleroffset 0x0000d2f5,
Prozess-ID 0x4d0, Anwendungsstartzeit installationsverwaltung.exe0.

Error: (01/21/2016 09:09:40 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm TS3W.exe, Version 0.2.0.209 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID: 1248
Anfangszeit: 01d1541fa6060e63
Zeitpunkt der Beendigung: 712

Error: (01/21/2016 09:42:27 AM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServiceProcess.ServiceBase.DeferredSessionCh...

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).


Systemfehler:
=============
Error: (04/17/2016 11:13:15 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

Error: (04/13/2016 06:56:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Display Driver Service1

Error: (04/13/2016 06:06:49 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: 1Neustart des DienstsWindows-Suche%%1056

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Update Service Daemon1

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows Presentation Foundation Font Cache 4.0.0.0101Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows-Suche1300001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: PDF Architect 4 Creator1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Adobe Acrobat Update Service1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Druckwarteschlange1600001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Softwarelizenzierung11200001Neustart des Diensts


CodeIntegrity:
===================================
  Date: 2016-04-17 15:47:49.687
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.671
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.655
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.640
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.263
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.247
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.232
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.200
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 10:47:57.538
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 10:47:57.522
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Processor: Intel(R) Pentium(R) 4 CPU 3.00GHz
Prozentuale Nutzung des RAM: 54%
Installierter physikalischer RAM: 3070.63 MB
Verfügbarer physikalischer RAM: 1387.19 MB
Summe virtueller Speicher: 6329.72 MB
Verfügbarer virtueller Speicher: 4232.68 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:153.38 GB) (Free:69.97 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (Sims3) (CDROM) (Total:5.56 GB) (Free:0 GB) UDF

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 153.4 GB) (Disk ID: 0A4B71BA)
Partition 1: (Active) - (Size=153.4 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================

Entschuldige die Frage, aber warum muss ESET sofort nach dem Scan wieder gelöscht werden?

M-K-D-B · 18.04.2016, 13:13

Servus,

auch auf dem 2. Rechner kein Zbot zu sehen...

wenn du den ESET Online Scanner einmal die Woche nutzen möchtest, könntest du ihn natürlich auch auf dem Rechner lassen.

Zitat:

CHIP-Installer.exe

Bitte keinen Chip-Installer mehr verwenden! Bitte lesen: CHIP-Installer – was ist das?

Reste entfernen
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe
C:\Users\Arina\Downloads\*CHIP-Installer.exe
C:\Users\Arina\Downloads\PDFCreator-2_2*.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Reboot:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird!

Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Cleanup:
Alle Logs gepostet? Dann lade Dir bitte

DelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:

Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.

NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie

.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:

Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...

und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Arina666 · 18.04.2016, 15:02

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-18 15:51:00) Run:2
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe
C:\Users\Arina\Downloads\*CHIP-Installer.exe
C:\Users\Arina\Downloads\PDFCreator-2_2*.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Reboot:
end
*****************

Prozess erfolgreich geschlossen.
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe => erfolgreich verschoben

=========== "C:\Users\Arina\Downloads\*CHIP-Installer.exe" ==========

C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer.exe => erfolgreich verschoben
C:\Users\Arina\Downloads\Scan2PDF - CHIP-Installer.exe => erfolgreich verschoben

========= Ende -> "C:\Users\Arina\Downloads\*CHIP-Installer.exe" ========


=========== "C:\Users\Arina\Downloads\PDFCreator-2_2*.exe" ==========

C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe => erfolgreich verschoben
C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe => erfolgreich verschoben
C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup.exe => erfolgreich verschoben

========= Ende -> "C:\Users\Arina\Downloads\PDFCreator-2_2*.exe" ========


=========== "C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe" ==========

nicht gefunden

========= Ende -> "C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe" ========


=========== "C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe" ==========

nicht gefunden

========= Ende -> "C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe" ========

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8F402515-240D-4674-A498-3CA75A9F0924}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8F402515-240D-4674-A498-3CA75A9F0924}" => Schlüssel erfolgreich entfernt
C:\Windows\System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => erfolgreich verschoben
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A205F047-9EDB-485E-9862-F744A1600E66}" => Schlüssel erfolgreich entfernt


Das System musste neu gestartet werden.

==== Ende vom Fixlog 15:51:03 ====

So, soweit bin ich fertig

Es ist schön, dass zumindest 2 Rechner nicht mit dem Zbot infiziert sind. Allerdings gibt es da noch einen Rechner, den ich auch angekündigt hatte.

Kannst du mir bei diesem Rechner auch noch helfen?

Wie sieht es mit Smartphone und Tablet aus? Kannst du mir da auch weiterhelfen? Beide haben Android drauf und ich habe gelesen, dass Android auch von Viren befallen werden kann. Ist dem so?

Freue mich auf eine Antwort.

LG

M-K-D-B · 19.04.2016, 16:01

Servus,

eins nach dem anderen...

kommen wir nun zum 3. Rechner.

Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Bitte poste mit deiner nächsten Antwort

die Logdatei von TDSS-Killer,
die beiden neuen Logdateien von FRST.

Arina666 · 19.04.2016, 17:49

Hallo,

da bin ich wieder

Schritt 1

FRST

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:18-04-2016
durchgeführt von Unbekannt (Administrator) auf DESKTOP (19-04-2016 18:37:08)
Gestartet von C:\Dokumente und Einstellungen\Unbekannt\Desktop
Geladene Profile: Unbekannt (Verfügbare Profile: Unbekannt)
Platform: Microsoft Windows XP Home Edition Service Pack 2 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 6 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Creative Technology Ltd) C:\Programme\Creative\Shared Files\CTAudSvc.exe
(AVM Berlin) C:\Programme\avmwlanstick\WLanNetService.exe
(Creative Technology Ltd) C:\WINDOWS\system32\CTSVCCDA.EXE
(AVM Berlin) C:\Programme\avmwlanstick\WLanGUI.exe
(Creative Technology Ltd) C:\Programme\Creative\DVDAudio\CTDVDDET.exe
(Creative Technology Ltd) C:\WINDOWS\system32\CtHelper.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgcsrvx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgidsagent.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgwdsvc.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgnsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgemcx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2015\avgui.exe
(Google Inc.) C:\Programme\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Programme\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Programme\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Programme\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Programme\Google\Chrome\Application\chrome.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [AVMWlanClient] => C:\Programme\avmwlanstick\wlangui.exe [1794048 2008-09-05] (AVM Berlin)
HKLM\...\Run: [AVG_UI] => C:\Programme\AVG\AVG2015\avgui.exe [3795880 2016-02-04] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [CTDVDDET] => C:\Programme\Creative\DVDAudio\CTDVDDET.EXE [45056 2003-06-18] (Creative Technology Ltd)
HKLM\...\Run: [kX Mixer] => C:\Programme\kX Audio Driver\3550\kxmixer.exe [546312 2009-09-18] (Eugene Gavrilov)
HKLM\...\Run: [CTHelper] => C:\WINDOWS\system32\CTHELPER.EXE [19456 2010-03-18] (Creative Technology Ltd)
HKU\S-1-5-21-1606980848-573735546-725345543-1004\...\Run: [GoogleChromeAutoLaunch_A007504250F59CF76C8D7E70D3433F09] => C:\Programme\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.)
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2015\avgrsx.exe /sync /restart

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{60FFA2F4-5717-4CD1-B1B7-E5774D5311CE}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-1606980848-573735546-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKU\S-1-5-21-1606980848-573735546-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: HKU\S-1-5-21-1606980848-573735546-725345543-1004 - Microsoft Url Sucheingriff - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\shdocvw.dll (Microsoft Corporation)
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ACHTUNG
SearchScopes: HKLM -> DefaultScope Wert fehlt
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/130321/CTPID.cab
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll [2002-05-24] (Microsoft Corporation)

FireFox:
========
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Programme\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-04-16] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Programme\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-04-16] (Google Inc.)

Chrome: 
=======
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR Profile: C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-05]
CHR Extension: (Google Docs) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-05]
CHR Extension: (Google Drive) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-20]
CHR Extension: (YouTube) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-20]
CHR Extension: (Google-Suche) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-20]
CHR Extension: (Google Tabellen) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-05]
CHR Extension: (Google Docs Offline) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-16]
CHR Extension: (AdBlock) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-04-16]
CHR Extension: (Share With Care) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa [2014-09-19]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-16]
CHR Extension: (Google Mail) - C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AVGIDSAgent; C:\Programme\AVG\AVG2015\avgidsagent.exe [3646888 2016-02-04] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Programme\AVG\AVG2015\avgwdsvc.exe [335656 2016-02-04] (AVG Technologies CZ, s.r.o.)
R2 AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [364544 2008-09-05] (AVM Berlin) [Datei ist nicht signiert]
S3 Creative Audio Engine Licensing Service; C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [79360 2014-11-18] (Creative Labs) [Datei ist nicht signiert]
R2 Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.exe [44032 1999-12-13] (Creative Technology Ltd) [Datei ist nicht signiert]
R2 CTAudSvcService; C:\Programme\Creative\Shared Files\CTAudSvc.exe [286720 2010-02-12] (Creative Technology Ltd) [Datei ist nicht signiert]
S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [144200 2015-11-01] (Google Inc.)
S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [144200 2015-11-01] (Google Inc.)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R1 Avgdiskx; C:\WINDOWS\System32\DRIVERS\avgdiskx.sys [132576 2015-03-11] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSDriverl; C:\WINDOWS\System32\DRIVERS\avgidsdriverlx.sys [240048 2015-12-16] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [223152 2016-01-13] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\WINDOWS\System32\DRIVERS\avgidsshimx.sys [31664 2015-11-25] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [234416 2015-12-16] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\WINDOWS\System32\DRIVERS\avglogx.sys [290272 2015-05-07] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [193456 2016-01-22] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [35808 2015-03-20] (AVG Technologies CZ, s.r.o.)
R1 Avgtdix; C:\WINDOWS\System32\DRIVERS\avgtdix.sys [230832 2015-08-04] (AVG Technologies CZ, s.r.o.)
S3 COMMONFX; C:\WINDOWS\System32\drivers\COMMONFX.SYS [99416 2010-03-18] (Creative Technology Ltd)
R3 COMMONFX.SYS; C:\WINDOWS\System32\drivers\COMMONFX.SYS [99416 2010-03-18] (Creative Technology Ltd)
S3 CTAUDFX; C:\WINDOWS\System32\drivers\CTAUDFX.SYS [555096 2010-03-18] (Creative Technology Ltd)
R3 CTAUDFX.SYS; C:\WINDOWS\System32\drivers\CTAUDFX.SYS [555096 2010-03-18] (Creative Technology Ltd)
S3 ctdvda2k; C:\WINDOWS\System32\drivers\ctdvda2k.sys [347144 2010-03-18] (Creative Technology Ltd)
S3 CTERFXFX; C:\WINDOWS\System32\drivers\CTERFXFX.SYS [100952 2010-03-18] (Creative Technology Ltd)
S3 CTERFXFX.SYS; C:\WINDOWS\System32\drivers\CTERFXFX.SYS [100952 2010-03-18] (Creative Technology Ltd)
S3 CTSBLFX; C:\WINDOWS\System32\drivers\CTSBLFX.SYS [566360 2010-03-18] (Creative Technology Ltd)
R3 CTSBLFX.SYS; C:\WINDOWS\System32\drivers\CTSBLFX.SYS [566360 2010-03-18] (Creative Technology Ltd)
S3 drhard; C:\WINDOWS\system32\DRIVERS\DRHARD.SYS [23600 2005-12-01] (Licensed for Gebhard Software) [Datei ist nicht signiert]
S3 emu10k; C:\WINDOWS\System32\drivers\emu10k1m.sys [283904 2001-08-17] (Creative Technology Ltd.)
S3 emu10k1; C:\WINDOWS\System32\drivers\ctlfacem.sys [6912 2001-08-17] (Creative Technology Ltd.)
R3 FWLANUSB; C:\WINDOWS\System32\DRIVERS\fwlanusb.sys [265088 2008-09-05] (AVM GmbH)
R3 ha10kx2k; C:\WINDOWS\System32\drivers\ha10kx2k.sys [798808 2010-03-18] (Creative Technology Ltd)
R3 hap16v2k; C:\WINDOWS\System32\drivers\hap16v2k.sys [162904 2010-03-18] (Creative Technology Ltd)
S3 hap17v2k; C:\WINDOWS\System32\drivers\hap17v2k.sys [189528 2010-03-18] (Creative Technology Ltd)
S3 kxwdmdrv; C:\WINDOWS\System32\drivers\kx.sys [607496 2009-09-18] (Eugene Gavrilov)
S3 Secdrv; C:\WINDOWS\System32\DRIVERS\secdrv.sys [27440 2004-08-17] ()
S3 sfman; C:\WINDOWS\System32\drivers\sfmanm.sys [36480 2001-08-17] (Creative Technology Ltd.)
U1 WS2IFSL; kein ImagePath

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-19 18:37 - 2016-04-19 18:37 - 00014174 _____ C:\Dokumente und Einstellungen\Unbekannt\Desktop\FRST.txt
2016-04-19 18:37 - 2016-04-19 18:37 - 00000000 ____D C:\FRST
2016-04-19 18:36 - 2016-04-19 18:36 - 01726464 _____ (Farbar) C:\Dokumente und Einstellungen\Unbekannt\Desktop\FRST.exe
2016-04-19 18:08 - 2016-04-19 18:08 - 00000000 ____D C:\WINDOWS\LastGood
2016-04-16 19:27 - 2016-04-16 19:27 - 00000000 ____D C:\Dokumente und Einstellungen\Unbekannt\Desktop\Nicht verwendete Desktopverknüpfungen

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-19 18:37 - 2014-09-06 15:14 - 00000000 ____D C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp
2016-04-19 18:34 - 2014-09-19 20:00 - 00001090 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
2016-04-19 18:09 - 2014-09-19 20:11 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\AVG
2016-04-19 18:09 - 2014-09-19 20:11 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\AVG
2016-04-19 18:09 - 2014-09-19 20:08 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MFAData
2016-04-19 18:09 - 2014-09-19 20:08 - 00000000 ____D C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MFAData
2016-04-19 18:08 - 2009-01-25 21:26 - 00000000 ___HD C:\WINDOWS\inf
2016-04-19 18:05 - 2014-09-06 15:55 - 00723744 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2016-04-19 18:05 - 2004-08-17 14:01 - 00316594 _____ C:\WINDOWS\system32\perfh007.dat
2016-04-19 18:05 - 2004-08-17 14:01 - 00048156 _____ C:\WINDOWS\system32\perfc007.dat
2016-04-19 18:02 - 2014-09-06 15:14 - 00000000 ___HD C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten
2016-04-19 18:01 - 2014-09-19 20:00 - 00001086 _____ C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
2016-04-19 18:01 - 2014-09-06 15:13 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2016-04-19 18:01 - 2004-08-17 14:08 - 00012984 _____ C:\WINDOWS\system32\wpa.dbl
2016-04-16 22:18 - 2014-11-18 15:37 - 00030120 _____ C:\WINDOWS\system32\BMXCtrlState-{00000003-00000000-00000000-00001102-00000004-10031102}.rfx
2016-04-16 22:18 - 2014-11-18 15:37 - 00030120 _____ C:\WINDOWS\system32\BMXBkpCtrlState-{00000003-00000000-00000000-00001102-00000004-10031102}.rfx
2016-04-16 22:18 - 2014-11-18 15:37 - 00011564 _____ C:\WINDOWS\system32\DVCState-{00000003-00000000-00000000-00001102-00000004-10031102}.rfx
2016-04-16 22:18 - 2014-11-18 15:36 - 04931577 _____ C:\WINDOWS\{00000003-00000000-00000000-00001102-00000004-10031102}.BAK
2016-04-16 22:18 - 2014-11-18 13:27 - 04931577 _____ C:\WINDOWS\{00000003-00000000-00000000-00001102-00000004-10031102}.CDF
2016-04-16 22:18 - 2014-11-18 10:47 - 00030912 _____ C:\WINDOWS\system32\BMXStateBkp-{00000003-00000000-00000000-00001102-00000004-10031102}.rfx
2016-04-16 22:18 - 2014-11-18 10:47 - 00030912 _____ C:\WINDOWS\system32\BMXState-{00000003-00000000-00000000-00001102-00000004-10031102}.rfx
2016-04-16 22:18 - 2014-09-06 15:14 - 00000190 ___SH C:\Dokumente und Einstellungen\Unbekannt\ntuser.ini
2016-04-16 22:18 - 2014-09-06 15:13 - 00032578 _____ C:\WINDOWS\SchedLgU.Txt
2016-04-16 19:36 - 2014-09-19 20:01 - 00001775 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Google Chrome.lnk
2016-04-16 19:36 - 2014-09-19 20:01 - 00001775 _____ C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Google Chrome.lnk
2016-04-16 19:36 - 2014-09-06 15:54 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme
2016-04-16 19:36 - 2014-09-06 15:54 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme
2016-04-16 19:30 - 2014-09-19 20:00 - 00000000 ____D C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Anwendungsdaten\Google
2016-04-16 19:28 - 2009-01-25 20:33 - 00000000 ___RD C:\Programme

Einige Dateien in TEMP:
====================
C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp\CheckOS.exe
C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp\checkver.dll
C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp\CTWseAPI.dll
C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp\ochelper.exe
C:\Dokumente und Einstellungen\Unbekannt\Lokale Einstellungen\Temp\_IsUser.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert

==================== Ende vom FRST.txt ============================

Addition

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:18-04-2016
durchgeführt von Unbekannt (2016-04-19 18:38:09)
Gestartet von C:\Dokumente und Einstellungen\Unbekannt\Desktop
Microsoft Windows XP Home Edition Service Pack 2 (X86) (2014-09-06 13:12:37)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1606980848-573735546-725345543-500 - Administrator - Enabled)
Gast (S-1-5-21-1606980848-573735546-725345543-501 - Limited - Disabled)
Hilfeassistent (S-1-5-21-1606980848-573735546-725345543-1000 - Limited - Disabled)
SUPPORT_388945a0 (S-1-5-21-1606980848-573735546-725345543-1002 - Limited - Disabled)
Unbekannt (S-1-5-21-1606980848-573735546-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Dokumente und Einstellungen\Unbekannt

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

AVG 2015 (HKLM\...\AVG) (Version: 2015.0.6189 - AVG Technologies)
AVG 2015 (Version: 15.0.4556 - AVG Technologies) Hidden
AVG 2015 (Version: 15.0.6189 - AVG Technologies) Hidden
AVM FRITZ!WLAN (HKLM\...\AVMWLANCLI) (Version:  - AVM Berlin)
Creative MediaSource 5 (HKLM\...\{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}) (Version: 5.26 - Creative Technology Limited)
Creative MediaSource DVD-Audio Player (HKLM\...\Creative MediaSource DVD-Audio Player) (Version:  - )
Creative Software AutoUpdate (HKLM\...\Creative Software AutoUpdate) (Version: 1.40 - Creative Technology Limited)
Creative WaveStudio 7 (HKLM\...\WaveStudio 7) (Version: 7.14 - Creative Technology Limited)
Creative-Audiokonsole (HKLM\...\AudioCS) (Version: 1.33 - Creative Technology Limited)
Dr. Hardware 2014 14.5d (HKLM\...\Dr. Hardware 2014_is1) (Version:  - Peter A. Gebhard)
Driver Robot (HKLM\...\{1A36CF15-DF66-4756-9482-A9ABF3DDACE6}_is1) (Version:  - Blitware Technology Inc.)
EVEREST Home Edition v2.20 (HKLM\...\EVEREST Home Edition_is1) (Version: 2.20 - Lavalys Inc)
Google Chrome (HKLM\...\Google Chrome) (Version: 49.0.2623.112 - Google Inc.)
Google Update Helper (Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden
SoundFont-Bank-Manager (HKLM\...\SFBM) (Version:  - )
Visual Studio 2012 x86 Redistributables (HKLM\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
WebFldrs XP (Version: 9.50.7523 - Microsoft Corporation) Hidden

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\WINDOWS\Tasks\Driver Robot.job => C:\Programme\Driver Robot\Driver Robot.lnk
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Programme\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Programme\Google\Update\GoogleUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============


==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2004-08-17 13:55 - 2004-08-17 13:55 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts

127.0.0.1       localhost

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1606980848-573735546-725345543-1004\Control Panel\Desktop\\Wallpaper -> C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp
DNS Servers: 192.168.178.1
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

StandardProfile\AuthorizedApplications: [C:\Programme\Google\Chrome\Application\chrome.exe] => Enabled:Google Chrome
StandardProfile\AuthorizedApplications: [C:\Programme\AVG\AVG2015\avgmfapx.exe] => Enabled:AVG-Installationsprogramm
StandardProfile\AuthorizedApplications: [C:\Programme\AVG\AVG2015\avgnsx.exe] => Enabled:Online Shield
StandardProfile\AuthorizedApplications: [C:\Programme\AVG\AVG2015\avgdiagex.exe] => Enabled:AVG-Diagnose 2015
StandardProfile\AuthorizedApplications: [C:\Programme\AVG\AVG2015\avgemcx.exe] => Enabled:Personal E-Mail-Scanner

==================== Wiederherstellungspunkte =========================

16-04-2016 19:29:57 AVG 2015 wurde entfernt
19-04-2016 18:05:04 AVG 2015 wurde entfernt
19-04-2016 18:10:05 AVG 2015 wurde entfernt

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Videocontroller (VGA-kompatibel)
Description: Videocontroller (VGA-kompatibel)
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Videocontroller
Description: Videocontroller
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Ethernet-Controller
Description: Ethernet-Controller
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (11/01/2015 07:04:54 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (11/01/2015 07:04:54 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (11/01/2015 07:04:53 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (11/01/2015 07:04:53 PM) (Source: crypt32) (EventID: 11) (User: )
Description: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (09/19/2014 08:04:18 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Fehlgeschlagene Anwendung avira_de_av___ws.exe, Version 1.1.21.40000, fehlgeschlagenes Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.
Das medienspezifische Ereignis für [avira_de_av___ws.exe!ws!] wird verarbeitet.


Systemfehler:
=============
Error: (04/16/2016 07:27:08 PM) (Source: DCOM) (EventID: 10010) (User: NT-AUTORITÄT)
Description: Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (04/16/2016 07:30:37 PM) (Source: 0) (EventID: 1) (User: )
Description: 0xC0000001HarddiskVolume1

Error: (12/20/2015 05:23:08 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Der Dienst "AVGIDSAgent" wurde mit folgendem dienstspezifischem Fehler beendet: 3758213661 (0xE001CA1D).

Error: (12/20/2015 05:15:16 PM) (Source: W32Time) (EventID: 29) (User: )
Description: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb
der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error: (12/20/2015 05:15:16 PM) (Source: W32Time) (EventID: 17) (User: )
Description: Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer
"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten
wiederholt.
Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

Error: (05/20/2015 08:58:37 AM) (Source: 0) (EventID: 1) (User: )
Description: 0xC0000001HarddiskVolume1

Error: (05/09/2015 04:18:21 PM) (Source: SideBySide) (EventID: 59) (User: )
Description: Generate Activation Context ist für C:\WINDOWS\TEMP\7zS34.tmp\setup.exe fehlgeschlagen.
Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.
.

Error: (05/09/2015 04:18:21 PM) (Source: SideBySide) (EventID: 59) (User: )
Description: Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert.
.

Error: (05/09/2015 04:18:21 PM) (Source: SideBySide) (EventID: 32) (User: )
Description: Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert.

Error: (04/09/2015 08:56:44 AM) (Source: ipnathlp) (EventID: 32003) (User: )
Description: Der Übersetzer für Netzwerkadressen (NAT) konnte  keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen.
Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder
ein interner Fehler vor.
Die Daten enthalten den Fehlercode.


==================== Memory info =========================== 

Processor:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Prozentuale Nutzung des RAM: 49%
Installierter physikalischer RAM: 1278.07 MB
Verfügbarer physikalischer RAM: 646.31 MB
Summe virtueller Speicher: 3052.56 MB
Verfügbarer virtueller Speicher: 2371.54 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:39.06 GB) (Free:27.6 GB) NTFS ==>[Laufwerk mit Startkomponenten (Windows XP)]

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (Size: 74.5 GB) (Disk ID: BD296E65)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================

Schritt 2 Teil 1

Code:

ATTFilter

18:41:55.0562 0x04b4  TDSS rootkit removing tool 3.1.0.9 Dec 11 2015 22:49:12
18:42:04.0781 0x04b4  ============================================================
18:42:04.0781 0x04b4  Current date / time: 2016/04/19 18:42:04.0781
18:42:04.0781 0x04b4  SystemInfo:
18:42:04.0781 0x04b4  
18:42:04.0781 0x04b4  OS Version: 5.1.2600 ServicePack: 2.0
18:42:04.0781 0x04b4  Product type: Workstation
18:42:04.0781 0x04b4  ComputerName: DESKTOP
18:42:04.0781 0x04b4  UserName: Unbekannt
18:42:04.0781 0x04b4  Windows directory: C:\WINDOWS
18:42:04.0781 0x04b4  System windows directory: C:\WINDOWS
18:42:04.0781 0x04b4  Processor architecture: Intel x86
18:42:04.0781 0x04b4  Number of processors: 2
18:42:04.0781 0x04b4  Page size: 0x1000
18:42:04.0781 0x04b4  Boot type: Normal boot
18:42:04.0781 0x04b4  ============================================================
18:42:07.0906 0x04b4  KLMD registered as C:\WINDOWS\system32\drivers\79864829.sys
18:42:08.0859 0x04b4  System UUID: {331FF472-73D5-2D9E-47D9-B812FF6414FA}
18:42:10.0781 0x04b4  Drive \Device\Harddisk0\DR0 - Size: 0x12A05F2000 ( 74.51 Gb ), SectorSize: 0x200, Cylinders: 0x25FE, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
18:42:10.0781 0x04b4  ============================================================
18:42:10.0781 0x04b4  \Device\Harddisk0\DR0:
18:42:10.0781 0x04b4  MBR partitions:
18:42:10.0781 0x04b4  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4E1EDEC
18:42:10.0781 0x04b4  ============================================================
18:42:10.0812 0x04b4  C: <-> \Device\Harddisk0\DR0\Partition1
18:42:10.0812 0x04b4  ============================================================
18:42:10.0812 0x04b4  Initialize success
18:42:10.0812 0x04b4  ============================================================
18:42:50.0406 0x0194  ============================================================
18:42:50.0406 0x0194  Scan started
18:42:50.0406 0x0194  Mode: Manual; SigCheck; TDLFS; 
18:42:50.0406 0x0194  ============================================================
18:42:50.0406 0x0194  KSN ping started
18:43:04.0140 0x0194  KSN ping finished: true
18:43:04.0984 0x0194  ================ Scan system memory ========================
18:43:04.0984 0x0194  System memory - ok
18:43:04.0984 0x0194  ================ Scan services =============================
18:43:05.0031 0x0194  Abiosdsk - ok
18:43:05.0031 0x0194  abp480n5 - ok
18:43:05.0078 0x0194  [ 94B4741D2CF9ED38140B831293D1601A, 4630074BB5E071430B6C9905F495E958511C161BEB45624AB1C0B75AE0B615AB ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
18:43:05.0484 0x0194  ACPI - ok
18:43:05.0546 0x0194  [ 9E1CA3160DAFB159CA14F83B1E317F75, 13B3E897B0E819BF734449416D9EC6EBCAC89538EC69BF48C068593B82D57004 ] ACPIEC          C:\WINDOWS\system32\drivers\ACPIEC.sys
18:43:05.0656 0x0194  ACPIEC - ok
18:43:05.0671 0x0194  adpu160m - ok
18:43:05.0703 0x0194  [ 841F385C6CFAF66B58FBD898722BB4F0, 0DA17CCA27DF5C7245959249162A5393B2E36B7C9A3A3525AE1371DE6AE698A3 ] aec             C:\WINDOWS\system32\drivers\aec.sys
18:43:05.0843 0x0194  aec - ok
18:43:05.0875 0x0194  [ 5AC495F4CB807B2B98AD2AD591E6D92E, F645FAD628EC81C3D2555862BEE8DF3975FD9EAE326885528E773B2F148D70FB ] AFD             C:\WINDOWS\System32\drivers\afd.sys
18:43:06.0000 0x0194  AFD - ok
18:43:06.0000 0x0194  Aha154x - ok
18:43:06.0015 0x0194  aic78u2 - ok
18:43:06.0015 0x0194  aic78xx - ok
18:43:06.0031 0x0194  [ 1AAB6C5F8376357CB9B16C38C42C4076, D6615A43C102817B7BF6CBD5A8097441FC5A7B00C03E0029B03D156C929574B1 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
18:43:06.0156 0x0194  Alerter - ok
18:43:06.0171 0x0194  [ 6596DD260FFDE1BDC994C1DF236307BB, 210D2742425FD1F82D2416340F96FC79324C7A739650620A57278881A00B98B6 ] ALG             C:\WINDOWS\System32\alg.exe
18:43:06.0218 0x0194  ALG - ok
18:43:06.0234 0x0194  AliIde - ok
18:43:06.0234 0x0194  amsint - ok
18:43:06.0250 0x0194  AppMgmt - ok
18:43:06.0250 0x0194  [ F0D692B0BFFB46E30EB3CEA168BBC49F, 745BE951F18C90FCD30C9A59BB861375C29FA49AF38D27EBFE4158FB7CAC86ED ] Arp1394         C:\WINDOWS\system32\DRIVERS\arp1394.sys
18:43:06.0375 0x0194  Arp1394 - ok
18:43:06.0375 0x0194  asc - ok
18:43:06.0390 0x0194  asc3350p - ok
18:43:06.0390 0x0194  asc3550 - ok
18:43:06.0406 0x0194  [ 02000ABF34AF4C218C35D257024807D6, FDE21F7FCB198A44A6F2BCAF5EB11C9D90A094B4A2F8C307244A7655848954DA ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
18:43:06.0531 0x0194  AsyncMac - ok
18:43:06.0546 0x0194  [ CDFE4411A69C224BD1D11B2DA92DAC51, 0E6B23A80F171550575BEBC56F7500CD87A5CF03B2B9FDC49BC3DE96282CD69D ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
18:43:06.0671 0x0194  atapi - ok
18:43:06.0687 0x0194  Atdisk - ok
18:43:06.0718 0x0194  [ EC88DA854AB7D7752EC8BE11A741BB7F, 91FAF224CB4B44608C85CC25C3A82A3EC83F379D14A119A60A75505A30043255 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
18:43:06.0828 0x0194  Atmarpc - ok
18:43:06.0859 0x0194  [ E98B8250398F6637B335A76BA8DFB602, D54090C8E0D0D9AFAE17F5085275897A05D8FEB3FBB9B34C2EA056B70426388B ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
18:43:06.0968 0x0194  AudioSrv - ok
18:43:07.0015 0x0194  [ D9F724AA26C010A217C97606B160ED68, 329B5118F2409731D06FDAE85B6ADD64A048292801BCB3546651CEB303111695 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
18:43:07.0109 0x0194  audstub - ok
18:43:07.0156 0x0194  [ 6FF619B5DD6C05DB3D8BA4888EE06B03, 945FC37D86BE7B2B81276988EBD78FB24300F330625134058A8AE6D3FBC44E60 ] Avgdiskx        C:\WINDOWS\system32\DRIVERS\avgdiskx.sys
18:43:07.0203 0x0194  Avgdiskx - ok
18:43:07.0546 0x0194  [ C1A24A161F24D5C37EB5C75E870DD1B9, 6179341D25DBF5AFFC6177DAA0EB839D4BBBFE94778C900269AAAAC8AD33875C ] AVGIDSAgent     C:\Programme\AVG\AVG2015\avgidsagent.exe
18:43:07.0687 0x0194  AVGIDSAgent - ok
18:43:07.0734 0x0194  [ 80FD24E47846D68C8AB72E519E1DEACB, 0CD53A9F69A0D634C50D2F85DBCB7B3534FD6F53C457D786A2ECCEBEC552D2FF ] AVGIDSDriverl   C:\WINDOWS\system32\DRIVERS\avgidsdriverlx.sys
18:43:07.0765 0x0194  AVGIDSDriverl - ok
18:43:07.0781 0x0194  [ 33CA6AA2CA748945AC44ACDE2E7C1394, D6D6B617DB666A5DF8C956FFCB017D78E4087AC8C70DE2F06DF407924F29B77E ] AVGIDSHX        C:\WINDOWS\system32\DRIVERS\avgidshx.sys
18:43:07.0812 0x0194  AVGIDSHX - ok
18:43:07.0843 0x0194  [ 84B7209E7DE629908D0D6CF9CD6561DC, DF482B39E2A5D618F681DFDED078256C6756A694316B2F18EBEC27F65EAFFAA9 ] AVGIDSShim      C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys
18:43:07.0859 0x0194  AVGIDSShim - ok
18:43:07.0875 0x0194  [ 5DC171D731E32782D2651B280AB5BB15, 48703E17EE5A4199F9AF51DA2800CE44281F2550842AFAAFF2A396CD18FB5747 ] Avgldx86        C:\WINDOWS\system32\DRIVERS\avgldx86.sys
18:43:07.0890 0x0194  Avgldx86 - ok
18:43:07.0953 0x0194  [ B14F65F3ADBABCA40EABDFF7E7BFCD78, 7CC15E34A5203D02BB996BD072A71FE2BF498694EABAE79CF3389044F6D10164 ] Avglogx         C:\WINDOWS\system32\DRIVERS\avglogx.sys
18:43:07.0968 0x0194  Avglogx - ok
18:43:08.0000 0x0194  [ 146202B6CCF5C6D7878AE20C46DB0DE0, 1FF957B45361B780C234378928D203A2C44B0131948F960D3672E12800B55AC9 ] Avgmfx86        C:\WINDOWS\system32\DRIVERS\avgmfx86.sys
18:43:08.0015 0x0194  Avgmfx86 - ok
18:43:08.0031 0x0194  [ 33744E25E83260527272125F5624FFC6, CDB7DEA22124CCC3DB98BCC3588B2D6F1B35EE3B49947E1F5EE2BC33967815E5 ] Avgrkx86        C:\WINDOWS\system32\DRIVERS\avgrkx86.sys
18:43:08.0046 0x0194  Avgrkx86 - ok
18:43:08.0062 0x0194  [ 9ED533EFA864A6C9E85DEF7612E67831, 7656A859887B4A793E7431F30E53C6FEFB5A09270E35F2E42AD27A07FAFFE03E ] Avgtdix         C:\WINDOWS\system32\DRIVERS\avgtdix.sys
18:43:08.0078 0x0194  Avgtdix - ok
18:43:08.0156 0x0194  [ 54C450FFA404B80A9D87992CF1CF67B7, 73572A5AEF7978A24BEFDE81100E1213B23E5216B6422421023CE683E90FC752 ] avgwd           C:\Programme\AVG\AVG2015\avgwdsvc.exe
18:43:08.0187 0x0194  avgwd - ok
18:43:08.0234 0x0194  [ 55BDAF9D7EDE7EEBD99B068546ED9C1A, 8D4C85CC59891C304EBFFC2F9F8335D05EF79784B4F319776445A80CE9232862 ] AVM WLAN Connection Service C:\Programme\avmwlanstick\WlanNetService.exe
18:43:08.0281 0x0194  AVM WLAN Connection Service - detected UnsignedFile.Multi.Generic ( 1 )
18:43:10.0859 0x0194  Detect skipped due to KSN trusted
18:43:10.0859 0x0194  AVM WLAN Connection Service - ok
18:43:10.0906 0x0194  [ DA1F27D85E0D1525F6621372E7B685E9, 5A81A46A3BDD19DAFC6C87D277267A5D44F3A1B5302F2CC1111D84B7BAD5610D ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
18:43:11.0015 0x0194  Beep - ok
18:43:11.0062 0x0194  [ 3A5E54A9AB96EF2D273B58136FB58EFE, 7905C688AA96FCA01C7A03934DA12284B290FFC569E594ACBA340E6DE2B8940B ] BITS            C:\WINDOWS\system32\qmgr.dll
18:43:11.0187 0x0194  BITS - ok
18:43:11.0218 0x0194  [ D8653DCD80CF2EBB333FC4FCC43A7DEF, AD8560B4B7893F72D1FDC2222AFFA80CFEA0CD1D75280DA588F32D83BAEE2B0F ] Browser         C:\WINDOWS\System32\browser.dll
18:43:11.0328 0x0194  Browser - ok
18:43:11.0359 0x0194  [ 90A673FC8E12A79AFBED2576F6A7AAF9, BDE7858A3457DB979FEDD8577FA6321BF72848E4A7BF9F173C78A6A10CBB3EBE ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
18:43:11.0468 0x0194  cbidf2k - ok
18:43:11.0484 0x0194  cd20xrnt - ok
18:43:11.0484 0x0194  [ C1B486A7658353D33A10CC15211A873B, AA4DD9E7AAE5AAB1146B360B17001F975D2F29A1281CF7B13E7136480410F347 ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
18:43:11.0593 0x0194  Cdaudio - ok
18:43:11.0625 0x0194  [ CD7D5152DF32B47F4E36F710B35AAE02, 7382890CC1B27FC66C3E94E064562BBD87B3C75577CB0FD10860B8E2CE07D12E ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
18:43:11.0750 0x0194  Cdfs - ok
18:43:11.0765 0x0194  [ AF9C19B3100FE010496B1A27181FBF72, 64E9E4461F631EED2B2A1FC80DCC9C31DCECB5738289D322E6A6428C840DC621 ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
18:43:11.0875 0x0194  Cdrom - ok
18:43:11.0875 0x0194  Changer - ok
18:43:11.0906 0x0194  [ 234D52C63C67A8CF4AF9BECCE43BFB4A, 3050022FC88A0D61D823372DDFBFF3E97470DC08A6D65C96448DF215D3D0F2AD ] CiSvc           C:\WINDOWS\system32\cisvc.exe
18:43:12.0015 0x0194  CiSvc - ok
18:43:12.0031 0x0194  [ 0461868578D29DC18FB1C79933C5158A, B6B246E0C9B6FA4C6CFFB5C846C44A0933E7EE87BD91ED4267D4D7FD76201482 ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
18:43:12.0140 0x0194  ClipSrv - ok
18:43:12.0156 0x0194  CmdIde - ok
18:43:12.0203 0x0194  [ EF44C32B1AEF62380426B260BF2C66F1, D90A7F975BDE928CF22D01957DC1A390BAE9C9165199C432CB6A2D97FA4812FB ] COMMONFX        C:\WINDOWS\system32\drivers\COMMONFX.SYS
18:43:12.0203 0x0194  COMMONFX - ok
18:43:12.0218 0x0194  [ EF44C32B1AEF62380426B260BF2C66F1, D90A7F975BDE928CF22D01957DC1A390BAE9C9165199C432CB6A2D97FA4812FB ] COMMONFX.SYS    C:\WINDOWS\System32\drivers\COMMONFX.SYS
18:43:12.0234 0x0194  COMMONFX.SYS - ok
18:43:12.0234 0x0194  COMSysApp - ok
18:43:12.0250 0x0194  Cpqarray - ok
18:43:12.0296 0x0194  [ C0EAD9F8AB83D41FF07303C75589C2B8, C89CAC39BCD2FA2DCC56D7EE84FF66127BCECCAE400E119FE41BF4C4D769504B ] Creative Audio Engine Licensing Service C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
18:43:12.0296 0x0194  Creative Audio Engine Licensing Service - detected UnsignedFile.Multi.Generic ( 1 )
18:43:15.0031 0x0194  Detect skipped due to KSN trusted
18:43:15.0031 0x0194  Creative Audio Engine Licensing Service - ok
18:43:15.0062 0x0194  [ 3C8B6609712F4FF78E521F6DCFC4032B, DFCFD5F2D35DDA25DD91B4D732BDF84D1526AB11084E22523D51ABB2A8608402 ] Creative Service for CDROM Access C:\WINDOWS\system32\CTsvcCDA.exe
18:43:15.0078 0x0194  Creative Service for CDROM Access - detected UnsignedFile.Multi.Generic ( 1 )
18:43:17.0671 0x0194  Detect skipped due to KSN trusted
18:43:17.0671 0x0194  Creative Service for CDROM Access - ok
18:43:17.0687 0x0194  [ 1A5F9DB98DF7955B4C7CBDBF2C638238, 91489B31024307D43FFCB0CB3FA5A5F92A6BD8B78FD032C640DB4C7C79B8A7CB ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
18:43:17.0812 0x0194  CryptSvc - ok
18:43:17.0859 0x0194  [ 357C534B38019B597F51C8BF7186C118, C10084527F2CB5BC1A78BCBE7017510A4DA98ACFC697CDC1FE2E7D9296D1E70C ] ctac32k         C:\WINDOWS\system32\drivers\ctac32k.sys
18:43:17.0890 0x0194  ctac32k - ok
18:43:17.0953 0x0194  [ 691F8259A1F9C983356D8DB2CDE8043C, AB1A2FFF48D8D2761380F9FFEAF75EC8AC5F8DCE9AB473317FC88BABAA4D620E ] ctaud2k         C:\WINDOWS\system32\drivers\ctaud2k.sys
18:43:17.0984 0x0194  ctaud2k - ok
18:43:18.0031 0x0194  [ 7FC78AA6521EF3D9F16E51EFAB0BF13B, E6E71C04095B1E8A032B4B35820924F61C513D8D82DA7F1CD29918EC60D187DE ] CTAUDFX         C:\WINDOWS\system32\drivers\CTAUDFX.SYS
18:43:18.0046 0x0194  CTAUDFX - ok
18:43:18.0078 0x0194  [ 7FC78AA6521EF3D9F16E51EFAB0BF13B, E6E71C04095B1E8A032B4B35820924F61C513D8D82DA7F1CD29918EC60D187DE ] CTAUDFX.SYS     C:\WINDOWS\System32\drivers\CTAUDFX.SYS
18:43:18.0109 0x0194  CTAUDFX.SYS - ok
18:43:18.0140 0x0fb8  Object required for P2P: [ C1A24A161F24D5C37EB5C75E870DD1B9 ] AVGIDSAgent
18:43:18.0234 0x0194  [ 5CE3D0E1D1B3832EE052CFC442EEE0FA, 6B9DB2C350140ED547C7A96DB0EAD812E8987176B312C79AF52FC9B23EEEB8C4 ] CTAudSvcService C:\Programme\Creative\Shared Files\CTAudSvc.exe
18:43:18.0296 0x0194  CTAudSvcService - detected UnsignedFile.Multi.Generic ( 1 )
18:43:21.0000 0x0194  Detect skipped due to KSN trusted
18:43:21.0015 0x0194  CTAudSvcService - ok
18:43:21.0125 0x0194  [ 8545D70B0335A05498F34E7E3F8CA9A2, 635EE85D57DD67E280F8805A3404C76350BAD8822A8375F114F15B503F51FFD0 ] ctdvda2k        C:\WINDOWS\system32\drivers\ctdvda2k.sys
18:43:21.0156 0x0194  ctdvda2k - ok
18:43:21.0171 0x0194  [ 16F448354067914E7DEAEA709011BD60, 475A2BC04217B042AADFC72CC2051733D63E6F9FA573CE124B988ABC82B2C539 ] CTERFXFX        C:\WINDOWS\system32\drivers\CTERFXFX.SYS
18:43:21.0171 0x0194  CTERFXFX - ok
18:43:21.0187 0x0194  [ 16F448354067914E7DEAEA709011BD60, 475A2BC04217B042AADFC72CC2051733D63E6F9FA573CE124B988ABC82B2C539 ] CTERFXFX.SYS    C:\WINDOWS\System32\drivers\CTERFXFX.SYS
18:43:21.0203 0x0194  CTERFXFX.SYS - ok
18:43:21.0218 0x0194  [ 4D71541283AEA28FB839007BE90B5FC7, DFE9A87CB4C7BDFF6AB5A5FACFEA6C946B124D1C35BF14E56F9D78FB9DDEF279 ] ctprxy2k        C:\WINDOWS\system32\drivers\ctprxy2k.sys
18:43:21.0234 0x0194  ctprxy2k - ok
18:43:21.0281 0x0fb8  Object send P2P result: true
18:43:21.0281 0x0fb8  Object required for P2P: [ 54C450FFA404B80A9D87992CF1CF67B7 ] avgwd
18:43:21.0312 0x0194  [ 64C83684661BE137023F5186A612CF34, 753AD17C7A6B985737C0647A9858581FD321B6123BEDE6F443CB02DA1E234790 ] CTSBLFX         C:\WINDOWS\system32\drivers\CTSBLFX.SYS
18:43:21.0343 0x0194  CTSBLFX - ok
18:43:21.0375 0x0194  [ 64C83684661BE137023F5186A612CF34, 753AD17C7A6B985737C0647A9858581FD321B6123BEDE6F443CB02DA1E234790 ] CTSBLFX.SYS     C:\WINDOWS\System32\drivers\CTSBLFX.SYS
18:43:21.0406 0x0194  CTSBLFX.SYS - ok
18:43:21.0437 0x0194  [ 632194572EBDE8D461728CF382A7E964, CC1C581DAAE825B9B988D8233CBB3D5DBED63662BED6DF81BE9B8623E86AEB21 ] ctsfm2k         C:\WINDOWS\system32\drivers\ctsfm2k.sys
18:43:21.0437 0x0194  ctsfm2k - ok
18:43:21.0453 0x0194  dac2w2k - ok
18:43:21.0453 0x0194  dac960nt - ok
18:43:21.0500 0x0194  [ 9F28FF58D6D67B123272869D89D14004, 84BC37DC54E38141C84AFA5CBE8E7D523DA75D68796BF1F9B02405C6390EB809 ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
18:43:21.0656 0x0194  DcomLaunch - ok
18:43:21.0671 0x0194  [ 69F986B2688BA95A0D9362B0E233D5FF, 15C89E4F3CA6996575707F76F169BF9569461B9ED85C23ED245C5C1619660C2D ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
18:43:21.0781 0x0194  Dhcp - ok
18:43:21.0796 0x0194  [ 00CA44E4534865F8A3B64F7C0984BFF0, 3FD73CCD9892F6CFEE776CB384C2E35FA15F4101D308A67E1358F85299501E3D ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
18:43:21.0921 0x0194  Disk - ok
18:43:21.0921 0x0194  dmadmin - ok

Schritt 2 Teil 2

Code:

ATTFilter

18:43:22.0015 0x0194  [ 5789B83BA87FC84C3568CF86CACEF8CE, D4FF0E761BC83B07E129FB329599A82EE3BE8C0E23E95A11DB40B7BB9F6BB182 ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
18:43:22.0187 0x0194  dmboot - ok
18:43:22.0234 0x0194  [ 084EB0A50A4F7B4705C8A57F234E5291, 1567AEE766660B58657B15BE477BD564B3A2426EE0DDABD9338B0B7D36C63EAA ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
18:43:22.0359 0x0194  dmio - ok
18:43:22.0375 0x0194  [ E9317282A63CA4D188C0DF5E09C6AC5F, D41E002F555FE9015EF620975255F58BB79198CA1FF0E09EC950CB450FF77CF7 ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
18:43:22.0484 0x0194  dmload - ok
18:43:22.0515 0x0194  [ FA2D9D1A9F6B5A88D01E1685CE2378BA, F792078E8AD346F55A3DB77071AD12C50BE19C62A39F55026811EE68EC688D2E ] dmserver        C:\WINDOWS\System32\dmserver.dll
18:43:22.0625 0x0194  dmserver - ok
18:43:22.0640 0x0194  [ A6F881284AC1150E37D9AE47FF601267, 6C07654CF21637E527FC727EB50F4138BF0EFF0680000AC94001063B436389DB ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
18:43:22.0750 0x0194  DMusic - ok
18:43:22.0765 0x0194  [ D1F5B71BBAEEE07B78980DBD878C0BC7, A6F1DECBFE34EC8429D4A5CCA4CFE235FD362944E6537899F8CFDF276A2DFBA4 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
18:43:22.0890 0x0194  Dnscache - ok
18:43:22.0906 0x0194  dpti2o - ok
18:43:22.0953 0x0194  [ 0071F8825D14B16955CD0A0699AB7A6C, 8EA0D1CE82B5ED189BB462E466F33F3930E2F48F0EA742FEFC102F699A110845 ] drhard          C:\WINDOWS\system32\DRIVERS\DRHARD.SYS
18:43:23.0000 0x0194  drhard - detected UnsignedFile.Multi.Generic ( 1 )
18:43:24.0031 0x0fb8  Object send P2P result: true
18:43:25.0531 0x0194  Detect skipped due to KSN trusted
18:43:25.0531 0x0194  drhard - ok
18:43:25.0562 0x0194  [ 1ED4DBBAE9F5D558DBBA4CC450E3EB2E, B941AB5D9D504486083E0D1539B1A96E27721C9EFD7A67CA1DB7258B0D33AB78 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
18:43:25.0906 0x0194  drmkaud - ok
18:43:25.0937 0x0194  [ 01F83E1B5DCE05F5CB7D99113CA9E890, A1ADC30B63D8CDEE16B8964BBC276CD9C1D3ED3D9BDDD60397A4680951D6CAE3 ] emu10k          C:\WINDOWS\system32\drivers\emu10k1m.sys
18:43:26.0046 0x0194  emu10k - ok
18:43:26.0062 0x0194  [ 7FFA171CCE6A8BFC774862A578BA39A2, B5F31E5CFA197CDCA274888ABA04154CB11C25116427CECBA56E4B0B930DE3E9 ] emu10k1         C:\WINDOWS\system32\drivers\ctlfacem.sys
18:43:26.0171 0x0194  emu10k1 - ok
18:43:26.0203 0x0194  [ BACD9CC06D7A787E529E7EBF56B671AA, 41818D426F29936767C04108106F9C504110F952631EE09825B9DB31C003EFF1 ] emupia          C:\WINDOWS\system32\drivers\emupia2k.sys
18:43:26.0203 0x0194  emupia - ok
18:43:26.0250 0x0194  [ 877A4512CC9074D6954776AF47021766, 30A2A84B4BB29FF82451D5B8BFBBC7A25149DC2A664A8ECAFD3196893F56FC8E ] ERSvc           C:\WINDOWS\System32\ersvc.dll
18:43:26.0343 0x0194  ERSvc - ok
18:43:26.0375 0x0194  [ EDB6B81761BD60F32F740BBC40AFB676, 476A78E456E515BBF8232994D69DE68AD33C22491D89547FB0D94CCF42F4BC96 ] Eventlog        C:\WINDOWS\system32\services.exe
18:43:26.0500 0x0194  Eventlog - ok
18:43:26.0531 0x0194  [ 4E1A8645EE77CB9454FFE53C59620A25, 6D5432345C1155CB1EBEB19543B8947342CBDEB93DE9FFC9506D7BB947E03535 ] EventSystem     C:\WINDOWS\system32\es.dll
18:43:26.0640 0x0194  EventSystem - ok
18:43:26.0687 0x0194  [ 3117F595E9615E04F05A54FC15A03B20, 4708E8F1CDE6E9663B5DBEBAB8C684B16E45D41AEF20E4071D0A2931B305BD76 ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
18:43:26.0796 0x0194  Fastfat - ok
18:43:26.0828 0x0194  [ BAC5F7F0C2B8C1B9832594851E0F9914, D6FAFCBF2219D7DD43F8692C1A6C45133E4636B2FEB7F5162CF01D2A62C48F0D ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
18:43:26.0953 0x0194  FastUserSwitchingCompatibility - ok
18:43:26.0984 0x0194  [ CED2E8396A8838E59D8FD529C680E02C, 8542AE6A2D65D3F843EA70F5FFBC150B773C5CFA3FE6388FA68A95416FAD0F6E ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
18:43:27.0093 0x0194  Fdc - ok
18:43:27.0125 0x0194  [ 9E9AF89F9B14AA6249065C309CE73BD8, AA2637F7E853AA6421465088307C8D6F97B05C4CBBD504F416F58FD17C53DE97 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
18:43:27.0234 0x0194  Fips - ok
18:43:27.0234 0x0194  [ 0DD1DE43115B93F4D85E889D7A86F548, D50F7AAE5416C6D41845960BDDA24E97226F609AA726E4F88601ADC9ED50E872 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
18:43:27.0531 0x0194  Flpydisk - ok
18:43:27.0578 0x0194  [ 157754F0DF355A9E0A6F54721914F9C6, 1EB1424D98000FE80901287F9D51DDD18132B7C2CFEC4C7767F32F71DC2F64F9 ] FltMgr          C:\WINDOWS\system32\DRIVERS\fltMgr.sys
18:43:27.0718 0x0194  FltMgr - ok
18:43:27.0734 0x0194  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A, EC635E071201A766845D48973772CBE0958942B4162F3F5F70660D114CC877E0 ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
18:43:27.0828 0x0194  Fs_Rec - ok
18:43:27.0859 0x0194  [ 8F1955CE42E1484714B542F341647778, 8EB3F99625F409D3032561E8AB44BEFBFBFBA4EC873C2151C92A5CAAF7F2AA55 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
18:43:27.0968 0x0194  Ftdisk - ok
18:43:28.0000 0x0194  [ FF12FA487265DA2AC7DE4BE53F72FF1A, 9B9F29CC36D0C7681676F708270038D38CEA21AD82F4937DBDAE45F0D667786E ] FWLANUSB        C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
18:43:28.0031 0x0194  FWLANUSB - ok
18:43:28.0046 0x0194  [ C0F1D4A21DE5A415DF8170616703DEBF, 3E21AAD06CF6EB95662B568671B1DBD129CED481761BCDB67088E965E5C0BC5B ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
18:43:28.0156 0x0194  Gpc - ok
18:43:28.0218 0x0194  [ 053EEEE1ABAE53F044F1E386E22AE525, 195C8B78C0CF68F3DC1C08E58CE2A7146764F9273C39EF369194A366FA8EE1AD ] gupdate         C:\Programme\Google\Update\GoogleUpdate.exe
18:43:28.0234 0x0194  gupdate - ok
18:43:28.0250 0x0194  [ 053EEEE1ABAE53F044F1E386E22AE525, 195C8B78C0CF68F3DC1C08E58CE2A7146764F9273C39EF369194A366FA8EE1AD ] gupdatem        C:\Programme\Google\Update\GoogleUpdate.exe
18:43:28.0265 0x0194  gupdatem - ok
18:43:28.0328 0x0194  [ 70606233F3ED0E53CB3EA17F846D6A4F, 6B7CBFB919D1804610CD8D243B83E3392A108E355083CC1A433FF31DF8609798 ] ha10kx2k        C:\WINDOWS\system32\drivers\ha10kx2k.sys
18:43:28.0359 0x0194  ha10kx2k - ok
18:43:28.0390 0x0194  [ A0C69AD2A61E576B0207ACDD9626E167, 1708A1F587A55C50DE367323E9FD29E8AC5F2BAE5AE8ACC7F2F9219AD5906889 ] hap16v2k        C:\WINDOWS\system32\drivers\hap16v2k.sys
18:43:28.0406 0x0194  hap16v2k - ok
18:43:28.0421 0x0194  [ 2EE89452C574D259ADA4FC9FC1C07243, A6562E7F4D2CABE0AA79FA64D2AFD09A60AA6FFB7E8D469DEC8919BDCA145D17 ] hap17v2k        C:\WINDOWS\system32\drivers\hap17v2k.sys
18:43:28.0437 0x0194  hap17v2k - ok
18:43:28.0484 0x0194  [ BA85BCF1A2BCF927C3600574173403E0, 0D0253BEA64FDF65DA03677BF8DEB3A8B2D6AF546EB22C439844DC008515CEBF ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
18:43:28.0593 0x0194  helpsvc - ok
18:43:28.0625 0x0194  [ B647CA198B9C73056ABFB0A9D8F4916D, B04369716CD26E7F96067D04AB2D8FD976E0A9C230494F17396121DACF1A1E8C ] HidServ         C:\WINDOWS\System32\hidserv.dll
18:43:28.0718 0x0194  HidServ - ok
18:43:28.0750 0x0194  [ 1DE6783B918F540149AA69943BDFEBA8, 6ED28109CA0A7738857D840E369EAB91C1605F2643950762D327CCE241C135A1 ] hidusb          C:\WINDOWS\system32\DRIVERS\hidusb.sys
18:43:28.0859 0x0194  hidusb - ok
18:43:28.0859 0x0194  hpn - ok
18:43:28.0937 0x0194  [ C19B522A9AE0BBC3293397F3055E80A1, C04F067E06798E50AE90743F6ACB53FEB83DC749C76F97C962B14616A49E15CE ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
18:43:29.0218 0x0194  HTTP - ok
18:43:29.0296 0x0194  [ 9EC7E866BBDBF3ECC0E67F4E0A838EB2, C98F569BDB58ED430C069516F64AFE1DE91FEA4CDF2572CEED7FF904E45F4FEE ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
18:43:29.0421 0x0194  HTTPFilter - ok
18:43:29.0421 0x0194  i2omgmt - ok
18:43:29.0421 0x0194  i2omp - ok
18:43:29.0453 0x0194  [ 7C575018D0413440D75432A78B88C899, 064E0980C2D30ABB15BD4A20E0B0CC184B5E4FAB509307D91B4FB18973F6DD6F ] i8042prt        C:\WINDOWS\system32\drivers\i8042prt.sys
18:43:29.0578 0x0194  i8042prt - ok
18:43:29.0609 0x0194  [ F8AA320C6A0409C0380E5D8A99D76EC6, A848B9C489DDFBD48BDA140CB9DD43097686115042745F6444F803739168D391 ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
18:43:29.0812 0x0194  Imapi - ok
18:43:29.0843 0x0194  [ 57D7267A9ED91ECAF4336B08C9628FCA, 1742A2D620DA325B6FCFFAD0D0D9177A73A58A353BE1462F3FE63BBC51DB97D0 ] ImapiService    C:\WINDOWS\system32\imapi.exe
18:43:29.0968 0x0194  ImapiService - ok
18:43:29.0968 0x0194  ini910u - ok
18:43:30.0015 0x0194  [ D63C33F65F6EBC732116403D88883B2D, F00E802BE7E15D14C09EFAB52F2E49BBE9C10448435AB5F06E3AFE544290C806 ] IntelIde        C:\WINDOWS\system32\DRIVERS\intelide.sys
18:43:30.0109 0x0194  IntelIde - ok
18:43:30.0125 0x0194  [ C1C2CC1DA79C5EE10457EF0A3B8568C7, 7A37C349ADFCFAE86E679894F4E87A287712EF69D17BCC8B5C20C857E2B78B6A ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
18:43:30.0234 0x0194  intelppm - ok
18:43:30.0250 0x0194  [ 4448006B6BC60E6C027932CFC38D6855, C377235EBE475C281ACB6A3267F12D8FE623433F05134A6CE50562414F94D7B1 ] Ip6Fw           C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
18:43:30.0359 0x0194  Ip6Fw - ok
18:43:30.0390 0x0194  [ 731F22BA402EE4B62748ADAF6363C182, 5C3BEBD008A5BE4DC2F92076FF41A10DDC01E10EC7E6552213CFA11970811848 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
18:43:30.0500 0x0194  IpFilterDriver - ok
18:43:30.0515 0x0194  [ E1EC7F5DA720B640CD8FB8424F1B14BB, E5CF9F43D8C8028E8F29CAF8AD1E2179E5B02DCAA430900672FCB4C4EE288EF0 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
18:43:30.0609 0x0194  IpInIp - ok
18:43:30.0640 0x0194  [ B5A8E215AC29D24D60B4D1250EF05ACE, D1D47DCF9F35325549833710BD9B1C431698819914212FF6A328DD338FBA0E1D ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
18:43:30.0750 0x0194  IpNat - ok
18:43:30.0796 0x0194  [ 64537AA5C003A6AFEEE1DF819062D0D1, 5A6C11317DEF14B8C34A8C669EB75F7A8D46F05090C43D3DFF602CFA13CC504E ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
18:43:30.0890 0x0194  IPSec - ok
18:43:30.0921 0x0194  [ 50708DAA1B1CBB7D6AC1CF8F56A24410, A5657038A66B83472B456246E58884D5DF2E5B63BD176AE3DFFB6D5B6998E8B7 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
18:43:30.0968 0x0194  IRENUM - ok
18:43:31.0015 0x0194  [ CE9B7AFDF0A3D7DD8D1487262316B959, 2843C253AC349818718FCCDC7832641AE3EE8E5B4879F1B76D180F23F8B00895 ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
18:43:31.0109 0x0194  isapnp - ok
18:43:31.0140 0x0194  [ B128FC0A5CD83F669D5DE4B58F77C7D6, 8DDC829084C2B5B7CCF0938BBB518C892E1CB6AEC6EF8CD13DE3C95255DBF84E ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
18:43:31.0250 0x0194  Kbdclass - ok
18:43:31.0281 0x0194  [ 7EC877AA899323B92874FE62C7DDCDE7, 49A27145CE721A6271474AC7225B167C9FE4EEFC6017BF0B46F6F2126115B433 ] kbdhid          C:\WINDOWS\system32\DRIVERS\kbdhid.sys
18:43:31.0390 0x0194  kbdhid - ok
18:43:31.0406 0x0194  [ D93CAD07C5683DB066B0B2D2D3790EAD, 4C96F68F9914DCCDAFB5D6FC1A765ADFF37C6E4675AF0EF20AA1EDFF04CE27AD ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
18:43:31.0515 0x0194  kmixer - ok
18:43:31.0515 0x0194  [ EB7FFE87FD367EA8FCA0506F74A87FBB, 5D318CD7DB88473A6FFB74939FF62EB8DD0E6C79847844212D7168095F635531 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
18:43:31.0625 0x0194  KSecDD - ok
18:43:31.0687 0x0194  [ A3C21129C5F0C56ED102B5876DB1A180, 5BB6B461892030310761569E6BAE6907568508C78DCE4343B7AA6E53ADD71A5C ] kxwdmdrv        C:\WINDOWS\system32\drivers\kx.sys
18:43:31.0718 0x0194  kxwdmdrv - ok
18:43:31.0750 0x0194  [ F8170AA51CD202BC062B8A0983F361B7, 354FD5EF908678AC0B6278A7579DD8C38ACB3C81AC52050B6ECC712E86CAB2EA ] lanmanserver    C:\WINDOWS\System32\srvsvc.dll
18:43:31.0875 0x0194  lanmanserver - ok
18:43:31.0906 0x0194  [ 36D74668F5448D55887FA3958488DC06, 795A9FF34EED94ED4C17D9A6A1F4235496BCC94CB0EF967643829AC6F764890B ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
18:43:32.0015 0x0194  lanmanworkstation - ok
18:43:32.0015 0x0194  lbrtfdc - ok
18:43:32.0031 0x0194  [ 4C25FADD7FE1D5BD779B20D3D0EB8D7C, 230F660122CA5AC16EC75C32A4CB807138E69EB68248E22DDAB98AEF0CB5AA69 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
18:43:32.0140 0x0194  LmHosts - ok
18:43:32.0171 0x0194  [ E5215AB942C5AC5F7EB0E54871D7A27C, D1F4B56B3358D07D544A891544B0C913B1F980FD0A5A14D33FE0263D20D1D988 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
18:43:32.0390 0x0194  Messenger - ok
18:43:32.0406 0x0194  [ 4AE068242760A1FB6E1A44BF4E16AFA6, 1FB771162B96AAF787AC24867B818DF8511F0780BB094FA9A38C11D8DBFE68BC ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
18:43:32.0515 0x0194  mnmdd - ok
18:43:32.0546 0x0194  [ BB2470D20405B272EA47CA5E18F1C58E, 25FBCD1B48E2AEACAB0437BFBD4A3584E76D30E957DFDF4554709C15970C6CC8 ] mnmsrvc         C:\WINDOWS\system32\mnmsrvc.exe
18:43:32.0671 0x0194  mnmsrvc - ok
18:43:32.0718 0x0194  [ 91A3DA4B12F6F1D760463A7F7857F748, 399667C23B346ABEDA39E385A45F66B22CF94611999CA50F6D6C57E83547501B ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
18:43:32.0843 0x0194  Modem - ok
18:43:32.0890 0x0194  [ 71E15CA47FD947552054AFB28536268F, C53BED7E31CD006FFA5F9D6AEAA7574102F9E780D4C68541EEA34B07A9031D54 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
18:43:32.0984 0x0194  Mouclass - ok
18:43:33.0015 0x0194  [ 66A6F73C74E1791464160A7065CE711A, 3C570FA1E8EF976B83759220FE95BAC9D7D48D607F91B113EDE4790D34ACBD46 ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
18:43:33.0125 0x0194  mouhid - ok
18:43:33.0140 0x0194  [ 65653F3B4477F3C63E68A9659F85EE2E, 32A34B22A4C1F50A966F321FD228C6B85F0F0315ABF3D40FC416618E786A4024 ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
18:43:33.0250 0x0194  MountMgr - ok
18:43:33.0265 0x0194  mraid35x - ok
18:43:33.0296 0x0194  [ 46EDCC8F2DB2F322C24F48785CB46366, 0300EC19CAAEEC52001EBB7F3BE6DE314B42FE7F8BA072905070FEA75CC06E3B ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
18:43:33.0437 0x0194  MRxDAV - ok
18:43:33.0500 0x0194  [ 1FD607FC67F7F7C633C3DA65BFC53D18, 0FDD53C72F3158283306892A57A2687D5358A468380E8BE6EB58EAE100D813C1 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
18:43:33.0640 0x0194  MRxSmb - ok
18:43:33.0671 0x0194  [ D059F9C7752EF461476E83180DAA5C62, F20D18F24E8E66089028F1191D8FDEC46260C4453DF0D0CCB73DF2D0FDBBC7FE ] MSDTC           C:\WINDOWS\system32\msdtc.exe
18:43:33.0765 0x0194  MSDTC - ok
18:43:33.0796 0x0194  [ 561B3A4333CA2DBDBA28B5B956822519, 5B53906A29B9AA55A399F880CA989F9878BD943D3E97FB10A25BFD723654AF49 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
18:43:33.0906 0x0194  Msfs - ok
18:43:33.0921 0x0194  MSIServer - ok
18:43:33.0984 0x0194  [ AE431A8DD3C1D0D0610CDBAC16057AD0, 8B3BCAC3DA71778DC8B863E6DEF10F02F65D1BDD3381802DDC0B2980F4F1FBB9 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
18:43:34.0093 0x0194  MSKSSRV - ok
18:43:34.0109 0x0194  [ 13E75FEF9DFEB08EEDED9D0246E1F448, 69D4CF483753FF253431656E1CB680F6702375696F94E259729BD11C25004031 ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
18:43:34.0218 0x0194  MSPCLOCK - ok
18:43:34.0234 0x0194  [ 1988A33FF19242576C3D0EF9CE785DA7, 9E1C07F364DA7EF0D859BB7A3A06F849A153722E27E872640120CC6855D9FC51 ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
18:43:34.0359 0x0194  MSPQM - ok
18:43:34.0390 0x0194  [ 469541F8BFD2B32659D5D463A6714BCE, 46AA7D2442DCC4C51C08BA0C00136F058F9160E6D6EDE78B2FD82545AE4FD10B ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
18:43:34.0484 0x0194  mssmbios - ok
18:43:34.0500 0x0194  [ 82035E0F41C2DD05AE41D27FE6CF7DE1, 6111D330E7ACB77E23EA6A9E001FC651DE1DC49D772DC6FDD3C4B8EDA57E1C7A ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
18:43:34.0609 0x0194  Mup - ok
18:43:34.0640 0x0194  [ 558635D3AF1C7546D26067D5D9B6959E, 8C1802908DF35E442575969D29F4B22019A2B3E4C309B8E193F98F75AE81F013 ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
18:43:34.0750 0x0194  NDIS - ok
18:43:34.0781 0x0194  [ 08D43BBDACDF23F34D79E44ED35C1B4C, F72CB8FA67C361C40B4C83F08302D7B2FD9178C1C60A7C236AF08B9CB5162591 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
18:43:34.0890 0x0194  NdisTapi - ok
18:43:34.0937 0x0194  [ 34D6CD56409DA9A7ED573E1C90A308BF, DE2060F57C913272524AFB0D472714ABF6F7E49A01534F23D95EE67F207CC6CF ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
18:43:35.0031 0x0194  Ndisuio - ok

Schritt 2 Teil 3

Code:

ATTFilter

18:43:35.0046 0x0194  [ 0B90E255A9490166AB368CD55A529893, 90EB17422BF52FE6D0CC6ADA4262D605806C5B583DE04EDEC95FD47EE9697865 ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
18:43:35.0187 0x0194  NdisWan - ok
18:43:35.0203 0x0194  [ 59FC3FB44D2669BC144FD87826BB571F, B3C8CEFB09D5C85CBF12AED8CDB1FE455679D3436337263EFDABDC5116D92453 ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
18:43:35.0343 0x0194  NDProxy - ok
18:43:35.0359 0x0194  [ 3A2ACA8FC1D7786902CA434998D7CEB4, ECE218DCDCB4D0A5CA8CBD14E931BAA3B5F381B70BBACB65B0EBBB46D2D31683 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
18:43:35.0468 0x0194  NetBIOS - ok
18:43:35.0515 0x0194  [ 0C80E410CD2F47134407EE7DD19CC86B, 2A1D0CE9797F4AB7A24873947A26DD6413B8DBB5A82C24CF28D1FC243AEFC5C8 ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
18:43:35.0625 0x0194  NetBT - ok
18:43:35.0671 0x0194  [ F4EFF57254F565F39B6029150414A0D5, ADB4A797A25E7BD705A7FFCEEF15B681057748A7CEE19CC0B55F86446608752E ] NetDDE          C:\WINDOWS\system32\netdde.exe
18:43:35.0781 0x0194  NetDDE - ok
18:43:35.0796 0x0194  [ F4EFF57254F565F39B6029150414A0D5, ADB4A797A25E7BD705A7FFCEEF15B681057748A7CEE19CC0B55F86446608752E ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
18:43:35.0906 0x0194  NetDDEdsdm - ok
18:43:35.0937 0x0194  [ 183805EB05BCA5A1E4AAAED4D2BE3690, D1821D2F616F029C07D0727FF8EB0862374EE544F4A66567F0433E567AF2B85A ] Netlogon        C:\WINDOWS\system32\lsass.exe
18:43:36.0031 0x0194  Netlogon - ok
18:43:36.0078 0x0194  [ CDF4DA6B518105343FE9E8AFBBF8FBF4, C2BF0581EED518FE6CF43D47035095E494CBA242A16CAA752E398522E2E119AA ] Netman          C:\WINDOWS\System32\netman.dll
18:43:36.0187 0x0194  Netman - ok
18:43:36.0218 0x0194  [ 5C5C53DB4FEF16CF87B9911C7E8C6FBC, AD1FD07DD9E745C29986C2A25E9EF80B93CBF0F47FCF76741DD6E9CC81C7D241 ] NIC1394         C:\WINDOWS\system32\DRIVERS\nic1394.sys
18:43:36.0328 0x0194  NIC1394 - ok
18:43:36.0375 0x0194  [ B36E08F680BAE4DFC5C24D00A2DFC9E7, 181D6EA7FD98304C66CFC58D00FC3C0B97DDD218E02A071BCB60E435573387D4 ] Nla             C:\WINDOWS\System32\mswsock.dll
18:43:36.0468 0x0194  Nla - ok
18:43:36.0500 0x0194  [ 4F601BCB8F64EA3AC0994F98FED03F8E, D9D6783B970CB871DE0C6EDD8BE42F30CD1DCD55D4DF006922D9CFC0CF020D27 ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
18:43:36.0609 0x0194  Npfs - ok
18:43:36.0656 0x0194  [ B78BE402C3F63DD55521F73876951CDD, 020D75527B4814C544820D29CA064E94F2FCB7B1BA011D63E9D2BFD4CF91BA61 ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
18:43:36.0765 0x0194  Ntfs - ok
18:43:36.0781 0x0194  [ 183805EB05BCA5A1E4AAAED4D2BE3690, D1821D2F616F029C07D0727FF8EB0862374EE544F4A66567F0433E567AF2B85A ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
18:43:36.0906 0x0194  NtLmSsp - ok
18:43:36.0968 0x0194  [ 428AA946A8D9F32DBB4260C8E6E13377, EE5D259287CFDEA7A83D565702CCD7C1F91C376B1327E8BAFF2A3DEFE3BE763E ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
18:43:37.0093 0x0194  NtmsSvc - ok
18:43:37.0125 0x0194  [ 73C1E1F395918BC2C6DD67AF7591A3AD, B21133A75253EC15E2DFF66D3B480AB1A7E1A2360476C810E7AA55D0F0EB08D4 ] Null            C:\WINDOWS\system32\drivers\Null.sys
18:43:37.0218 0x0194  Null - ok
18:43:37.0265 0x0194  [ B305F3FAD35083837EF46A0BBCE2FC57, 9D0E0E666D652D0FC9EAB97280A5D67AAF61D6B21929DF7CF8ED72A367720464 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
18:43:37.0375 0x0194  NwlnkFlt - ok
18:43:37.0406 0x0194  [ C99B3415198D1AAB7227F2C88FD664B9, DD8DA4B5E804F134AB9233859544C025062902DFC3E8FB8A09A67337A4E73F55 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
18:43:37.0515 0x0194  NwlnkFwd - ok
18:43:37.0531 0x0194  [ 0951DB8E5823EA366B0E408D71E1BA2A, EAF0E680BC476D8CEBAD0C21F2EDB958F333B731E8B131DA450D716FEC2C87B0 ] ohci1394        C:\WINDOWS\system32\DRIVERS\ohci1394.sys
18:43:37.0640 0x0194  ohci1394 - ok
18:43:37.0671 0x0194  [ AE896073E1BBF98FEFC2EC52F62C0FBA, 8DB1D1DE1941E2467DD5CFC631F221D5E27C338A1D48E7A999224CBAE6606812 ] ossrv           C:\WINDOWS\system32\drivers\ctoss2k.sys
18:43:37.0687 0x0194  ossrv - ok
18:43:37.0718 0x0194  [ B2F17A2EDB5450E61973A037F63A595B, 21B5C7EC1FD0730BFA0D1390ECA744037344C020847615BBC3AA29E5169CA64F ] Parport         C:\WINDOWS\system32\DRIVERS\parport.sys
18:43:37.0843 0x0194  Parport - ok
18:43:37.0859 0x0194  [ 3334430C29DC338092F79C38EF7B4CD0, B54989B46D77F124D66741A939FF2033F73854FC39AF13C8165D01203A94A94E ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
18:43:37.0953 0x0194  PartMgr - ok
18:43:38.0000 0x0194  [ C2BF987829099A3EAA2CA6A0A90ECB4F, 1DF21EA8E43875CFEECD869407429F82FB449707CFB845718499468E699BAAAA ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
18:43:38.0109 0x0194  ParVdm - ok
18:43:38.0140 0x0194  [ 6FB463E5B243FBD6F3D3C83F914D94FB, 9B259BC29C458463D56EC59BDE4C116AEDC4AEFC53690292071628E739BABDB6 ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
18:43:38.0234 0x0194  PCI - ok
18:43:38.0250 0x0194  PCIDump - ok
18:43:38.0281 0x0194  [ 59BA86D9A61CBCF4DF8E598C331F5B82, 822D11C5CE77BFD7B2F25350CCBF92B0B9388EEA6D86ED220B768C720976D839 ] PCIIde          C:\WINDOWS\system32\drivers\PCIIde.sys
18:43:38.0390 0x0194  PCIIde - ok
18:43:38.0437 0x0194  [ E2363F4C1DAFF89ABEE5F593E13D8A05, 92EDD9CE64BDA74EAB095077AE6A41ED4EBCE81694193DFCDDF158ECAEF3F96B ] Pcmcia          C:\WINDOWS\system32\drivers\Pcmcia.sys
18:43:38.0546 0x0194  Pcmcia - ok
18:43:38.0562 0x0194  PDCOMP - ok
18:43:38.0593 0x0194  PDFRAME - ok
18:43:38.0609 0x0194  PDRELI - ok
18:43:38.0640 0x0194  PDRFRAME - ok
18:43:38.0671 0x0194  perc2 - ok
18:43:38.0687 0x0194  perc2hib - ok
18:43:38.0796 0x0194  [ EDB6B81761BD60F32F740BBC40AFB676, 476A78E456E515BBF8232994D69DE68AD33C22491D89547FB0D94CCF42F4BC96 ] PlugPlay        C:\WINDOWS\system32\services.exe
18:43:38.0890 0x0194  PlugPlay - ok
18:43:38.0921 0x0194  [ 183805EB05BCA5A1E4AAAED4D2BE3690, D1821D2F616F029C07D0727FF8EB0862374EE544F4A66567F0433E567AF2B85A ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
18:43:39.0015 0x0194  PolicyAgent - ok
18:43:39.0046 0x0194  [ 1C5CC65AAC0783C344F16353E60B72AC, 7786CFE970A79B327DB57AEBADA8B0B94B4DE07CE8AF285E9835B2AADD597296 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
18:43:39.0140 0x0194  PptpMiniport - ok
18:43:39.0171 0x0194  [ 183805EB05BCA5A1E4AAAED4D2BE3690, D1821D2F616F029C07D0727FF8EB0862374EE544F4A66567F0433E567AF2B85A ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
18:43:39.0265 0x0194  ProtectedStorage - ok
18:43:39.0296 0x0194  [ 48671F327553DCF1D27F6197F622A668, CB34A17BC36E8F8BB5F87F9EE21311C50DE9AE156513D682581DE47C93EC155D ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
18:43:39.0406 0x0194  PSched - ok
18:43:39.0421 0x0194  [ 80D317BD1C3DBC5D4FE7B1678C60CADD, DA76804B55D0CAB3DDD01EFC06673764AE4860693375C658B6063FB14AF7F12C ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
18:43:39.0531 0x0194  Ptilink - ok
18:43:39.0546 0x0194  ql1080 - ok
18:43:39.0578 0x0194  Ql10wnt - ok
18:43:39.0609 0x0194  ql12160 - ok
18:43:39.0625 0x0194  ql1240 - ok
18:43:39.0656 0x0194  ql1280 - ok
18:43:39.0687 0x0194  [ FE0D99D6F31E4FAD8159F690D68DED9C, 998685622ABE631984B7E4DBF91AB3594B1F574378D75EB9F6265F4650470692 ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
18:43:39.0781 0x0194  RasAcd - ok
18:43:39.0828 0x0194  [ E3C6E87C1F84584A773D7C3DD205DBFF, E5F1FDCA1029170AFED8D5642E867F1F4A6F4F9894B099D5B3477140E3AFFDFE ] RasAuto         C:\WINDOWS\System32\rasauto.dll
18:43:39.0921 0x0194  RasAuto - ok
18:43:39.0968 0x0194  [ 98FAEB4A4DCF812BA1C6FCA4AA3E115C, F59974A2A3C21071BC72CA4DAF5D2DDF93471EC16FD1A34DE9DC1A50027F6835 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
18:43:40.0062 0x0194  Rasl2tp - ok
18:43:40.0125 0x0194  [ A5D2D745A2AEFA327DCA6DA317B5FD70, 98DC43ACD8C32CC0BE8DCFF86E58A9EC15F7783D6DB0722FF179157C0683BB88 ] RasMan          C:\WINDOWS\System32\rasmans.dll
18:43:40.0218 0x0194  RasMan - ok
18:43:40.0234 0x0194  [ 7306EEED8895454CBED4669BE9F79FAA, DC6874ECAD9105BC9EAB007291958911D7D4D3649124472070B3496B36C45200 ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
18:43:40.0359 0x0194  RasPppoe - ok
18:43:40.0375 0x0194  [ FDBB1D60066FCFBB7452FD8F9829B242, 10A2DACF944BD000032EBA8C095CB3D879CC55B28C377ADF6E52E508E47444DB ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
18:43:40.0468 0x0194  Raspti - ok
18:43:40.0515 0x0194  [ 29D66245ADBA878FFF574CD66ABD2884, E85710229E61DB37BAB291E2E13ABD99FA8DFF7C8245853253BE540D8741990E ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
18:43:40.0625 0x0194  Rdbss - ok
18:43:40.0640 0x0194  [ 4912D5B403614CE99C28420F75353332, 975341ECD660209987B5E5171B8315E032439E408CBE8A5986E67AF767F373BB ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
18:43:40.0750 0x0194  RDPCDD - ok
18:43:40.0843 0x0194  [ D4F5643D7714EF499AE9527FDCD50894, 6D9EDD9DE3B21324FBDEF074F815A4925F656E06BD15B73B53CD255FD8F0D63F ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
18:43:40.0937 0x0194  RDPWD - ok
18:43:40.0984 0x0194  [ AEC159942DF64A9890072D7BB1797762, 7AE6A4A521154875475205B2FEE07AE845EA4C930611C2D92BAE164E92BCB417 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
18:43:41.0109 0x0194  RDSessMgr - ok
18:43:41.0140 0x0194  [ AA56702E230860565CB8D43680F57F33, A2E3FE04335B988E1DEBF0AE717719B865E4A9807F916EACF64C114C49758FE1 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
18:43:41.0234 0x0194  redbook - ok
18:43:41.0281 0x0194  [ EBA80CDF25E02084857957E820004934, 54F0EC0C91F0F277A5946D5BB41D2C1738253509174A53A3B7FD6434067C8A13 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
18:43:41.0390 0x0194  RemoteAccess - ok
18:43:41.0437 0x0194  [ DA23F9F3F1B1871120F980A6879581AC, B8A582D639540CD23E5573504EE64A6AB2E27B7B31F2EB8398190F735D36B0F8 ] RpcLocator      C:\WINDOWS\system32\locator.exe
18:43:41.0546 0x0194  RpcLocator - ok
18:43:41.0593 0x0194  [ 9F28FF58D6D67B123272869D89D14004, 84BC37DC54E38141C84AFA5CBE8E7D523DA75D68796BF1F9B02405C6390EB809 ] RpcSs           C:\WINDOWS\system32\rpcss.dll
18:43:41.0703 0x0194  RpcSs - ok
18:43:41.0765 0x0194  [ 4BDD71B4B521521499DFD14735C4F398, 7B1498D3C67E56D05B58B7DA319ECB0117C37963AABB0E59B42831C087469DA1 ] RSVP            C:\WINDOWS\system32\rsvp.exe
18:43:41.0890 0x0194  RSVP - ok
18:43:41.0921 0x0194  [ 183805EB05BCA5A1E4AAAED4D2BE3690, D1821D2F616F029C07D0727FF8EB0862374EE544F4A66567F0433E567AF2B85A ] SamSs           C:\WINDOWS\system32\lsass.exe
18:43:42.0015 0x0194  SamSs - ok
18:43:42.0062 0x0194  [ B4CF7B42DE6CFA6FDE7D6AF4DAA55F57, F29B85D91EBE16BCB9E8D25F641C4C94E58B9D5F4C8F925A13601980404BAE0A ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
18:43:42.0171 0x0194  SCardSvr - ok
18:43:42.0218 0x0194  [ D5E73842F38E24457C63FEF8CEFFBE19, 3456F527AE8E89603E4842C1CB71E5D84CBB2CAA99C384BEAC46DA2436E515C5 ] Schedule        C:\WINDOWS\system32\schedsvc.dll
18:43:42.0375 0x0194  Schedule - ok
18:43:42.0406 0x0194  [ D26E26EA516450AF9D072635C60387F4, C78D26B2E6343176EA9E09DD96CDAE108F832B7973FABF756D05E24392FEF388 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
18:43:42.0468 0x0194  Secdrv - ok
18:43:42.0500 0x0194  [ FED544B43903FB801B106F062110358A, 108739F6D260EE1FF3AD7392B7E3DCDE858EFA97ACDDE7A41F1F8E1AEA9D238A ] seclogon        C:\WINDOWS\System32\seclogon.dll
18:43:42.0593 0x0194  seclogon - ok
18:43:42.0625 0x0194  [ AB74D986C1DD0D0C95B6AD37EC1E9F4F, 9A13D6357BBA9FD84E6DD727FF5475157D6243CC5DAEB85D11450DC928D51036 ] SENS            C:\WINDOWS\system32\sens.dll
18:43:42.0718 0x0194  SENS - ok
18:43:42.0750 0x0194  [ A2D868AEEFF612E70E213C451A70CAFB, 25CBB9E26CDCBD8E221ACF4364E82E8F811C3144E0EEF9DF9DAEC8534243BD3B ] serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
18:43:42.0859 0x0194  serenum - ok
18:43:42.0875 0x0194  [ CD5B9995AFCDB466C9EFC048D167E3BE, C80F17BA17ACA8BCCE7C4230C2F076972254813FFFB9A0B71610EB7182D9F9FD ] Serial          C:\WINDOWS\system32\DRIVERS\serial.sys
18:43:42.0984 0x0194  Serial - ok
18:43:43.0000 0x0194  [ 0D13B6DF6E9E101013A7AFB0CE629FE0, 2214EA0F16BB33970E299CE457EB50AEE0BEF7959BC1EBD3C06C78A46B42B808 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
18:43:43.0125 0x0194  Sfloppy - ok
18:43:43.0156 0x0194  [ 0B1A5E9CACB5CDD54A2815107BD7C772, 0561D083BDB02177BEE3A6A87C2B71962B13F45127A59E65899B1144F14F6329 ] sfman           C:\WINDOWS\system32\drivers\sfmanm.sys
18:43:43.0250 0x0194  sfman - ok
18:43:43.0312 0x0194  [ 9245420422E409A25C1410ACB4244060, 62523AA3B99CD20CABBC843744AD95A200959BAE3C485B75B9EABC71C57E8DD2 ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
18:43:43.0437 0x0194  SharedAccess - ok
18:43:43.0468 0x0194  [ BAC5F7F0C2B8C1B9832594851E0F9914, D6FAFCBF2219D7DD43F8692C1A6C45133E4636B2FEB7F5162CF01D2A62C48F0D ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
18:43:43.0562 0x0194  ShellHWDetection - ok
18:43:43.0593 0x0194  Simbad - ok
18:43:43.0609 0x0194  Sparrow - ok
18:43:43.0640 0x0194  [ 8E186B8F23295D1E42C573B82B80D548, C418568C2071E2761CD26F736443BD7BF9C6914D47D171A5AC990278E855A74F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
18:43:43.0750 0x0194  splitter - ok
18:43:43.0765 0x0194  [ 54E7113A4BD696E430919BCAF5C65E06, 7B864C5311DED8FA7A67755F6D2CC1E19040D468ED6D1F5382C217572F975985 ] Spooler         C:\WINDOWS\system32\spoolsv.exe
18:43:43.0890 0x0194  Spooler - ok
18:43:43.0937 0x0194  [ E4200CB2F418D8FC4ACDD7E38C419D6A, 9F910E3C1E91FC13DD09F8791E98CEC11C17BEF8D7169483E8CA6FEC832CB8C4 ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
18:43:44.0000 0x0194  sr - ok
18:43:44.0046 0x0194  [ 015F302C4CF961F20C3F98F3A7CA7917, E82996C372D3E4E25D9B622C6D79B60BFDAE1DABD251C1174E080FB74B92C083 ] srservice       C:\WINDOWS\system32\srsvc.dll
18:43:44.0109 0x0194  srservice - ok
18:43:44.0140 0x0194  [ 20B7E396720353E4117D64D9DCB926CA, 55E35EBA5792DC42BE2F10A4FAD4BE5721C05C134C153E37AC4D5E68982DED6C ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
18:43:44.0250 0x0194  Srv - ok
18:43:44.0296 0x0194  [ 6FA03B462B2FFFE2627171B7FE73EE29, 8B5614500B1DC6DD077B5F47738DDAA1C8E88C3CCA049622B7FE548DB6A1EE0B ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
18:43:44.0359 0x0194  SSDPSRV - ok
18:43:44.0437 0x0194  [ 7E751068ADA60FC77638622E86A7CD9E, CA841427E8C83E7E98D978D57EC23891171B0DC72050DE1C890D5877236332BF ] stisvc          C:\WINDOWS\system32\wiaservc.dll
18:43:44.0546 0x0194  stisvc - ok
18:43:44.0578 0x0194  [ 03C1BAE4766E2450219D20B993D6E046, 0D8E5B141EAA9E2C8D1F8BFD522F57EE8074216A336CBE37FE77B8ADDB791DBE ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
18:43:44.0671 0x0194  swenum - ok
18:43:44.0703 0x0194  [ 94ABC808FC4B6D7D2BBF42B85E25BB4D, EEF6DB9EDD8C273A6595675A7A12B9D440FA4E178BA7C69FB1942D97E291F989 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
18:43:44.0796 0x0194  swmidi - ok
18:43:44.0812 0x0194  SwPrv - ok
18:43:44.0843 0x0194  symc810 - ok
18:43:44.0875 0x0194  symc8xx - ok
18:43:44.0890 0x0194  sym_hi - ok
18:43:44.0921 0x0194  sym_u3 - ok

Schritt 2 Teil 4

Code:

ATTFilter

18:43:44.0953 0x0194  [ 650AD082D46BAC0E64C9C0E0928492FD, 6A587A55418A3A7867602D92B99FE393152DED191F27992C4BA909BD268AC43C ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
18:43:45.0046 0x0194  sysaudio - ok
18:43:45.0093 0x0194  [ 6D0C43DF9D3A7C5A9B4F94772CBD5DDC, 23CC1826F15748A4F6A38979F18CED3DE299BB3973C10CD4DACBFD1C7BF6030C ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
18:43:45.0203 0x0194  SysmonLog - ok
18:43:45.0265 0x0194  [ 4584E2A5FE662AB3E7C32936E1449043, 2EB2E9565D06C524409F5DCFE4CB46DB1D11EF5E1C7C21BAEFCB577CF220AA1C ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
18:43:45.0375 0x0194  TapiSrv - ok
18:43:45.0421 0x0194  [ 9F4B36614A0FC234525BA224957DE55C, 56766EF576479367C29B2EE16CF232EDE2569CEB0A72BF8E38FBABC9BF7C1BEC ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
18:43:45.0531 0x0194  Tcpip - ok
18:43:45.0562 0x0194  [ 38D437CF2D98965F239B0ABCD66DCB0F, CC497A25C7AC1FF1E07CEE25FB0C5A5E6C4005C1CB244601FE620884A5C26506 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
18:43:45.0671 0x0194  TDPIPE - ok
18:43:45.0703 0x0194  [ ED0580AF02502D00AD8C4C066B156BE9, 41AA6C88CF48CAF0DA8E374F37E74206E4F558332075304A28983D04E08B3154 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
18:43:45.0828 0x0194  TDTCP - ok
18:43:45.0859 0x0194  [ A540A99C281D933F3D69D55E48727F47, CC430FA0E0F1745E167877003FDCC35FE940AF8CAD05387ECBA880CC3A3F6709 ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
18:43:45.0953 0x0194  TermDD - ok
18:43:45.0984 0x0194  [ 1850BC10DE5DCCCEDE063FC2D0F2CEDA, 1EF2C45FCD1EAAC431D1079BCFC6D3DA7756ECA9BDA1B26BADD2E8E101F1EB2F ] TermService     C:\WINDOWS\System32\termsrv.dll
18:43:46.0109 0x0194  TermService - ok
18:43:46.0156 0x0194  [ BAC5F7F0C2B8C1B9832594851E0F9914, D6FAFCBF2219D7DD43F8692C1A6C45133E4636B2FEB7F5162CF01D2A62C48F0D ] Themes          C:\WINDOWS\System32\shsvcs.dll
18:43:46.0250 0x0194  Themes - ok
18:43:46.0265 0x0194  TosIde - ok
18:43:46.0312 0x0194  [ A34E894201D66E380E1FA96FE11B587E, 1A6A39492FCE3F63FB422F4C6C525B8DE39C38D8AD220E23D1194FD9B31C9B6F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
18:43:46.0437 0x0194  TrkWks - ok
18:43:46.0500 0x0194  [ 12F70256F140CD7D52C58C7048FDE657, F2E3E645AA713A520452F5E17513D258D3900E93F65013551FC2B542BFA15BB3 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
18:43:46.0609 0x0194  Udfs - ok
18:43:46.0625 0x0194  ultra - ok
18:43:46.0656 0x0194  [ AFF2E5045961BBC0A602BB6F95EB1345, FEEF47B9683B0F26355AC0947019DE9AE27002A7019C1C4A2D22FA0046E9F07B ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
18:43:46.0765 0x0194  Update - ok
18:43:46.0812 0x0194  [ 09D4A2D7C5A8ABEC227D118765FAADDF, D69A5DA995D85EB2BB167D378E568A67C35F6EC69EB63E1DB6A08E4EF3B714A6 ] upnphost        C:\WINDOWS\System32\upnphost.dll
18:43:46.0890 0x0194  upnphost - ok
18:43:46.0906 0x0194  [ A99F867E76CFDAA28EE305B93F70E84F, 410063EE60AE2322633A3E1169896405D6892A1623EF4E89113A0A6F8A191991 ] UPS             C:\WINDOWS\System32\ups.exe
18:43:47.0000 0x0194  UPS - ok
18:43:47.0031 0x0194  [ BFFD9F120CC63BCBAA3D840F3EEF9F79, 0183D82E341473200FB1A05F6ABBBA3F2BD635654F49599E4CEB3E6394A33D36 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
18:43:47.0140 0x0194  usbccgp - ok
18:43:47.0171 0x0194  [ 15E993BA2F6946B2BFBBFCD30398621E, 10AD5B133C9C68B8E11DF702C50BDE5162693C5A9F132DFE1823D03D70D4EB89 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
18:43:47.0265 0x0194  usbehci - ok
18:43:47.0281 0x0194  [ C72F40947F92CEA56A8FB532EDF025F1, EBB9E235C973574B835B1FD22D813E9215029B3FC5030591D6F7971C9A23AEF7 ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
18:43:47.0390 0x0194  usbhub - ok
18:43:47.0437 0x0194  [ 6CD7B22193718F1D17A47A1CD6D37E75, CFD74FE06819DA488654F88BFCCBF29994FE7F04EC6CD5CD41552B0C95A8130F ] USBSTOR         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
18:43:47.0546 0x0194  USBSTOR - ok
18:43:47.0578 0x0194  [ F8FD1400092E23C8F2F31406EF06167B, AE93C83BA1966535AFA3E72D6F69156B7E56F021A6808EC8DA44C7E7D506D7E5 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
18:43:47.0687 0x0194  usbuhci - ok
18:43:47.0703 0x0194  [ 8A60EDD72B4EA5AEA8202DAF0E427925, ED0624B285E4F64E07E30C12490873A2090F9DFD6A91A2EDA7A1082B88A8199E ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
18:43:47.0796 0x0194  VgaSave - ok
18:43:47.0812 0x0194  ViaIde - ok
18:43:47.0859 0x0194  [ D6888520FF56D72A50437E371CA25FC9, 54B7E24E750A2E0CE1AD6ADAB69C9CF19F7A9FD774A9D96A255C9D47AB0642B4 ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
18:43:47.0953 0x0194  VolSnap - ok
18:43:48.0000 0x0194  [ 6635ECBF0D8090DC3A452D0D072B5D5B, 4FC0E170AF3E9999F0818E8CDDC4CD51073638CC915E191E3BBFB4D5AEC29563 ] VSS             C:\WINDOWS\System32\vssvc.exe
18:43:48.0062 0x0194  VSS - ok
18:43:48.0125 0x0194  [ C6D874CD2A5B83CD11CDEBD28A638584, C38969D6F648EB03565F4A505F7E15EBF8D6A0564757E4DA7C6397CBF79FFA8A ] W32Time         C:\WINDOWS\system32\w32time.dll
18:43:48.0234 0x0194  W32Time - ok
18:43:48.0281 0x0194  [ 984EF0B9788ABF89974CFED4BFBAACBC, 8178888E3A1AA3BD3BE34456118BB76AF2DD04EC575E4880F97A8EFB182C9E92 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
18:43:48.0375 0x0194  Wanarp - ok
18:43:48.0390 0x0194  WDICA - ok
18:43:48.0437 0x0194  [ 2797F33EBF50466020C430EE4F037933, F134F8C091D944880714E4D193D2753BE4F1C18757D5274A892195C4EC9C4D08 ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
18:43:48.0531 0x0194  wdmaud - ok
18:43:48.0562 0x0194  [ 1EB51FEEA9D3208EAE60604F4346C02E, E640B59C287882CE7404C90855D5B2A116C2DAD520475AB11A535BF47BB1521C ] WebClient       C:\WINDOWS\System32\webclnt.dll
18:43:48.0671 0x0194  WebClient - ok
18:43:48.0750 0x0194  [ DA2DADB42916E59C6E4BBA593BCCDA73, E86B7C169ABC78F23D7D4BC5705E9861BE4840DF7064C08B8460B16179D8DF6C ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
18:43:48.0875 0x0194  winmgmt - ok
18:43:48.0953 0x0194  [ D68CC4EBF7B03FD770D5962295AD814E, AD75680910C638C7733FFE24E1600B548C958F90D5781131D65811069EB1E884 ] WmdmPmSN        C:\WINDOWS\system32\mspmsnsv.dll
18:43:49.0046 0x0194  WmdmPmSN - ok
18:43:49.0109 0x0194  [ 042A78FCD1ADFB0FBA9865D55C6F5CC1, 1BB88E17059B9DA690480BDEDBB236BCB1CD7C45BEEB81607FD564B545A4AC04 ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
18:43:49.0218 0x0194  WmiApSrv - ok
18:43:49.0281 0x0194  [ BD3561AAE748150CF51C2CA876449EA7, 19A088627E763080074F5323B0EE2F9778B27D24685312EF0C33B8091588F767 ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
18:43:49.0390 0x0194  wscsvc - ok
18:43:49.0437 0x0194  [ 1EDDD5C0ECF3FA6EDFD8A25B2B4E7DF6, C43900F2EC0843C6017A99BCE6B057FBD463587D15532F4E4D8DB514A5AE99C7 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
18:43:49.0531 0x0194  wuauserv - ok
18:43:49.0609 0x0194  [ AE83ADA96575DACF533C2BCB1FC163DC, 6DCE7BC30E62E5EE2345D3F0175786C272C878974AE08862C524FEAFAA1CAF9F ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
18:43:49.0718 0x0194  WZCSVC - ok
18:43:49.0750 0x0194  [ 8302DE1C64618D72346DD0034DBC5D9B, D5CBD3058BD6C0F282928BEC993C741028DB72FF51562B5E7DE70EF71BF67E2F ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
18:43:49.0859 0x0194  xmlprov - ok
18:43:49.0906 0x0194  ================ Scan global ===============================
18:43:49.0937 0x0194  [ 1B91BAC6996731EE8925F58205DCB016, EF70A2F227F8D1837B1253DB8BB24DFEC5BF4A425A51A11473A831B2E6DE3915 ] C:\WINDOWS\system32\basesrv.dll
18:43:49.0953 0x0194  [ 6D4006EF6E45030BCA14CBFE8893E9B9, 5C10FB372611D03198DE06106D45DDAEB5CE59C6B69712F193016E3DE35DB60E ] C:\WINDOWS\system32\winsrv.dll
18:43:49.0984 0x0194  [ 6D4006EF6E45030BCA14CBFE8893E9B9, 5C10FB372611D03198DE06106D45DDAEB5CE59C6B69712F193016E3DE35DB60E ] C:\WINDOWS\system32\winsrv.dll
18:43:50.0000 0x0194  [ EDB6B81761BD60F32F740BBC40AFB676, 476A78E456E515BBF8232994D69DE68AD33C22491D89547FB0D94CCF42F4BC96 ] C:\WINDOWS\system32\services.exe
18:43:50.0015 0x0194  [ Global ] - ok
18:43:50.0015 0x0194  ================ Scan MBR ==================================
18:43:50.0046 0x0194  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
18:43:50.0250 0x0194  \Device\Harddisk0\DR0 - ok
18:43:50.0265 0x0194  ================ Scan VBR ==================================
18:43:50.0265 0x0194  [ 2D0A3FA386E175474D5D3E56A793AF94 ] \Device\Harddisk0\DR0\Partition1
18:43:50.0281 0x0194  \Device\Harddisk0\DR0\Partition1 - ok
18:43:50.0281 0x0194  ================ Scan generic autorun ======================
18:43:50.0390 0x0194  [ C0BC09A8A37C238A6919AC3CE4F6CEE7, C7BAFC3AA4B23CFC849C24712BAD94CD81E7CE217186E1A0675AF9ABD0067720 ] C:\Programme\avmwlanstick\wlangui.exe
18:43:50.0531 0x0194  AVMWlanClient - detected UnsignedFile.Multi.Generic ( 1 )
18:43:53.0265 0x0194  Detect skipped due to KSN trusted
18:43:53.0265 0x0194  AVMWlanClient - ok
18:43:53.0296 0x0194  [ DFCB2B68BCB2638E5136F2256B901685, 6F46A7EAA1E947C98DE888A60619A808FE5168E82E1C46C33EA57F5F44A14465 ] C:\Programme\AVG\AVG2015\avuirunnerx.exe
18:43:53.0312 0x0194  AVG_UI - ok
18:43:53.0343 0x0194  [ DB20FCE248D269E1C396E70A91E587C8, 0C4CC3AA6FF85514E2E686955FF588AACC779849E0329735023F4643CD2A3775 ] C:\Programme\Creative\DVDAudio\CTDVDDET.EXE
18:43:53.0375 0x0194  CTDVDDET - detected UnsignedFile.Multi.Generic ( 1 )
18:43:55.0906 0x0194  Detect skipped due to KSN trusted
18:43:55.0906 0x0194  CTDVDDET - ok
18:43:55.0984 0x0194  [ 1EF419857BB8A496004C087C30F86822, F712CEF9064E96863EFD893CD1FAEF03AC25E98E44E849EE5E516FC9B72C01DD ] C:\Programme\kX Audio Driver\3550\kxmixer.exe
18:43:56.0015 0x0194  kX Mixer - ok
18:43:56.0046 0x0194  [ 9EE38B5AF893D1CC8955B6BCDF5E758D, 5C61231061FFF5176F992CFA23ECA76339F69F6F6ABEBE29B8B86DB3CE580AC2 ] C:\WINDOWS\system32\CTHELPER.EXE
18:43:56.0062 0x0194  CTHelper - detected UnsignedFile.Multi.Generic ( 1 )
18:43:58.0562 0x0194  Detect skipped due to KSN trusted
18:43:58.0562 0x0194  CTHelper - ok
18:43:58.0593 0x0194  [ 7CE20569925DF6789C31799F0C538F29, 33CAEF63448438337A4E9D16EA6D6BDB9027BE4C635EB5615BB2C071D4323183 ] C:\WINDOWS\system32\CTFMON.EXE
18:43:58.0703 0x0194  CTFMON.EXE - ok
18:43:58.0718 0x0194  [ 7CE20569925DF6789C31799F0C538F29, 33CAEF63448438337A4E9D16EA6D6BDB9027BE4C635EB5615BB2C071D4323183 ] C:\WINDOWS\system32\CTFMON.EXE
18:43:58.0812 0x0194  CTFMON.EXE - ok
18:43:58.0828 0x0194  [ 7CE20569925DF6789C31799F0C538F29, 33CAEF63448438337A4E9D16EA6D6BDB9027BE4C635EB5615BB2C071D4323183 ] C:\WINDOWS\system32\ctfmon.exe
18:43:58.0953 0x0194  CTFMON.EXE - ok
18:43:59.0015 0x0194  [ 06FAA58219BF8B6D1BC25C2783763E11, 1BC470250A55A9AACF02EA7B024C65DCEA4B167DA2E0C37376C2D989820FE4BC ] C:\Programme\Google\Chrome\Application\chrome.exe
18:43:59.0078 0x0194  GoogleChromeAutoLaunch_A007504250F59CF76C8D7E70D3433F09 - ok
18:43:59.0093 0x0194  Waiting for KSN requests completion. In queue: 6
18:44:00.0093 0x0194  Waiting for KSN requests completion. In queue: 6
18:44:01.0093 0x0194  Waiting for KSN requests completion. In queue: 4
18:44:02.0125 0x0194  AV detected via SS1: AVG AntiVirus Free Edition 2015, 2015.0, enabled, updated
18:44:02.0140 0x0194  Win FW state via NFM: enabled
18:44:16.0906 0x0194  ============================================================
18:44:16.0906 0x0194  Scan finished
18:44:16.0906 0x0194  ============================================================
18:44:16.0937 0x0360  Detected object count: 0
18:44:16.0937 0x0360  Actual detected object count: 0
18:44:34.0421 0x036c  Deinitialize success

M-K-D-B · 20.04.2016, 18:22

Servus,

ich sehe auch hier keinen Zbot.

Windows XP-Rechner, dazu nur mit SP2 werden nicht mehr bereinigt.

Lesestoff:
Windows XP

Auf deinem Rechner läuft noch Windows XP. Microsoft hat dieses Betriebssystem bereits 2001 veröffentlicht und stellte den Support endgültig seit April 2014 ein, d.h. ab Mai 2014 gibt es keine weiteren Updates mehr und danach gefundene Lücken werden nicht mehr durch Updates/Hotfixes geschlossen werden.

Mit Windows XP nach April 2014 zu surfen ist damit ein großes Sicherheitsrisiko. Du solltest dir jetzt unbedingt Gedanken machen, möglichst schnell auf ein aktuelleres Betriebssystem umzusteigen.

Dann ist die Schadsoftware wohl auf einem Mobilgerät.

Arina666 · 20.04.2016, 18:35

Hallo,

Ah ok. Und man ist sich Sicher, das auf diesem Rechner kein Zbot ist?

Da dieser Rechner sehr selten verwendet wird, vielleicht alle 3 Monate, wenn überhaupt, werden wir kein Upgrade dafür veranlassen

Gibt es denn Möglichkeiten dies auf dem Mobilgerät nachzuvollziehen?

Lg

M-K-D-B · 21.04.2016, 13:35

Servus,

in den Logdateien ist kein Zbot zu sehen, nur unerwünschte Software.

hier in diesem Unterforum kümmern wir uns nur um Windows-Rechner.

Um Mobilgeräte geht es hier.

17.04.2016, 11:16	#7
M-K-D-B /// TB-Ausbilder	Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Servus, ok, dann warte ich auf die restlichen Logdateien.

21.04.2016, 13:35	#15
M-K-D-B /// TB-Ausbilder	Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Servus, in den Logdateien ist kein Zbot zu sehen, nur unerwünschte Software. hier in diesem Unterforum kümmern wir uns nur um Windows-Rechner. Um Mobilgeräte geht es hier.

Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben

Log-Analyse und Auswertung: Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben