Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner o.ä. legt neue Dateien / Ordner an

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.03.2017, 11:45   #1
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Hallo,

folgendes Problem:
Auf einem System werden neue Ordner und Dateien angelegt.

Systematik ist die folgende:
ProgramData\yyyyy-3\yyyyy-8.exe
AppData\xxxx-7\xxxx-1.exe

PS: Das System wird gewerblich genutzt wir würden etwas spenden wenn das ok ist?

MBAM und Emsisoft haben nichts erkannt.
Mit autoruns, Process Explorer und TCP View können wir nichts verdächtiges erkennen.

Das System läuft normal allerdings macht uns das hier natürlich Sorgen:

Log Datei Super Antispyware
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/01/2017 at 11:32 AM

Application Version : 6.0.1236
Database Version : 13434

Scan type       : Complete Scan
Total Scan Time : 00:17:18

Operating System Information
Windows Server 2012 R2 Server Foundation 64-bit (Build 6.03.9600)
UAC Off - Administrator

Memory items scanned      : 744
Memory threats detected   : 0
Registry items scanned    : 80079
Registry threats detected : 2
File items scanned        : 21080
File threats detected     : 381

Malware.Trace
	(x86) HKU\S-1-5-21-3954875723-4184682206-2779362523-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON#SHELL
	(x86) HKU\S-1-5-21-3954875723-4184682206-2779362523-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03012017111451296\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON#SHELL

Adware.Tracking Cookie
         
Was passiert eurer Meinung nach, wenn wir die Datei löschen? Bootet Windows noch?

Analyse einer Datei mit virustotal.com:
https://www.virustotal.com/de/file/80c5872151c6f590052fe2d21abbb22a1facddfc0d2c9e9d3f0ffdd563c344ef/analysis/1488450551/

Kennt jemand diesen Schädling und weiß was er anrichtet?

Vielen Dank im voraus!

Alt 02.03.2017, 12:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)




Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 02.03.2017, 13:11   #3
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an




FRST Logfile:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-03-2017
durchgeführt von Administrator (Administrator) auf HVSERV (02-03-2017 12:34:28)
Gestartet von C:\Users\Administrator\Downloads
Geladene Profile: Administrator (Verfügbare Profile: G. & J. & Büro & Administrator)
Platform: Windows Server 2012 R2 Foundation (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(Remote Monitoring) C:\Program Files (x86)\Advanced Monitoring Agent\winagent.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvcUpdater.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
(Bitdefender) C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\endpointintegration.exe
(Bitdefender) C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\endpointservice.exe
(Bitdefender) C:\Program Files\Common Files\Managed Antivirus\Endpoint Agent\epag.exe
(GFI Software Development Ltd.) C:\Program Files (x86)\Advanced Monitoring Agent\patchman\lnssatt.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Microsoft Corporation) C:\Windows\System32\silsvc.exe
(Bitdefender) C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\updateservice.exe
() C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\fmplugin.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupTSHelper.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorDataMgrSvc.exe
(LogicNow Ltd) C:\Program Files\Managed Antivirus\Managed Antivirus Master Service\ManagedAntivirus.exe
(LogicNow Ltd) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
(Bitdefender) C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\console.exe
(IvoSoft) C:\Program Files\Classic Shell\ClassicStartMenu.exe
(SUPERAntiSpyware) C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorIcon.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfg.exe
(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Classic Start Menu] => C:\Program Files\Classic Shell\ClassicStartMenu.exe [163800 2016-07-30] (IvoSoft)
HKLM-x32\...\Run: [IAStorIcon] => C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorIcon.exe [280064 2014-04-24] (Intel Corporation)
HKLM-x32\...\Run: [BASupSrvcCnfg_LOGICnow] => C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfg.exe [4937408 2017-01-31] (Solarwinds MSP)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de)
HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKU\S-1-5-21-3954875723-4184682206-2779362523-500\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7946144 2017-02-06] (SUPERAntiSpyware)
Lsa: [Notification Packages] rassfm scecli
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zahlungserinnerung.lnk [2017-01-25]
ShortcutTarget: Zahlungserinnerung.lnk -> C:\Profi cash\wzed.exe ()
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ammeter-8.lnk [2017-03-02]
ShortcutTarget: ammeter-8.lnk -> C:\Users\Administrator\AppData\Roaming\ammeter-02\ammeter-69.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\brownout-7.lnk [2017-02-17]
ShortcutTarget: brownout-7.lnk -> C:\Users\Administrator\AppData\Roaming\brownout-8\brownout-43.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faraday-2.lnk [2017-01-25]
ShortcutTarget: faraday-2.lnk -> C:\Users\Administrator\AppData\Roaming\faraday-31\faraday-71.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\homeplug-5.lnk [2017-01-27]
ShortcutTarget: homeplug-5.lnk -> C:\Users\Administrator\AppData\Roaming\homeplug-0\homeplug-99.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\light-1.lnk [2017-02-22]
ShortcutTarget: light-1.lnk -> C:\Users\Administrator\AppData\Roaming\light-25\light-4.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\profibus-16.lnk [2017-03-01]
ShortcutTarget: profibus-16.lnk -> C:\Users\Administrator\AppData\Roaming\profibus-6\profibus-2.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sepic-4.lnk [2017-01-19]
ShortcutTarget: sepic-4.lnk -> C:\Users\Administrator\AppData\Roaming\sepic-9\sepic-5.exe (Keine Datei)
Startup: C:\Users\G.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ultra160-8.lnk [2017-01-22]
ShortcutTarget: ultra160-8.lnk -> C:\Users\Administrator\AppData\Roaming\ultra160-3\ultra160-34.exe (Keine Datei)
BootExecute: autocheck autochk /q /v * 
GroupPolicy: Beschränkung <======= ACHTUNG
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG
GroupPolicyScripts\User: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\..\Interfaces\{3CE880A5-B27D-4655-A431-5EB45AB549F0}: [NameServer] 192.168.0.1
Tcpip\..\Interfaces\{452B5F2E-4B93-4E2D-BDF8-6EC3B6937BBD}: [DhcpNameServer] 192.168.0.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-3954875723-4184682206-2779362523-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
BHO-x32: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files (x86)\Microsoft Office\Office16\GROOVEEX.DLL [2015-07-31] (Microsoft Corporation)
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler-x32: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler-x32: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)

FireFox:
========
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-16] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-16] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-12-23] (Adobe Systems Inc.)

Chrome: 
=======
CHR DefaultProfile: Default
CHR DefaultSearchURL: Default -> hxxp://fritz.box/favicon.ico
CHR Profile: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default [2017-03-02]
CHR Extension: (Google Präsentationen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-12-17]
CHR Extension: (Google Docs) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-17]
CHR Extension: (Google Drive) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-17]
CHR Extension: (YouTube) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-17]
CHR Extension: (Adblock Plus) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-23]
CHR Extension: (Google-Suche) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-17]
CHR Extension: (FB6490) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\eadfnepaifpfnkcieaoaigffcmobeeci [2016-08-11]
CHR Extension: (Google Tabellen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-12-17]
CHR Extension: (Google Docs Offline) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-06]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-23]
CHR Extension: (Google Mail) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-17]
CHR Extension: (Chrome Media Router) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-23]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

"silsvc" => Dienst konnte nicht entsperrt werden. <===== ACHTUNG

R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2017-01-31] (SUPERAntiSpyware.com)
R2 Advanced Monitoring Agent; C:\Program Files (x86)\Advanced Monitoring Agent\winagent.exe [8869888 2016-11-09] (Remote Monitoring)
R2 BASupportExpressSrvcUpdater_LOGICnow; C:\Program Files (x86)\Take Control Agent\BASupSrvcUpdater.exe [1106112 2017-01-31] (Solarwinds MSP)
R2 BASupportExpressStandaloneService_LOGICnow; C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe [3842240 2017-01-31] (Solarwinds MSP)
R2 EndpointIntegration; C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\EndpointIntegration.exe [411576 2017-01-25] (Bitdefender)
R2 EndpointService; C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\EndpointService.exe [411576 2017-01-25] (Bitdefender)
R2 epag; C:\Program Files\Common Files\Managed Antivirus\Endpoint Agent\epag.exe [3826728 2017-01-25] (Bitdefender)
R2 gfi_lanss11_attservice; C:\Program Files (x86)\Advanced Monitoring Agent\patchman\lnssatt.exe [167024 2015-01-30] (GFI Software Development Ltd.)
R2 IAStorDataMgrSvc; C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorDataMgrSvc.exe [7168 2014-04-24] (Intel Corporation) [Datei ist nicht signiert]
S3 KPSSVC; C:\Windows\system32\kpssvc.dll [173056 2013-08-22] (Microsoft Corporation)
R2 ManagedAntivirus; C:\Program Files\Managed Antivirus\Managed Antivirus Master Service\ManagedAntivirus.exe [364696 2017-01-17] (LogicNow Ltd)
R2 NetworkManagement; C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe [281240 2016-09-07] (LogicNow Ltd)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [85504 2013-08-22] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\SysWOW64\RSoPProv.exe [76288 2013-08-22] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [15872 2013-08-22] (Microsoft Corporation)
R2 UALSVC; C:\Windows\System32\ualsvc.dll [249344 2014-11-20] (Microsoft Corporation)
R2 UpdateService; C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\UpdateService.exe [411576 2017-01-25] (Bitdefender)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 ASTGRP; C:\Windows\system32\DRIVERS\astkmd.sys [88064 2013-09-05] (ASPEED Technology Inc.)
R0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1603264 2017-01-25] (BitDefender)
R3 avckf; C:\Windows\System32\DRIVERS\avckf.sys [850464 2017-01-25] (BitDefender)
S0 BDElam; C:\Windows\System32\drivers\bdelam.sys [23568 2013-09-08] (Bitdefender)
S0 bfadfcoei; C:\Windows\System32\drivers\bfadfcoei.sys [2265440 2013-08-22] (Brocade Communications Systems, Inc.)
S0 bfadi; C:\Windows\System32\drivers\bfadi.sys [2265440 2013-08-22] (Brocade Communications Systems, Inc.)
S0 bxfcoe; C:\Windows\System32\drivers\bxfcoe.sys [187744 2013-08-22] (Broadcom Corporation)
S0 bxois; C:\Windows\System32\drivers\bxois.sys [560480 2013-08-22] (Broadcom Corporation)
R3 e1rexpress; C:\Windows\system32\DRIVERS\e1r64x64.sys [458520 2014-03-11] (Intel Corporation)
S0 elxfcoe; C:\Windows\System32\drivers\elxfcoe.sys [712032 2013-08-22] (Emulex)
R0 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [182936 2017-01-25] (BitDefender LLC)
S3 HyperVideo; C:\Windows\system32\DRIVERS\HyperVideo.sys [22016 2013-08-22] (Microsoft Corporation) [Datei ist nicht signiert]
R2 inpoutx64; C:\Windows\System32\Drivers\inpoutx64.sys [15008 2015-11-17] (Highresolution Enterprises [www.highrez.co.uk])
S3 MsLbfoProvider; C:\Windows\system32\DRIVERS\MsLbfoProvider.sys [115712 2014-11-20] (Microsoft Corporation)
S3 netvsc; C:\Windows\system32\DRIVERS\netvsc63.sys [87040 2013-08-22] (Microsoft Corporation) [Datei ist nicht signiert]
S0 ql2300i; C:\Windows\System32\drivers\ql2300i.sys [1508704 2013-08-22] (QLogic Corporation)
S0 ql40xx2i; C:\Windows\System32\drivers\ql40xx2i.sys [475488 2013-08-22] (QLogic Corporation)
S0 qlfcoei; C:\Windows\System32\drivers\qlfcoei.sys [1300320 2013-08-22] (QLogic Corporation)
S0 sacdrv; C:\Windows\System32\DRIVERS\sacdrv.sys [94048 2013-08-22] (Microsoft Corporation)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S3 smbdirect; C:\Windows\System32\DRIVERS\smbdirect.sys [145920 2014-11-20] (Microsoft Corporation)
R2 trufos; C:\Windows\System32\DRIVERS\trufos.sys [520032 2017-01-25] (BitDefender S.R.L.)
S3 WinNat; C:\Windows\System32\drivers\winnat.sys [177152 2014-11-20] (Microsoft Corporation)
S3 wtlmdrv; C:\Windows\System32\drivers\wtlmdrv.sys [31232 2013-08-22] (Microsoft Corporation)
S3 cpuz138; \??\C:\Users\ADMINI~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] <==== ACHTUNG
R5 silsvc;  <===== ACHTUNG: Gesperrter Dienst

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

NETSVC: sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)

==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-03-02 12:34 - 2017-03-02 12:34 - 00017580 _____ C:\Users\Administrator\Downloads\FRST.txt
2017-03-02 12:34 - 2017-03-02 12:34 - 00000000 ____D C:\FRST
2017-03-02 12:32 - 2017-03-02 12:32 - 02423808 _____ (Farbar) C:\Users\Administrator\Downloads\FRST64.exe
2017-03-02 11:00 - 2017-03-02 11:00 - 02710688 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\procexp.exe
2017-03-02 11:00 - 2017-03-02 11:00 - 00300832 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\Tcpview.exe
2017-03-02 10:59 - 2017-03-02 10:59 - 00716456 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\autoruns.exe
2017-03-02 10:26 - 2017-03-02 10:26 - 00000000 ____D C:\ProgramData\cable-00
2017-03-02 10:22 - 2017-03-02 10:22 - 00000000 ____D C:\ProgramData\kelvin-5
2017-03-02 09:47 - 2017-03-02 09:47 - 00000000 ____D C:\Users\G.\AppData\Roaming\ammeter-02
2017-03-02 09:47 - 2017-03-02 09:47 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\D727.tmp
2017-03-02 09:45 - 2017-03-02 09:45 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\9034.tmp
2017-03-02 09:43 - 2017-03-02 09:43 - 00000000 ____D C:\Users\G.\AppData\Roaming\robotics-7
2017-03-02 09:43 - 2017-03-02 09:43 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\F7E.tmp
2017-03-02 09:40 - 2017-03-02 11:58 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\34
2017-03-02 09:40 - 2017-03-02 09:40 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\AE1D.tmp
2017-03-01 20:14 - 2017-03-01 20:26 - 00027658 _____ C:\Users\G.\Documents\2017 Zählerstandsliste HV Benutzer.xlsx
2017-03-01 15:59 - 2017-03-01 15:59 - 00000000 ____D C:\Users\G.\AppData\Roaming\profibus-6
2017-03-01 15:56 - 2017-03-01 15:56 - 00000000 ____D C:\ProgramData\kelvin-89
2017-03-01 11:26 - 2017-03-02 02:15 - 00000000 ____D C:\Users\G.\AppData\Roaming\robotics-99
2017-03-01 11:15 - 2017-03-01 13:05 - 00000000 ____D C:\ProgramData\Emsisoft
2017-03-01 11:08 - 2017-03-02 11:08 - 00000558 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6.job
2017-03-01 11:08 - 2017-03-02 02:00 - 00000558 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8.job
2017-03-01 11:08 - 2017-03-01 11:08 - 00003646 _____ C:\Windows\System32\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8
2017-03-01 11:08 - 2017-03-01 11:08 - 00003564 _____ C:\Windows\System32\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6
2017-03-01 11:08 - 2017-03-01 11:08 - 00001826 _____ C:\Users\Administrator\Desktop\SUPERAntiSpyware Free Edition.lnk
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\SUPERAntiSpyware.com
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
2017-03-01 11:07 - 2017-03-01 11:07 - 29397864 _____ (SUPERAntiSpyware) C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe
2017-03-01 11:07 - 2017-03-01 11:07 - 246730992 _____ (Emsisoft Ltd. ) C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe
2017-03-01 11:05 - 2017-03-01 11:05 - 55566792 _____ (Malwarebytes ) C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe
2017-03-01 01:00 - 2017-03-02 02:16 - 00000000 ____D C:\ProgramData\tweak-81
2017-02-27 11:11 - 2017-02-27 11:11 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\33
2017-02-26 14:54 - 2017-02-26 14:54 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\32
2017-02-24 08:59 - 2017-03-02 11:33 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\31
2017-02-24 08:59 - 2017-02-24 08:59 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\30
2017-02-24 07:22 - 2017-03-01 22:17 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\27
2017-02-23 16:22 - 2017-02-23 16:22 - 00693269 _____ C:\Users\Administrator\Downloads\FRITZ.Box 6490 Cable (lgi) 141.06.50_23.02.17_1619.export
2017-02-23 15:28 - 2017-02-23 17:17 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\11
2017-02-23 12:33 - 2017-02-23 22:51 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\23
2017-02-23 11:21 - 2017-02-23 11:21 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\8DD.tmp
2017-02-23 11:19 - 2017-02-23 11:19 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\A7D5.tmp
2017-02-23 11:18 - 2017-02-23 11:18 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\3614.tmp
2017-02-23 11:15 - 2017-02-23 12:18 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\21
2017-02-23 11:15 - 2017-02-23 11:15 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\C0FC.tmp
2017-02-23 10:10 - 2017-02-27 02:15 - 00000000 ____D C:\ProgramData\mxtni-29
2017-02-22 23:29 - 2017-02-27 02:15 - 00000000 ____D C:\Users\G.\AppData\Roaming\vmbus-1
2017-02-22 15:56 - 2017-02-26 02:27 - 00000000 ____D C:\ProgramData\vmebus-8
2017-02-22 11:55 - 2017-02-27 02:15 - 00000000 ____D C:\Users\G.\AppData\Roaming\light-25
2017-02-18 18:24 - 2017-02-23 11:09 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\19
2017-02-18 18:24 - 2017-02-18 18:24 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\A384.tmp
2017-02-18 13:39 - 2017-02-18 13:39 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\7121.tmp
2017-02-18 13:36 - 2017-02-18 13:36 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\EE2E.tmp
2017-02-18 13:33 - 2017-02-18 13:33 - 00000000 _____ C:\Users\G.\AppData\Local\Temp\7454.tmp
2017-02-18 13:32 - 2017-02-25 02:16 - 00000000 ____D C:\ProgramData\infrared-50
2017-02-18 12:45 - 2017-02-20 02:15 - 00000000 ____D C:\ProgramData\doublers-9
2017-02-18 12:42 - 2017-02-25 02:16 - 00000000 ____D C:\ProgramData\infrared-8
2017-02-17 23:09 - 2017-02-17 23:09 - 00000000 ____D C:\Users\G.\AppData\Roaming\brownout-8
2017-02-17 15:56 - 2017-02-23 02:17 - 00000000 ____D C:\Users\G.\AppData\Roaming\floating-7
2017-02-15 16:57 - 2017-03-01 15:18 - 00000000 ____D C:\Users\G.\AppData\LocalLow\Mozilla
2017-02-15 16:57 - 2017-02-15 16:57 - 00001137 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2017-02-15 16:57 - 2017-02-15 16:57 - 00001125 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Users\G.\AppData\Roaming\Mozilla
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2017-02-15 16:55 - 2017-02-15 16:55 - 00245600 _____ C:\Users\G.\Downloads\Firefox Setup Stub 51.0.1.exe
2017-02-14 17:51 - 2017-02-14 17:51 - 00000000 ____D C:\ProgramData\GetSupportService
2017-02-10 14:58 - 2017-02-10 15:52 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\15
2017-02-10 09:56 - 2017-02-10 11:47 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\14
2017-02-09 09:26 - 2017-02-18 13:32 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\7
2017-02-07 21:03 - 2017-02-07 21:15 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\6
2017-02-07 12:55 - 2017-02-07 12:55 - 00011073 _____ C:\Users\G.\Downloads\Ihre Retourenmarke.pdf
2017-01-31 12:20 - 2017-02-02 18:14 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\5

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-03-02 12:34 - 2017-01-23 10:49 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\1
2017-03-02 12:32 - 2016-08-10 11:41 - 00257412 _____ C:\Users\Administrator\AppData\Local\Temp\ArmUI.ini
2017-03-02 12:28 - 2017-01-24 10:48 - 00000000 ____D C:\ProgramData\GetSupportService_LOGICnow
2017-03-02 12:28 - 2015-12-17 13:17 - 00000000 ____D C:\Program Files (x86)\Advanced Monitoring Agent
2017-03-02 12:25 - 2015-12-15 08:54 - 00003596 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-500
2017-03-02 12:20 - 2016-08-11 21:48 - 00000498 __RSH C:\Users\Administrator\ntuser.pol
2017-03-02 12:20 - 2015-12-15 09:24 - 00000000 ____D C:\Users\Administrator
2017-03-02 12:11 - 2014-11-21 04:38 - 00741756 _____ C:\Windows\system32\perfh007.dat
2017-03-02 12:11 - 2014-11-21 04:38 - 00150294 _____ C:\Windows\system32\perfc007.dat
2017-03-02 12:11 - 2014-11-20 20:19 - 01719044 _____ C:\Windows\system32\PerfStringBackup.INI
2017-03-02 12:11 - 2013-08-22 14:36 - 00000000 ____D C:\Windows\Inf
2017-03-02 12:06 - 2013-08-22 15:48 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-03-02 12:06 - 2013-08-22 15:47 - 00512448 _____ C:\Windows\system32\FNTCACHE.DAT
2017-03-02 12:04 - 2013-08-22 14:25 - 00008192 ___SH C:\Windows\system32\config\BBI
2017-03-02 11:58 - 2016-08-12 13:23 - 00000000 ____D C:\Outlook PST
2017-03-02 10:43 - 2016-08-11 20:49 - 00000000 ____D C:\Profi cash
2017-03-02 06:08 - 2015-12-17 13:37 - 00000000 ____D C:\Windows\Patches
2017-03-01 14:03 - 2016-08-10 11:02 - 00003600 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-1005
2017-03-01 14:03 - 2016-01-15 04:28 - 00003600 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-1003
2017-02-28 07:59 - 2015-12-17 21:28 - 00000000 ____D C:\ProgramData\ManagedAntivirus
2017-02-27 20:38 - 2015-12-17 13:56 - 00000000 ____D C:\WM32a
2017-02-27 01:10 - 2015-12-17 13:21 - 00000000 ____D C:\ProgramData\AdvancedMonitoringAgentNetworkManagement
2017-02-24 08:42 - 2017-01-16 09:40 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\28
2017-02-23 12:25 - 2017-01-20 07:18 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\22
2017-02-22 03:07 - 2017-01-23 12:40 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2017-02-21 09:59 - 2016-12-16 18:43 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\20
2017-02-18 17:55 - 2016-12-03 13:04 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\18
2017-02-18 13:53 - 2016-11-30 19:28 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\17
2017-02-17 18:57 - 2016-11-29 16:39 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\16
2017-02-14 17:52 - 2017-01-24 10:47 - 00000000 ____D C:\Program Files (x86)\Take Control Agent
2017-02-09 17:19 - 2016-11-12 12:34 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\13
2017-02-09 12:18 - 2015-12-17 12:40 - 00000000 ____D C:\WM32d
2017-02-08 19:04 - 2017-01-25 10:41 - 00000000 ____D C:\Users\G.\AppData\Local\Temp\12
2017-02-07 21:06 - 2016-08-12 14:35 - 00000000 ____D C:\Users\Büro\Documents\Outlook-Dateien
2017-02-06 22:47 - 2015-12-17 12:17 - 00002173 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2017-02-06 22:47 - 2015-12-17 12:17 - 00002161 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2017-02-05 02:13 - 2017-01-24 17:51 - 00000000 ____D C:\ProgramData\scuzzy-12
2017-02-01 02:17 - 2017-01-23 01:06 - 00000000 ____D C:\ProgramData\infrared-26

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-12-17 21:32 - 2015-12-17 21:32 - 0235234 _____ () C:\ProgramData\1450384251.bdinstall.bin

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Public\VR-IBAN-Konverter.dat


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe FEHLT <==== ACHTUNG
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-02-22 02:29

==================== Ende von FRST.txt ============================
         
--- --- ---

[/CODE]


Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-03-2017
durchgeführt von Administrator (02-03-2017 12:35:34)
Gestartet von C:\Users\Administrator\Downloads
Windows Server 2012 R2 Foundation (X64) (2015-12-15 08:23:55)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3954875723-4184682206-2779362523-500 - Administrator - Enabled) => C:\Users\Administrator
Büro (S-1-5-21-3954875723-4184682206-2779362523-1005 - Limited - Enabled) => C:\Users\Büro
G. (S-1-5-21-3954875723-4184682206-2779362523-1003 - Limited - Enabled) => C:\Users\G.
Gast (S-1-5-21-3954875723-4184682206-2779362523-501 - Limited - Disabled)
J. (S-1-5-21-3954875723-4184682206-2779362523-1004 - Limited - Enabled) => C:\Users\J.

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.023.20070 - Adobe Systems Incorporated)
Advanced Monitoring Agent (HKLM-x32\...\Advanced Monitoring Agent_is1) (Version:  - )
Advanced Monitoring Agent Network Management (HKLM\...\{F88FE7C0-2B64-405B-9197-25F8BE135460}_is1) (Version: 28.0.0.883 - LogicNow, Ltd.)
Classic Shell (HKLM\...\{383BB30A-B4A7-4666-9A83-22CFA8640097}) (Version: 4.3.0 - IvoSoft)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 17.4.37.20160609 - Landesfinanzdirektion Thüringen)
Endpoint (Version: 5.3.26 - Bitdefender) Hidden
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 8.2.0.2051 - Foxit Software Inc.)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
FRITZ!Box-Fernzugang einrichten (HKLM-x32\...\{EFADD989-D9F2-49F6-A280-675951CC78D3}) (Version: 1.0.3 - AVM Berlin)
GFI LanGuard 11 Agent (x32 Version: 11.4.2015.0130 - GFI Software Ltd) Hidden
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 56.0.2924.87 - Google Inc.)
Google Update Helper (x32 Version: 1.3.32.7 - Google Inc.) Hidden
GPL Ghostscript (HKLM-x32\...\GPL Ghostscript 9.20) (Version: 9.20 - Artifex Software Inc.)
Intel(R) Network Connections 19.3.141.0 (HKLM\...\PROSetDX) (Version: 19.3.141.0 - Intel)
Intel(R) Rapid Storage Technology enterprise (HKLM-x32\...\{8B313BF5-9BD5-42a3-94C1-A28AF3AA51CC}) (Version: 3.8.0.1106 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (x32 Version: 10.0.17 - Intel(R) Corporation) Hidden
Kyocera Product Library (HKLM\...\Kyocera Product Library) (Version: 4.2.1909 - KYOCERA Document Solutions Inc.)
KYOCERA Status Monitor 4 (HKLM\...\{24EE7F6D-C648-463f-9E71-DC5FD2258D16}) (Version: 4.1.3407 - KYOCERA Document Solutions Inc.)
Managed Antivirus (HKLM\...\Endpoint Security) (Version: 5.3.26.735 - Managed Antivirus)
Managed Antivirus Master Service (HKLM\...\{F88FE7C0-2B64-405B-9197-25F8BE135459}_is1) (Version: 31.0.0.1028 - LogicNow, Inc.)
Microsoft Office Standard 2016 (HKLM\...\Office16.STANDARD) (Version: 16.0.4266.1001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (HKLM-x32\...\{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 51.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 51.0.1 (x86 de)) (Version: 51.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 51.0.1 - Mozilla)
Outils de vérification linguistique 2016 de Microsoft OfficeÂ*- Français (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
Profi cash Version 11.22 (HKLM-x32\...\{16289E20-A4D6-4E42-B24D-97EECED0EF1C}_is1) (Version: 11.22 - Fiducia & GAD IT AG)
pro-WINNER Vereinsverwaltung V12 (HKLM-x32\...\pro-WINNER Vereinsverwaltung V12) (Version: 11.0 - pro-WINNER GmbH)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
ScriptRunner 1.8.8.0 (x32 Version: 1.8.8.0 - LogicNow) Hidden
ScriptRunner Bootstrap Installer (x32 Version: 1.8.8.0 - ScriptRunner) Hidden
Strumenti di correzione di Microsoft Office 2016 - Italiano (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 6.0.1236 - SUPERAntiSpyware.com)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.4 - VideoLAN)
VR-IBAN-Konverter (HKLM-x32\...\{05D04F1E-EFCF-448E-8582-9716BD462A71}) (Version: 1.00.0038 - Genossenschaftliche FinanzGruppe)
Win2012R2 (HKLM-x32\...\{EC56BD64-B710-4178-9C42-994A18EA6D96}) (Version: 0.98 - ASPEED Technology Inc.)
Windows Driver Package - ASPEED (ASTGRP) Display  (09/05/2013 9.00.10.0098) (HKLM\...\CE7B278852112CEE53DA15653E4499059FB38886) (Version: 09/05/2013 9.00.10.0098 - ASPEED)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {1AF2B5BD-B8DF-4539-B339-EF18BAB7F23E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [2015-07-31] (Microsoft Corporation)
Task: {206A6544-80D4-44A1-9155-BE02E5762F33} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-17] (Google Inc.)
Task: {22F8933B-6077-471D-A4C3-56C7647164AD} - System32\Tasks\Microsoft\Windows\Server Manager\CleanupOldPerfLogs => Cscript.exe /B /nologo %systemroot%\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
Task: {651FF2A7-84D4-4AE6-9231-BB0411D3A64F} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2013-08-22] (Microsoft Corporation)
Task: {75F234C4-D218-47F8-8C5E-7723CBD45E5C} - System32\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [2013-11-07] (SUPERAdBlocker.com)
Task: {787E2442-1350-4D4B-B3DF-F73EDF626879} - System32\Tasks\Microsoft\Windows\PLA\Server Manager Performance Monitor => Rundll32.exe %systemroot%\system32\pla.dll,PlaHost "Server Manager Performance Monitor" "$(Arg0)"
Task: {8C80E9A0-2036-4DEB-9465-3BD94BA389B2} - System32\Tasks\Microsoft\Windows\Backup\Microsoft-Windows-WindowsBackup => C:\Windows\System32\wbadmin.exe [2015-12-17] (Microsoft Corporation)
Task: {8E9692EC-2AF7-43AC-A60E-0FA44EA10FAE} - System32\Tasks\ProWINNER\ProWINNER ausführen => C:\PRO-WINNER\PW12\PW12.exe [2016-03-01] (pro-WINNER GmbH)
Task: {9536335E-476B-42F7-8624-2308CA0F222B} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2013-08-22] (Microsoft Corporation)
Task: {9BD7A8A5-DBA9-4977-9B81-431957B8FD7F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-17] (Google Inc.)
Task: {BB908165-30E0-4F9A-A66F-D8F2B4AA6673} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2016-08-10] (Microsoft Corporation)
Task: {BF1FA234-461E-4E94-8483-E0CD7CBBF513} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => cmd.exe /d /c %systemroot%\system32\silcollector.cmd configure
Task: {C7B18C6B-4E46-4B34-A0F9-D87F1AB4F291} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [2015-07-31] (Microsoft Corporation)
Task: {C91C5584-BE7A-4199-BB0C-0DC0FDF05457} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {CA2E6F57-AFBF-4480-836A-16A268C819D2} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => cmd.exe /d /c %systemroot%\system32\silcollector.cmd publish
Task: {CDCE37D8-60DD-491B-B2AF-8BF2C1FA66A7} - System32\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [2013-11-07] (SUPERAdBlocker.com)
Task: {E5B55663-4080-4943-B54D-CCDFB9527888} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe [2015-07-31] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe  C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe  C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

ShortcutWithArgument: C:\Users\Administrator\Desktop\Fritzbox 6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490 (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2017-01-25 10:03 - 2012-06-21 07:25 - 00113152 _____ () C:\Windows\System32\redmon64.dll
2015-12-17 21:31 - 2015-09-22 02:00 - 00265080 _____ () C:\Program Files\Managed Antivirus\Managed Antivirus Engine\Managed Antivirus\Managed Antivirus\txmlutil.dll
2015-12-17 21:31 - 2016-03-03 22:05 - 00208936 _____ () C:\Program Files\Common Files\Managed Antivirus\Endpoint Agent\zlib.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00045568 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\fmplugin.exe
2013-05-13 15:42 - 2013-05-13 15:42 - 00107520 _____ () C:\Program Files (x86)\Take Control Agent\ZLIB1.DLL
2007-06-22 15:23 - 2007-06-22 15:23 - 00069632 _____ () C:\Program Files (x86)\Take Control Agent\BAWHook.dll
2016-09-21 00:45 - 2016-09-21 00:45 - 00662333 _____ () C:\Program Files (x86)\Take Control Agent\TURBOJPEG.DLL
2016-12-02 11:22 - 2016-12-02 11:22 - 00049664 _____ () C:\Program Files (x86)\Take Control Agent\BASUPLIB.DLL
2015-01-30 11:23 - 2015-01-30 11:23 - 00434288 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\apistrings.dll
2015-01-30 11:26 - 2015-01-30 11:26 - 00128624 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\httpserverattplugin.dll
2015-01-30 11:29 - 2015-01-30 11:29 - 00325232 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\patchautodownload.dll
2015-02-03 13:18 - 2015-02-03 13:18 - 00407664 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\modlop.dll
2015-01-30 11:30 - 2015-01-30 11:30 - 00241776 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\scanmngsys.dll
2015-01-30 11:31 - 2015-01-30 11:31 - 00064624 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\schedcompactdb.dll
2015-01-30 11:31 - 2015-01-30 11:31 - 00089200 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\schedupdates.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 05084672 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\FMPluginCore.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00542208 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\checkapi.dll
2017-01-17 13:57 - 2016-10-24 11:40 - 00307712 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\network.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00148992 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\performance.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00091648 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\logger.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00075264 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\backup.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00315904 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\legacy.dll
2016-07-20 11:23 - 2016-07-20 11:23 - 00016384 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\PSIClient\f449a42e48af77b6f952f9da935317c0\PSIClient.ni.dll
2017-01-31 11:28 - 2017-01-31 11:28 - 00275136 _____ () C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfgEN.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\Users\Administrator\Downloads\autoruns.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\FRST64.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\gs920w32.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\procexp.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\Tcpview.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\ElsterFormular-17.4.37.20160609k.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\pw12_demo_1209.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\vlc-2.2.4-win32.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\VR-IK_setup.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\WMTools520.exe:BDU [0]
AlternateDataStreams: C:\Users\G.\Downloads\Firefox Setup Stub 51.0.1.exe:BDU [0]
AlternateDataStreams: C:\Users\G.\Downloads\FoxitReader82_enu_Setup_clean.exe:BDU [0]
AlternateDataStreams: C:\Users\G.\Downloads\FreePDF4.14.EXE:BDU [0]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2013-08-22 14:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3954875723-4184682206-2779362523-500\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [ComPlusRemoteAdministration-DCOM-In] => (Allow) %systemroot%\system32\dllhost.exe
FirewallRules: [{C289F389-4F17-45FE-878C-EA4DFA68E3D6}] => (Allow) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
FirewallRules: [{7A83370B-C38C-4E19-8AEC-E8868B579A9E}] => (Allow) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
FirewallRules: [WindowsServerBackup-wbengine-In-TCP-NoScope] => (Allow) %systemroot%\system32\wbengine.exe
FirewallRules: [{D18A86DB-BA6E-4D5A-B3D3-8FBA2FC0EDAE}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
FirewallRules: [{AB11026B-B812-4F79-A264-F0A3F3E55BB9}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
FirewallRules: [{A7ADAB43-566D-443D-A011-4F520559D822}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
FirewallRules: [{623ACE4C-1C2C-4B54-9329-F72B823ED21D}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{EEA3BCF9-19ED-4D65-A049-B74AB3AED7B5}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (03/02/2017 03:24:59 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (03/01/2017 01:04:34 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: a2service.exe, Version: 2017.2.0.7219, Zeitstempel: 0x58b21713
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18438, Zeitstempel: 0x57ae642e
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000f1b70
ID des fehlerhaften Prozesses: 0x468
Startzeit der fehlerhaften Anwendung: 0x01d2927436818067
Pfad der fehlerhaften Anwendung: C:\Program Files\Emsisoft Anti-Malware\a2service.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 3b738911-fe77-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/01/2017 11:26:56 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: robotics-39.exe, Version: 6.7.1.4, Zeitstempel: 0x3ad5e6e9
Name des fehlerhaften Moduls: a2hooks32.dll, Version: 10.0.0.222, Zeitstempel: 0x5873d59e
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00008a24
ID des fehlerhaften Prozesses: 0x1930
Startzeit der fehlerhaften Anwendung: 0x01d2927659ae7285
Pfad der fehlerhaften Anwendung: C:\Users\G.\AppData\Roaming\robotics-99\robotics-39.exe
Pfad des fehlerhaften Moduls: C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2hooks32.dll
Berichtskennung: 9813d080-fe69-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/01/2017 02:01:15 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/28/2017 06:16:05 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/27/2017 04:56:38 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: energy-3.exe, Version: 0.0.0.0, Zeitstempel: 0x460ccfa4
Name des fehlerhaften Moduls: energy-3.exe, Version: 0.0.0.0, Zeitstempel: 0x460ccfa4
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00005427
ID des fehlerhaften Prozesses: 0x190
Startzeit der fehlerhaften Anwendung: 0x01d2911213fc5228
Pfad der fehlerhaften Anwendung: C:\ProgramData\energy-19\energy-3.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\energy-19\energy-3.exe
Berichtskennung: 52463998-fd05-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (02/27/2017 12:45:19 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/26/2017 03:30:33 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/25/2017 03:13:47 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/24/2017 12:48:11 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0


Systemfehler:
=============
Error: (03/02/2017 06:23:38 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.

Error: (03/01/2017 01:04:35 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Emsisoft Protection Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/25/2017 04:45:40 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.

Error: (02/24/2017 08:56:14 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:55:59 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:53:58 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:49:26 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:49:17 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:48:56 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:48:05 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Xeon(R) CPU E3-1220 v3 @ 3.10GHz
Prozentuale Nutzung des RAM: 15%
Installierter physikalischer RAM: 16345.49 MB
Verfügbarer physikalischer RAM: 13739.89 MB
Summe virtueller Speicher: 18777.49 MB
Verfügbarer virtueller Speicher: 16788.38 MB

==================== Laufwerke ================================

Drive c: (System) (Fixed) (Total:150 GB) (Free:92.55 GB) NTFS
Drive d: (Daten) (Fixed) (Total:734.55 GB) (Free:707.58 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 884.9 GB) (Disk ID: 0D873917)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=150 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=734.6 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 1863 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt ============================
         
__________________

Alt 02.03.2017, 13:25   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.03.2017, 15:19   #5
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Danke für die Antwort.

MBAR hat nichts gefunden.


Alt 02.03.2017, 15:31   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Log bitte _immer_ posten....
__________________
--> Trojaner o.ä. legt neue Dateien / Ordner an

Alt 02.03.2017, 17:08   #7
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2017.03.02.04
  rootkit: v2017.02.27.01

Windows Server 2012 R2 x64 NTFS
Internet Explorer 11.0.9600.18538
Administrator :: HVSERV [administrator]

02.03.2017 14:39:13
mbar-log-2017-03-02 (14-39-13).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 403114
Time elapsed: 23 minute(s), 53 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

Alt 03.03.2017, 09:17   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Gut. Signaturen waren auch aktuell.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).




2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2017, 10:10   #9
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



AdwCleaner
AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v6.044 - Bericht erstellt am 03/03/2017 um 10:08:06
# Aktualisiert am 28/02/2017 von Malwarebytes
# Datenbank : 2017-03-02.1 [Server]
# Betriebssystem : Windows Server 2012 R2 Foundation  (X64)
# Benutzername : Administrator - HVSERV
# Gestartet von : C:\Users\Administrator\Downloads\adwcleaner_6.044.exe
# Modus: Suchlauf
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****

Keine schädlichen Dienste gefunden.


***** [ Ordner ] *****

Keine schädlichen Ordner gefunden.


***** [ Dateien ] *****

Keine schädlichen Dateien gefunden.


***** [ DLL ] *****

Keine infizierten DLLs gefunden.


***** [ WMI ] *****

Keine schädlichen Schlüssel gefunden.


***** [ Verknüpfungen ] *****

Keine infizierten Verknüpfungen gefunden.


***** [ Aufgabenplanung ] *****

Keine schädlichen Aufgaben gefunden.


***** [ Registrierungsdatenbank ] *****

Keine schädlichen Elemente in der Registrierungsdatenbank gefunden.


***** [ Internetbrowser ] *****

Keine schädlichen Elemente in Firefox basierten Browsern gefunden.
Keine schädlichen Elemente in Chrome basierten Browsern gefunden.

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [1230 Bytes] - [03/03/2017 10:08:06]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1303 Bytes] ##########
         
--- --- ---

[/CODE]

JRT
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.1 (02.11.2017)
Operating System: Windows Server 2012 R2 Foundation x64 
Ran by Administrator (Administrator) on 03.03.2017 at 10:09:48,85
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 2 

Successfully deleted: C:\ProgramData\1450384251.bdinstall.bin (File) 
Successfully deleted: C:\ProgramData\1488531865.bdinstall.bin (File) 



Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 03.03.2017 at 10:11:31,89
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

Alt 03.03.2017, 10:27   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2017, 11:03   #11
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Addition.txt


Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-03-2017
durchgeführt von Administrator (03-03-2017 11:00:20)
Gestartet von C:\Users\Administrator\Downloads
Windows Server 2012 R2 Foundation (X64) (2015-12-15 08:23:55)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3954875723-4184682206-2779362523-500 - Administrator - Enabled) => C:\Users\Administrator
Büro (S-1-5-21-3954875723-4184682206-2779362523-1005 - Limited - Enabled) => C:\Users\Büro
g. (S-1-5-21-3954875723-4184682206-2779362523-1003 - Limited - Enabled) => C:\Users\g.
Gast (S-1-5-21-3954875723-4184682206-2779362523-501 - Limited - Disabled)
j. (S-1-5-21-3954875723-4184682206-2779362523-1004 - Limited - Enabled) => C:\Users\j.

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 15.023.20070 - Adobe Systems Incorporated)
Advanced Monitoring Agent (HKLM-x32\...\Advanced Monitoring Agent_is1) (Version:  - )
Advanced Monitoring Agent Network Management (HKLM\...\{F88FE7C0-2B64-405B-9197-25F8BE135460}_is1) (Version: 28.0.0.883 - LogicNow, Ltd.)
Classic Shell (HKLM\...\{383BB30A-B4A7-4666-9A83-22CFA8640097}) (Version: 4.3.0 - IvoSoft)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 17.4.37.20160609 - Landesfinanzdirektion Thüringen)
Foxit Reader (HKLM-x32\...\Foxit Reader_is1) (Version: 8.2.0.2051 - Foxit Software Inc.)
FreePDF (Remove only) (HKLM-x32\...\FreePDF_XP) (Version:  - )
FRITZ!Box-Fernzugang einrichten (HKLM-x32\...\{EFADD989-D9F2-49F6-A280-675951CC78D3}) (Version: 1.0.3 - AVM Berlin)
GFI LanGuard 11 Agent (x32 Version: 11.4.2015.0130 - GFI Software Ltd) Hidden
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 56.0.2924.87 - Google Inc.)
Google Update Helper (x32 Version: 1.3.32.7 - Google Inc.) Hidden
GPL Ghostscript (HKLM-x32\...\GPL Ghostscript 9.20) (Version: 9.20 - Artifex Software Inc.)
Intel(R) Network Connections 19.3.141.0 (HKLM\...\PROSetDX) (Version: 19.3.141.0 - Intel)
Intel(R) Rapid Storage Technology enterprise (HKLM-x32\...\{8B313BF5-9BD5-42a3-94C1-A28AF3AA51CC}) (Version: 3.8.0.1106 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (x32 Version: 10.0.17 - Intel(R) Corporation) Hidden
Kyocera Product Library (HKLM\...\Kyocera Product Library) (Version: 4.2.1909 - KYOCERA Document Solutions Inc.)
KYOCERA Status Monitor 4 (HKLM\...\{24EE7F6D-C648-463f-9E71-DC5FD2258D16}) (Version: 4.1.3407 - KYOCERA Document Solutions Inc.)
Managed Antivirus Master Service (HKLM\...\{F88FE7C0-2B64-405B-9197-25F8BE135459}_is1) (Version: 31.0.0.1028 - LogicNow, Inc.)
Microsoft Office Standard 2016 (HKLM\...\Office16.STANDARD) (Version: 16.0.4266.1001 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (HKLM-x32\...\{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}) (Version: 9.0.30729.5570 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Mozilla Firefox 51.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 51.0.1 (x86 de)) (Version: 51.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 51.0.1 - Mozilla)
Outils de vérification linguistique 2016 de Microsoft OfficeÂ*- Français (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
Profi cash Version 11.22 (HKLM-x32\...\{16289E20-A4D6-4E42-B24D-97EECED0EF1C}_is1) (Version: 11.22 - Fiducia & GAD IT AG)
pro-WINNER Vereinsverwaltung V12 (HKLM-x32\...\pro-WINNER Vereinsverwaltung V12) (Version: 11.0 - pro-WINNER GmbH)
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version: 1.90 - Ghostgum Software Pty Ltd)
ScriptRunner 1.8.8.0 (x32 Version: 1.8.8.0 - LogicNow) Hidden
ScriptRunner Bootstrap Installer (x32 Version: 1.8.8.0 - ScriptRunner) Hidden
Strumenti di correzione di Microsoft Office 2016 - Italiano (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 6.0.1236 - SUPERAntiSpyware.com)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.2.4 - VideoLAN)
VR-IBAN-Konverter (HKLM-x32\...\{05D04F1E-EFCF-448E-8582-9716BD462A71}) (Version: 1.00.0038 - Genossenschaftliche FinanzGruppe)
Win2012R2 (HKLM-x32\...\{EC56BD64-B710-4178-9C42-994A18EA6D96}) (Version: 0.98 - ASPEED Technology Inc.)
Windows Driver Package - ASPEED (ASTGRP) Display  (09/05/2013 9.00.10.0098) (HKLM\...\CE7B278852112CEE53DA15653E4499059FB38886) (Version: 09/05/2013 9.00.10.0098 - ASPEED)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {1AF2B5BD-B8DF-4539-B339-EF18BAB7F23E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [2015-07-31] (Microsoft Corporation)
Task: {206A6544-80D4-44A1-9155-BE02E5762F33} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-17] (Google Inc.)
Task: {22F8933B-6077-471D-A4C3-56C7647164AD} - System32\Tasks\Microsoft\Windows\Server Manager\CleanupOldPerfLogs => Cscript.exe /B /nologo %systemroot%\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
Task: {651FF2A7-84D4-4AE6-9231-BB0411D3A64F} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2013-08-22] (Microsoft Corporation)
Task: {75F234C4-D218-47F8-8C5E-7723CBD45E5C} - System32\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [2013-11-07] (SUPERAdBlocker.com)
Task: {787E2442-1350-4D4B-B3DF-F73EDF626879} - System32\Tasks\Microsoft\Windows\PLA\Server Manager Performance Monitor => Rundll32.exe %systemroot%\system32\pla.dll,PlaHost "Server Manager Performance Monitor" "$(Arg0)"
Task: {8C80E9A0-2036-4DEB-9465-3BD94BA389B2} - System32\Tasks\Microsoft\Windows\Backup\Microsoft-Windows-WindowsBackup => C:\Windows\System32\wbadmin.exe [2015-12-17] (Microsoft Corporation)
Task: {8E9692EC-2AF7-43AC-A60E-0FA44EA10FAE} - System32\Tasks\ProWINNER\ProWINNER ausführen => C:\PRO-WINNER\PW12\PW12.exe [2016-03-01] (pro-WINNER GmbH)
Task: {9536335E-476B-42F7-8624-2308CA0F222B} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2013-08-22] (Microsoft Corporation)
Task: {9BD7A8A5-DBA9-4977-9B81-431957B8FD7F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-17] (Google Inc.)
Task: {BB908165-30E0-4F9A-A66F-D8F2B4AA6673} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2016-08-10] (Microsoft Corporation)
Task: {BF1FA234-461E-4E94-8483-E0CD7CBBF513} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => cmd.exe /d /c %systemroot%\system32\silcollector.cmd configure
Task: {C7B18C6B-4E46-4B34-A0F9-D87F1AB4F291} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [2015-07-31] (Microsoft Corporation)
Task: {C91C5584-BE7A-4199-BB0C-0DC0FDF05457} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {CA2E6F57-AFBF-4480-836A-16A268C819D2} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => cmd.exe /d /c %systemroot%\system32\silcollector.cmd publish
Task: {CDCE37D8-60DD-491B-B2AF-8BF2C1FA66A7} - System32\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [2013-11-07] (SUPERAdBlocker.com)
Task: {E5B55663-4080-4943-B54D-CCDFB9527888} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe [2015-07-31] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe  C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe  C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

ShortcutWithArgument: C:\Users\Administrator\Desktop\Fritzbox 6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490 (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2017-01-25 10:03 - 2012-06-21 07:25 - 00113152 _____ () C:\Windows\System32\redmon64.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00045568 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\fmplugin.exe
2013-05-13 15:42 - 2013-05-13 15:42 - 00107520 _____ () C:\Program Files (x86)\Take Control Agent\ZLIB1.DLL
2007-06-22 15:23 - 2007-06-22 15:23 - 00069632 _____ () C:\Program Files (x86)\Take Control Agent\BAWHook.dll
2016-09-21 00:45 - 2016-09-21 00:45 - 00662333 _____ () C:\Program Files (x86)\Take Control Agent\TURBOJPEG.DLL
2016-12-02 11:22 - 2016-12-02 11:22 - 00049664 _____ () C:\Program Files (x86)\Take Control Agent\BASUPLIB.DLL
2015-01-30 11:23 - 2015-01-30 11:23 - 00434288 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\apistrings.dll
2015-01-30 11:26 - 2015-01-30 11:26 - 00128624 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\httpserverattplugin.dll
2015-01-30 11:29 - 2015-01-30 11:29 - 00325232 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\patchautodownload.dll
2015-02-03 13:18 - 2015-02-03 13:18 - 00407664 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\modlop.dll
2015-01-30 11:30 - 2015-01-30 11:30 - 00241776 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\scanmngsys.dll
2015-01-30 11:31 - 2015-01-30 11:31 - 00064624 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\schedcompactdb.dll
2015-01-30 11:31 - 2015-01-30 11:31 - 00089200 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\patchman\schedupdates.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 05084672 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\FMPluginCore.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00542208 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\checkapi.dll
2017-01-17 13:57 - 2016-10-24 11:40 - 00307712 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\network.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00148992 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\performance.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00091648 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\logger.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00075264 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\backup.dll
2016-04-20 15:05 - 2016-10-24 11:40 - 00315904 _____ () C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\legacy.dll
2016-07-20 11:23 - 2016-07-20 11:23 - 00016384 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\PSIClient\f449a42e48af77b6f952f9da935317c0\PSIClient.ni.dll
2017-01-31 11:28 - 2017-01-31 11:28 - 00275136 _____ () C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfgEN.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\Users\Administrator\Downloads\adwcleaner_6.044.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\autoruns.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\FRST64.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\gs920w32.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001 (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\procexp.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\Tcpview.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\ElsterFormular-17.4.37.20160609k.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\pw12_demo_1209.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\vlc-2.2.4-win32.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\VR-IK_setup.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\WMTools520.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\Firefox Setup Stub 51.0.1.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FoxitReader82_enu_Setup_clean.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FreePDF4.14.EXE:BDU [0]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 14:25 - 2013-08-22 14:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3954875723-4184682206-2779362523-1005\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
HKU\S-1-5-21-3954875723-4184682206-2779362523-500\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 192.168.0.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [ComPlusRemoteAdministration-DCOM-In] => (Allow) %systemroot%\system32\dllhost.exe
FirewallRules: [{C289F389-4F17-45FE-878C-EA4DFA68E3D6}] => (Allow) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
FirewallRules: [{7A83370B-C38C-4E19-8AEC-E8868B579A9E}] => (Allow) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
FirewallRules: [WindowsServerBackup-wbengine-In-TCP-NoScope] => (Allow) %systemroot%\system32\wbengine.exe
FirewallRules: [{D18A86DB-BA6E-4D5A-B3D3-8FBA2FC0EDAE}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
FirewallRules: [{AB11026B-B812-4F79-A264-F0A3F3E55BB9}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
FirewallRules: [{A7ADAB43-566D-443D-A011-4F520559D822}] => (Allow) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
FirewallRules: [{623ACE4C-1C2C-4B54-9329-F72B823ED21D}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{EEA3BCF9-19ED-4D65-A049-B74AB3AED7B5}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (03/03/2017 10:04:36 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: epag.exe, Version: 1.0.35.511, Zeitstempel: 0x573dd84e
Name des fehlerhaften Moduls: combase.dll, Version: 6.3.9600.18202, Zeitstempel: 0x569e6ee3
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000000000003a02f
ID des fehlerhaften Prozesses: 0x608
Startzeit der fehlerhaften Anwendung: 0x01d293451c4de686
Pfad der fehlerhaften Anwendung: C:\Program Files\Common Files\Managed Antivirus\Endpoint Agent\epag.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\combase.dll
Berichtskennung: 6c3d64c3-fff0-11e6-80cf-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/03/2017 07:45:43 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (03/02/2017 03:24:59 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (03/01/2017 01:04:34 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: a2service.exe, Version: 2017.2.0.7219, Zeitstempel: 0x58b21713
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18438, Zeitstempel: 0x57ae642e
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000f1b70
ID des fehlerhaften Prozesses: 0x468
Startzeit der fehlerhaften Anwendung: 0x01d2927436818067
Pfad der fehlerhaften Anwendung: C:\Program Files\Emsisoft Anti-Malware\a2service.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung: 3b738911-fe77-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/01/2017 11:26:56 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: robotics-39.exe, Version: 6.7.1.4, Zeitstempel: 0x3ad5e6e9
Name des fehlerhaften Moduls: a2hooks32.dll, Version: 10.0.0.222, Zeitstempel: 0x5873d59e
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00008a24
ID des fehlerhaften Prozesses: 0x1930
Startzeit der fehlerhaften Anwendung: 0x01d2927659ae7285
Pfad der fehlerhaften Anwendung: C:\Users\g.\AppData\Roaming\robotics-99\robotics-39.exe
Pfad des fehlerhaften Moduls: C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2hooks32.dll
Berichtskennung: 9813d080-fe69-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (03/01/2017 02:01:15 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/28/2017 06:16:05 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/27/2017 04:56:38 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: energy-3.exe, Version: 0.0.0.0, Zeitstempel: 0x460ccfa4
Name des fehlerhaften Moduls: energy-3.exe, Version: 0.0.0.0, Zeitstempel: 0x460ccfa4
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00005427
ID des fehlerhaften Prozesses: 0x190
Startzeit der fehlerhaften Anwendung: 0x01d2911213fc5228
Pfad der fehlerhaften Anwendung: C:\ProgramData\energy-19\energy-3.exe
Pfad des fehlerhaften Moduls: C:\ProgramData\energy-19\energy-3.exe
Berichtskennung: 52463998-fd05-11e6-80ce-305a3a7686fc
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Error: (02/27/2017 12:45:19 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0

Error: (02/26/2017 03:30:33 AM) (Source: Office 2016 Licensing Service) (EventID: 0) (User: )
Description: Event-ID 0


Systemfehler:
=============
Error: (03/03/2017 10:09:50 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Blockebenen-Sicherungsmodul" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (03/02/2017 02:36:26 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Serverinfrastruktur-Lizenzdienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 16 Millisekunden durchgeführt: Neustart des Diensts.

Error: (03/02/2017 06:23:38 AM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.

Error: (03/01/2017 01:04:35 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Emsisoft Protection Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (02/25/2017 04:45:40 PM) (Source: Schannel) (EventID: 4119) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.

Error: (02/24/2017 08:56:14 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:55:59 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:53:58 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:49:26 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.

Error: (02/24/2017 08:49:17 AM) (Source: TermService) (EventID: 1066) (User: )
Description: Der Remotedesktop-Sitzungshostserver konnte die Sitzungsvermittlungsanforderung nicht verarbeiten. Fehler: Zugriff verweigert
.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Xeon(R) CPU E3-1220 v3 @ 3.10GHz
Prozentuale Nutzung des RAM: 10%
Installierter physikalischer RAM: 16345.49 MB
Verfügbarer physikalischer RAM: 14648.16 MB
Summe virtueller Speicher: 18777.49 MB
Verfügbarer virtueller Speicher: 16860.94 MB

==================== Laufwerke ================================

Drive c: (System) (Fixed) (Total:150 GB) (Free:93.78 GB) NTFS
Drive d: (Daten) (Fixed) (Total:734.55 GB) (Free:704.31 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 884.9 GB) (Disk ID: 0D873917)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=150 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=734.6 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 1863 GB) (Disk ID: 00000000)

Partition: GPT.

==================== Ende von Addition.txt ============================
         


FRST Logfile:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-03-2017
durchgeführt von Administrator (Administrator) auf HVSSERV (03-03-2017 10:59:09)
Gestartet von C:\Users\Administrator\Downloads
Geladene Profile: Administrator (Verfügbare Profile: g. & j. & Büro & Administrator)
Platform: Windows Server 2012 R2 Foundation (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(SUPERAntiSpyware.com) C:\Program Files\SUPERAntiSpyware\SASCore64.exe
(Remote Monitoring) C:\Program Files (x86)\Advanced Monitoring Agent\winagent.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvcUpdater.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe
( ) C:\Program Files (x86)\Advanced Monitoring Agent\patchman\lnssatt.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Microsoft Corporation) C:\Windows\System32\silsvc.exe
(Intel(R) Corporation) C:\Program Files\Intel\NCS2\WMIProv\ncs2prov.exe
() C:\Program Files (x86)\Advanced Monitoring Agent\FmPlugin\fmplugin.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorDataMgrSvc.exe
(LogicNow Ltd) C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupTSHelper.exe
(IvoSoft) C:\Program Files\Classic Shell\ClassicStartMenu.exe
(SUPERAntiSpyware) C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorIcon.exe
(Solarwinds MSP) C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfg.exe
(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Classic Start Menu] => C:\Program Files\Classic Shell\ClassicStartMenu.exe [163800 2016-07-30] (IvoSoft)
HKLM-x32\...\Run: [IAStorIcon] => C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorIcon.exe [280064 2014-04-24] (Intel Corporation)
HKLM-x32\...\Run: [BASupSrvcCnfg_LOGICnow] => C:\Program Files (x86)\Take Control Agent\BASupSrvcCnfg.exe [4937408 2017-01-31] (Solarwinds MSP)
HKLM-x32\...\Run: [FreePDF Assistant] => C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2014-03-18] (shbox.de)
HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKU\S-1-5-21-3954875723-4184682206-2779362523-500\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7946144 2017-02-06] (SUPERAntiSpyware)
Lsa: [Notification Packages] rassfm scecli
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zahlungserinnerung.lnk [2017-01-25]
ShortcutTarget: Zahlungserinnerung.lnk -> C:\Profi cash\wzed.exe ()
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\brownout-7.lnk [2017-02-17]
ShortcutTarget: brownout-7.lnk -> C:\Users\Administrator\AppData\Roaming\brownout-8\brownout-43.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faraday-2.lnk [2017-01-25]
ShortcutTarget: faraday-2.lnk -> C:\Users\Administrator\AppData\Roaming\faraday-31\faraday-71.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\homeplug-5.lnk [2017-01-27]
ShortcutTarget: homeplug-5.lnk -> C:\Users\Administrator\AppData\Roaming\homeplug-0\homeplug-99.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\light-1.lnk [2017-02-22]
ShortcutTarget: light-1.lnk -> C:\Users\Administrator\AppData\Roaming\light-25\light-4.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-3.lnk [2017-03-03]
ShortcutTarget: microamp-3.lnk -> C:\Users\Administrator\AppData\Roaming\microamp-93\microamp-3.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\profibus-16.lnk [2017-03-01]
ShortcutTarget: profibus-16.lnk -> C:\Users\Administrator\AppData\Roaming\profibus-6\profibus-2.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sepic-4.lnk [2017-01-19]
ShortcutTarget: sepic-4.lnk -> C:\Users\Administrator\AppData\Roaming\sepic-9\sepic-5.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ultra160-8.lnk [2017-01-22]
ShortcutTarget: ultra160-8.lnk -> C:\Users\Administrator\AppData\Roaming\ultra160-3\ultra160-34.exe (Keine Datei)
BootExecute: autocheck autochk /q /v * 
GroupPolicy: Beschränkung <======= ACHTUNG
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG
GroupPolicyScripts\User: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\..\Interfaces\{3CE880A5-B27D-4655-A431-5EB45AB549F0}: [NameServer] 192.168.0.1
Tcpip\..\Interfaces\{452B5F2E-4B93-4E2D-BDF8-6EC3B6937BBD}: [DhcpNameServer] 192.168.0.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-3954875723-4184682206-2779362523-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
BHO-x32: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files (x86)\Microsoft Office\Office16\GROOVEEX.DLL [2015-07-31] (Microsoft Corporation)
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler-x32: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)
Handler-x32: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation)

FireFox:
========
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2016-12-29] (Foxit Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-16] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [2016-12-16] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-12-23] (Adobe Systems Inc.)

Chrome: 
=======
CHR DefaultProfile: Default
CHR DefaultSearchURL: Default -> hxxp://fritz.box/favicon.ico
CHR Profile: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default [2017-03-03]
CHR Extension: (Google Präsentationen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-12-17]
CHR Extension: (Google Docs) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-17]
CHR Extension: (Google Drive) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-17]
CHR Extension: (YouTube) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-17]
CHR Extension: (Adblock Plus) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-23]
CHR Extension: (Google-Suche) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-17]
CHR Extension: (FB6490) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\eadfnepaifpfnkcieaoaigffcmobeeci [2016-08-11]
CHR Extension: (Google Tabellen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-12-17]
CHR Extension: (Google Docs Offline) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-06]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-23]
CHR Extension: (Google Mail) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-17]
CHR Extension: (Chrome Media Router) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-23]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

"silsvc" => Dienst wurde entsperrt. <===== ACHTUNG

R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2017-01-31] (SUPERAntiSpyware.com)
R2 Advanced Monitoring Agent; C:\Program Files (x86)\Advanced Monitoring Agent\winagent.exe [8869888 2016-11-09] (Remote Monitoring)
R2 BASupportExpressSrvcUpdater_LOGICnow; C:\Program Files (x86)\Take Control Agent\BASupSrvcUpdater.exe [1106112 2017-01-31] (Solarwinds MSP)
R2 BASupportExpressStandaloneService_LOGICnow; C:\Program Files (x86)\Take Control Agent\BASupSrvc.exe [3842240 2017-01-31] (Solarwinds MSP)
R2 gfi_lanss11_attservice; C:\Program Files (x86)\Advanced Monitoring Agent\patchman\lnssatt.exe [199768 2017-02-27] ( )
R2 IAStorDataMgrSvc; C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology enterprise\IAStorDataMgrSvc.exe [7168 2014-04-24] (Intel Corporation) [Datei ist nicht signiert]
S3 KPSSVC; C:\Windows\system32\kpssvc.dll [173056 2013-08-22] (Microsoft Corporation)
R2 NetworkManagement; C:\Program Files\Advanced Monitoring Agent Network Management\NetworkManagement.exe [281240 2016-09-07] (LogicNow Ltd)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [85504 2013-08-22] (Microsoft Corporation)
S3 RSoPProv; C:\Windows\SysWOW64\RSoPProv.exe [76288 2013-08-22] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [15872 2013-08-22] (Microsoft Corporation)
R2 silsvc; C:\Windows\system32\silsvc.exe [552960 2014-11-21] (Microsoft Corporation)
R2 UALSVC; C:\Windows\System32\ualsvc.dll [249344 2014-11-20] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 ASTGRP; C:\Windows\system32\DRIVERS\astkmd.sys [88064 2013-09-05] (ASPEED Technology Inc.)
S0 bfadfcoei; C:\Windows\System32\drivers\bfadfcoei.sys [2265440 2013-08-22] (Brocade Communications Systems, Inc.)
S0 bfadi; C:\Windows\System32\drivers\bfadi.sys [2265440 2013-08-22] (Brocade Communications Systems, Inc.)
S0 bxfcoe; C:\Windows\System32\drivers\bxfcoe.sys [187744 2013-08-22] (Broadcom Corporation)
S0 bxois; C:\Windows\System32\drivers\bxois.sys [560480 2013-08-22] (Broadcom Corporation)
R3 e1rexpress; C:\Windows\system32\DRIVERS\e1r64x64.sys [458520 2014-03-11] (Intel Corporation)
S0 elxfcoe; C:\Windows\System32\drivers\elxfcoe.sys [712032 2013-08-22] (Emulex)
S3 HyperVideo; C:\Windows\system32\DRIVERS\HyperVideo.sys [22016 2013-08-22] (Microsoft Corporation) [Datei ist nicht signiert]
R2 inpoutx64; C:\Windows\System32\Drivers\inpoutx64.sys [15008 2015-11-17] (Highresolution Enterprises [www.highrez.co.uk])
S3 MsLbfoProvider; C:\Windows\system32\DRIVERS\MsLbfoProvider.sys [115712 2014-11-20] (Microsoft Corporation)
S3 netvsc; C:\Windows\system32\DRIVERS\netvsc63.sys [87040 2013-08-22] (Microsoft Corporation) [Datei ist nicht signiert]
S0 ql2300i; C:\Windows\System32\drivers\ql2300i.sys [1508704 2013-08-22] (QLogic Corporation)
S0 ql40xx2i; C:\Windows\System32\drivers\ql40xx2i.sys [475488 2013-08-22] (QLogic Corporation)
S0 qlfcoei; C:\Windows\System32\drivers\qlfcoei.sys [1300320 2013-08-22] (QLogic Corporation)
S0 sacdrv; C:\Windows\System32\DRIVERS\sacdrv.sys [94048 2013-08-22] (Microsoft Corporation)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
S3 smbdirect; C:\Windows\System32\DRIVERS\smbdirect.sys [145920 2014-11-20] (Microsoft Corporation)
S3 WinNat; C:\Windows\System32\drivers\winnat.sys [177152 2014-11-20] (Microsoft Corporation)
S3 wtlmdrv; C:\Windows\System32\drivers\wtlmdrv.sys [31232 2013-08-22] (Microsoft Corporation)
S3 cpuz138; \??\C:\Users\ADMINI~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] <==== ACHTUNG

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

NETSVC: sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)

==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-03-03 10:56 - 2017-03-03 10:59 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\2
2017-03-03 10:56 - 2017-03-03 10:56 - 00001256 _____ C:\Users\Administrator\Desktop\Advanced Monitoring Agent.lnk
2017-03-03 10:47 - 2017-03-03 10:47 - 00000000 ____D C:\ProgramData\ManagedAntivirus
2017-03-03 10:43 - 2017-03-03 10:43 - 00000000 ____D C:\Users\g.\AppData\Roaming\microamp-93
2017-03-03 10:41 - 2017-03-03 10:41 - 00000000 ____D C:\ProgramData\hertz-92
2017-03-03 10:11 - 2017-03-03 10:11 - 00000715 _____ C:\Users\Administrator\Downloads\JRT.txt
2017-03-03 10:06 - 2017-03-03 10:06 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\8
2017-03-03 10:05 - 2017-03-03 10:05 - 01663736 _____ (Malwarebytes) C:\Users\Administrator\Downloads\JRT.exe
2017-03-03 10:04 - 2017-03-03 10:08 - 00000000 ____D C:\AdwCleaner
2017-03-03 10:02 - 2017-03-03 10:02 - 04031440 _____ C:\Users\Administrator\Downloads\adwcleaner_6.044.exe
2017-03-03 08:40 - 2017-03-03 10:59 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\3
2017-03-03 00:14 - 2017-03-03 00:14 - 00000000 ____D C:\Users\g.\AppData\Roaming\fieldbus-46
2017-03-02 14:39 - 2017-03-02 14:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2017-03-02 14:38 - 2017-03-02 17:09 - 00109272 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2017-03-02 14:38 - 2017-03-02 15:23 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2017-03-02 14:38 - 2017-03-02 14:38 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2017-03-02 14:37 - 2017-03-02 14:37 - 16563352 _____ (Malwarebytes Corp.) C:\Users\Administrator\Downloads\mbar-1.09.3.1001 (1).exe
2017-03-02 14:37 - 2017-03-02 14:37 - 00000000 ____D C:\Users\Administrator\Downloads\MBAR
2017-03-02 14:35 - 2017-03-02 14:35 - 16563352 _____ (Malwarebytes Corp.) C:\Users\Administrator\Downloads\mbar-1.09.3.1001.exe
2017-03-02 14:14 - 2017-03-03 10:44 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\2
2017-03-02 12:35 - 2017-03-02 13:05 - 00026130 _____ C:\Users\Administrator\Downloads\Addition.txt
2017-03-02 12:34 - 2017-03-03 10:59 - 00015708 _____ C:\Users\Administrator\Downloads\FRST.txt
2017-03-02 12:34 - 2017-03-03 10:59 - 00000000 ____D C:\FRST
2017-03-02 12:32 - 2017-03-02 12:32 - 02423808 _____ (Farbar) C:\Users\Administrator\Downloads\FRST64.exe
2017-03-02 11:00 - 2017-03-02 11:00 - 02710688 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\procexp.exe
2017-03-02 11:00 - 2017-03-02 11:00 - 00300832 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\Tcpview.exe
2017-03-02 10:59 - 2017-03-02 10:59 - 00716456 _____ (Sysinternals - www.sysinternals.com) C:\Users\Administrator\Downloads\autoruns.exe
2017-03-02 10:26 - 2017-03-03 02:21 - 00000000 ____D C:\ProgramData\cable-00
2017-03-02 09:47 - 2017-03-02 09:47 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\D727.tmp
2017-03-02 09:45 - 2017-03-02 09:45 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\9034.tmp
2017-03-02 09:43 - 2017-03-02 09:43 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\F7E.tmp
2017-03-02 09:40 - 2017-03-02 11:58 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\34
2017-03-02 09:40 - 2017-03-02 09:40 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\AE1D.tmp
2017-03-01 20:14 - 2017-03-01 20:26 - 00027658 _____ C:\Users\g.\Documents\2017 Zählerstandsliste HV S.xlsx
2017-03-01 15:59 - 2017-03-03 02:20 - 00000000 ____D C:\Users\g.\AppData\Roaming\profibus-6
2017-03-01 15:56 - 2017-03-01 15:56 - 00000000 ____D C:\ProgramData\kelvin-89
2017-03-01 11:26 - 2017-03-02 02:15 - 00000000 ____D C:\Users\g.\AppData\Roaming\robotics-99
2017-03-01 11:15 - 2017-03-01 13:05 - 00000000 ____D C:\ProgramData\Emsisoft
2017-03-01 11:08 - 2017-03-03 03:08 - 00000558 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6.job
2017-03-01 11:08 - 2017-03-03 02:00 - 00000558 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8.job
2017-03-01 11:08 - 2017-03-01 11:08 - 00003646 _____ C:\Windows\System32\Tasks\SUPERAntiSpyware Scheduled Task 14d19099-0cb6-4e0b-b8b2-558f4bb516a8
2017-03-01 11:08 - 2017-03-01 11:08 - 00003564 _____ C:\Windows\System32\Tasks\SUPERAntiSpyware Scheduled Task d3cce5b1-3c69-49cf-aa56-bdc161acf8f6
2017-03-01 11:08 - 2017-03-01 11:08 - 00001826 _____ C:\Users\Administrator\Desktop\SUPERAntiSpyware Free Edition.lnk
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\SUPERAntiSpyware.com
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2017-03-01 11:08 - 2017-03-01 11:08 - 00000000 ____D C:\Program Files\SUPERAntiSpyware
2017-03-01 11:07 - 2017-03-01 11:07 - 29397864 _____ (SUPERAntiSpyware) C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe
2017-03-01 11:07 - 2017-03-01 11:07 - 246730992 _____ (Emsisoft Ltd. ) C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe
2017-03-01 11:05 - 2017-03-01 11:05 - 55566792 _____ (Malwarebytes ) C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe
2017-03-01 01:00 - 2017-03-02 02:16 - 00000000 ____D C:\ProgramData\tweak-81
2017-02-27 11:11 - 2017-02-27 11:11 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\33
2017-02-26 14:54 - 2017-02-26 14:54 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\32
2017-02-24 08:59 - 2017-03-02 11:33 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\31
2017-02-24 08:59 - 2017-02-24 08:59 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\30
2017-02-24 07:22 - 2017-03-01 22:17 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\27
2017-02-23 16:22 - 2017-02-23 16:22 - 00693269 _____ C:\Users\Administrator\Downloads\FRITZ.Box 6490 Cable (lgi) 141.06.50_23.02.17_1619.export
2017-02-23 15:28 - 2017-02-23 17:17 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\11
2017-02-23 12:33 - 2017-02-23 22:51 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\23
2017-02-23 11:21 - 2017-02-23 11:21 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\8DD.tmp
2017-02-23 11:19 - 2017-02-23 11:19 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\A7D5.tmp
2017-02-23 11:18 - 2017-02-23 11:18 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\3614.tmp
2017-02-23 11:15 - 2017-02-23 12:18 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\21
2017-02-23 11:15 - 2017-02-23 11:15 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\C0FC.tmp
2017-02-23 10:10 - 2017-02-27 02:15 - 00000000 ____D C:\ProgramData\mxtni-29
2017-02-22 23:29 - 2017-02-27 02:15 - 00000000 ____D C:\Users\g.\AppData\Roaming\vmbus-1
2017-02-22 15:56 - 2017-02-26 02:27 - 00000000 ____D C:\ProgramData\vmebus-8
2017-02-22 11:55 - 2017-02-27 02:15 - 00000000 ____D C:\Users\g.\AppData\Roaming\light-25
2017-02-18 18:24 - 2017-02-23 11:09 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\19
2017-02-18 18:24 - 2017-02-18 18:24 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\A384.tmp
2017-02-18 13:39 - 2017-02-18 13:39 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\7121.tmp
2017-02-18 13:36 - 2017-02-18 13:36 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\EE2E.tmp
2017-02-18 13:33 - 2017-02-18 13:33 - 00000000 _____ C:\Users\g.\AppData\Local\Temp\7454.tmp
2017-02-18 13:32 - 2017-02-25 02:16 - 00000000 ____D C:\ProgramData\infrared-50
2017-02-18 12:45 - 2017-02-20 02:15 - 00000000 ____D C:\ProgramData\doublers-9
2017-02-18 12:42 - 2017-02-25 02:16 - 00000000 ____D C:\ProgramData\infrared-8
2017-02-17 23:09 - 2017-02-17 23:09 - 00000000 ____D C:\Users\g.\AppData\Roaming\brownout-8
2017-02-17 15:56 - 2017-02-23 02:17 - 00000000 ____D C:\Users\g.\AppData\Roaming\floating-7
2017-02-15 16:57 - 2017-03-03 09:05 - 00000000 ____D C:\Users\g.\AppData\LocalLow\Mozilla
2017-02-15 16:57 - 2017-02-15 16:57 - 00001137 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2017-02-15 16:57 - 2017-02-15 16:57 - 00001125 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Users\g.\AppData\Roaming\Mozilla
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2017-02-15 16:57 - 2017-02-15 16:57 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2017-02-15 16:55 - 2017-02-15 16:55 - 00245600 _____ C:\Users\g.\Downloads\Firefox Setup Stub 51.0.1.exe
2017-02-14 17:51 - 2017-02-14 17:51 - 00000000 ____D C:\ProgramData\GetSupportService
2017-02-10 14:58 - 2017-02-10 15:52 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\15
2017-02-10 09:56 - 2017-02-10 11:47 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\14
2017-02-09 09:26 - 2017-02-18 13:32 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\7
2017-02-07 21:03 - 2017-02-07 21:15 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\6
2017-02-07 12:55 - 2017-02-07 12:55 - 00011073 _____ C:\Users\g.\Downloads\Ihre Retourenmarke.pdf

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-03-03 10:57 - 2017-01-24 10:48 - 00000000 ____D C:\ProgramData\GetSupportService_LOGICnow
2017-03-03 10:57 - 2015-12-17 13:17 - 00000000 ____D C:\Program Files (x86)\Advanced Monitoring Agent
2017-03-03 10:54 - 2014-11-21 04:38 - 00741756 _____ C:\Windows\system32\perfh007.dat
2017-03-03 10:54 - 2014-11-21 04:38 - 00150294 _____ C:\Windows\system32\perfc007.dat
2017-03-03 10:54 - 2014-11-20 20:19 - 01719044 _____ C:\Windows\system32\PerfStringBackup.INI
2017-03-03 10:54 - 2013-08-22 14:36 - 00000000 ____D C:\Windows\Inf
2017-03-03 10:51 - 2017-01-23 10:49 - 00000000 ____D C:\Users\Administrator\AppData\Local\Temp\1
2017-03-03 10:50 - 2013-08-22 15:48 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-03-03 10:48 - 2013-08-22 14:25 - 00008192 ___SH C:\Windows\system32\config\BBI
2017-03-03 10:34 - 2017-01-25 09:13 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\10
2017-03-03 10:23 - 2016-08-10 11:02 - 00003598 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-1005
2017-03-03 10:22 - 2015-12-15 08:54 - 00003596 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-500
2017-03-03 10:18 - 2016-08-11 21:52 - 00000498 __RSH C:\Users\Büro\ntuser.pol
2017-03-03 10:18 - 2016-08-10 10:15 - 00000000 ____D C:\Users\Büro
2017-03-03 10:10 - 2016-01-15 04:28 - 00003598 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3954875723-4184682206-2779362523-1003
2017-03-03 10:09 - 2016-08-12 13:23 - 00000000 ____D C:\Outlook PST
2017-03-03 09:32 - 2016-08-10 11:41 - 00257412 _____ C:\Users\Administrator\AppData\Local\Temp\ArmUI.ini
2017-03-03 08:51 - 2016-08-11 20:49 - 00000000 ____D C:\Profi cash
2017-03-03 06:05 - 2015-12-17 13:37 - 00000000 ____D C:\Windows\Patches
2017-03-02 12:20 - 2016-08-11 21:48 - 00000498 __RSH C:\Users\Administrator\ntuser.pol
2017-03-02 12:20 - 2015-12-15 09:24 - 00000000 ____D C:\Users\Administrator
2017-03-02 12:06 - 2013-08-22 15:47 - 00512448 _____ C:\Windows\system32\FNTCACHE.DAT
2017-02-27 20:38 - 2015-12-17 13:56 - 00000000 ____D C:\WM32a
2017-02-27 01:10 - 2015-12-17 13:21 - 00000000 ____D C:\ProgramData\AdvancedMonitoringAgentNetworkManagement
2017-02-24 08:42 - 2017-01-16 09:40 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\28
2017-02-23 12:25 - 2017-01-20 07:18 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\22
2017-02-22 03:07 - 2017-01-23 12:40 - 00002457 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2017-02-21 09:59 - 2016-12-16 18:43 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\20
2017-02-18 17:55 - 2016-12-03 13:04 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\18
2017-02-18 13:53 - 2016-11-30 19:28 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\17
2017-02-17 18:57 - 2016-11-29 16:39 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\16
2017-02-14 17:52 - 2017-01-24 10:47 - 00000000 ____D C:\Program Files (x86)\Take Control Agent
2017-02-09 17:19 - 2016-11-12 12:34 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\13
2017-02-09 12:18 - 2015-12-17 12:40 - 00000000 ____D C:\WM32d
2017-02-08 19:04 - 2017-01-25 10:41 - 00000000 ____D C:\Users\g.\AppData\Local\Temp\12
2017-02-07 21:06 - 2016-08-12 14:35 - 00000000 ____D C:\Users\Büro\Documents\Outlook-Dateien
2017-02-06 22:47 - 2015-12-17 12:17 - 00002173 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2017-02-06 22:47 - 2015-12-17 12:17 - 00002161 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2017-02-05 02:13 - 2017-01-24 17:51 - 00000000 ____D C:\ProgramData\scuzzy-12
2017-02-02 18:14 - 2017-01-31 12:20 - 00000000 ____D C:\Users\Büro\AppData\Local\Temp\5
2017-02-01 02:17 - 2017-01-23 01:06 - 00000000 ____D C:\ProgramData\infrared-26

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Public\VR-IBAN-Konverter.dat


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe FEHLT <==== ACHTUNG
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-03-03 04:31

==================== Ende von FRST.txt ============================
         
--- --- ---

Alt 03.03.2017, 12:08   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Ausrufezeichen

Trojaner o.ä. legt neue Dateien / Ordner an



FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Solltest du deinen Benutzernamen z. B. durch "*****" oder "g. "unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490 (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
AlternateDataStreams: C:\Users\Administrator\Downloads\adwcleaner_6.044.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\autoruns.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\FRST64.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\gs920w32.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001 (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\procexp.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\Tcpview.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\ElsterFormular-17.4.37.20160609k.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\pw12_demo_1209.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\vlc-2.2.4-win32.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\VR-IK_setup.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\WMTools520.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\Firefox Setup Stub 51.0.1.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FoxitReader82_enu_Setup_clean.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FreePDF4.14.EXE:BDU [0]
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\brownout-7.lnk [2017-02-17]
ShortcutTarget: brownout-7.lnk -> C:\Users\Administrator\AppData\Roaming\brownout-8\brownout-43.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faraday-2.lnk [2017-01-25]
ShortcutTarget: faraday-2.lnk -> C:\Users\Administrator\AppData\Roaming\faraday-31\faraday-71.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\homeplug-5.lnk [2017-01-27]
ShortcutTarget: homeplug-5.lnk -> C:\Users\Administrator\AppData\Roaming\homeplug-0\homeplug-99.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\light-1.lnk [2017-02-22]
ShortcutTarget: light-1.lnk -> C:\Users\Administrator\AppData\Roaming\light-25\light-4.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-3.lnk [2017-03-03]
ShortcutTarget: microamp-3.lnk -> C:\Users\Administrator\AppData\Roaming\microamp-93\microamp-3.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\profibus-16.lnk [2017-03-01]
ShortcutTarget: profibus-16.lnk -> C:\Users\Administrator\AppData\Roaming\profibus-6\profibus-2.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sepic-4.lnk [2017-01-19]
ShortcutTarget: sepic-4.lnk -> C:\Users\Administrator\AppData\Roaming\sepic-9\sepic-5.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ultra160-8.lnk [2017-01-22]
ShortcutTarget: ultra160-8.lnk -> C:\Users\Administrator\AppData\Roaming\ultra160-3\ultra160-34.exe (Keine Datei)
BootExecute: autocheck autochk /q /v * 
GroupPolicy: Beschränkung <======= ACHTUNG
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG
GroupPolicyScripts\User: Beschränkung <======= ACHTUNG
C:\ProgramData\cable-00
C:\ProgramData\doublers-9
C:\ProgramData\energy-19
C:\ProgramData\hertz-92
C:\ProgramData\infrared-26
C:\ProgramData\infrared-50
C:\ProgramData\infrared-8
C:\ProgramData\kelvin-89
C:\ProgramData\mxtni-29
C:\ProgramData\scuzzy-12
C:\ProgramData\tweak-81
C:\ProgramData\vmebus-8
C:\Program Files (x86)\Take Control Agent
C:\Users\g.\AppData\Roaming\brownout-8
C:\Users\g.\AppData\Roaming\fieldbus-46
C:\Users\g.\AppData\Roaming\floating-7
C:\Users\g.\AppData\Roaming\light-25
C:\Users\g.\AppData\Roaming\microamp-93
C:\Users\g.\AppData\Roaming\profibus-6
C:\Users\g.\AppData\Roaming\robotics-99
C:\Users\g.\AppData\Roaming\vmbus-1
C:\Users\Administrator\AppData\Roaming\brownout-8
C:\Users\Administrator\AppData\Roaming\faraday-31
C:\Users\Administrator\AppData\Roaming\homeplug-0
C:\Users\Administrator\AppData\Roaming\light-25
C:\Users\Administrator\AppData\Roaming\microamp-93
C:\Users\Administrator\AppData\Roaming\profibus-6
C:\Users\Administrator\AppData\Roaming\sepic-9
C:\Users\Administrator\AppData\Roaming\ultra160-3
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming"
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2017, 17:57   #13
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Code:
ATTFilter
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-03-2017
durchgeführt von Administrator (03-03-2017 17:53:03) Run:1
Gestartet von C:\Users\Administrator\Downloads
Geladene Profile: Administrator (Verfügbare Profile: g. & j. & Büro & Administrator)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490 (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=eadfnepaifpfnkcieaoaigffcmobeeci
AlternateDataStreams: C:\Users\Administrator\Downloads\adwcleaner_6.044.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\autoruns.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\FRST64.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\gs920w32.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001 (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\mbar-1.09.3.1001.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\procexp.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer (1).exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe:BDU [0]
AlternateDataStreams: C:\Users\Administrator\Downloads\Tcpview.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\ElsterFormular-17.4.37.20160609k.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\profi_cash_11_installer.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\pw12_demo_1209.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\vlc-2.2.4-win32.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\VR-IK_setup.exe:BDU [0]
AlternateDataStreams: C:\Users\Büro\Downloads\WMTools520.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\Firefox Setup Stub 51.0.1.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FoxitReader82_enu_Setup_clean.exe:BDU [0]
AlternateDataStreams: C:\Users\g.\Downloads\FreePDF4.14.EXE:BDU [0]
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\brownout-7.lnk [2017-02-17]
ShortcutTarget: brownout-7.lnk -> C:\Users\Administrator\AppData\Roaming\brownout-8\brownout-43.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faraday-2.lnk [2017-01-25]
ShortcutTarget: faraday-2.lnk -> C:\Users\Administrator\AppData\Roaming\faraday-31\faraday-71.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\homeplug-5.lnk [2017-01-27]
ShortcutTarget: homeplug-5.lnk -> C:\Users\Administrator\AppData\Roaming\homeplug-0\homeplug-99.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\light-1.lnk [2017-02-22]
ShortcutTarget: light-1.lnk -> C:\Users\Administrator\AppData\Roaming\light-25\light-4.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-3.lnk [2017-03-03]
ShortcutTarget: microamp-3.lnk -> C:\Users\Administrator\AppData\Roaming\microamp-93\microamp-3.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\profibus-16.lnk [2017-03-01]
ShortcutTarget: profibus-16.lnk -> C:\Users\Administrator\AppData\Roaming\profibus-6\profibus-2.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sepic-4.lnk [2017-01-19]
ShortcutTarget: sepic-4.lnk -> C:\Users\Administrator\AppData\Roaming\sepic-9\sepic-5.exe (Keine Datei)
Startup: C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ultra160-8.lnk [2017-01-22]
ShortcutTarget: ultra160-8.lnk -> C:\Users\Administrator\AppData\Roaming\ultra160-3\ultra160-34.exe (Keine Datei)
BootExecute: autocheck autochk /q /v * 
GroupPolicy: Beschränkung <======= ACHTUNG
GroupPolicy\User: Beschränkung <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG
GroupPolicyScripts\User: Beschränkung <======= ACHTUNG
C:\ProgramData\cable-00
C:\ProgramData\doublers-9
C:\ProgramData\energy-19
C:\ProgramData\hertz-92
C:\ProgramData\infrared-26
C:\ProgramData\infrared-50
C:\ProgramData\infrared-8
C:\ProgramData\kelvin-89
C:\ProgramData\mxtni-29
C:\ProgramData\scuzzy-12
C:\ProgramData\tweak-81
C:\ProgramData\vmebus-8
C:\Program Files (x86)\Take Control Agent
C:\Users\g.\AppData\Roaming\brownout-8
C:\Users\g.\AppData\Roaming\fieldbus-46
C:\Users\g.\AppData\Roaming\floating-7
C:\Users\g.\AppData\Roaming\light-25
C:\Users\g.\AppData\Roaming\microamp-93
C:\Users\g.\AppData\Roaming\profibus-6
C:\Users\g.\AppData\Roaming\robotics-99
C:\Users\g.\AppData\Roaming\vmbus-1
C:\Users\Administrator\AppData\Roaming\brownout-8
C:\Users\Administrator\AppData\Roaming\faraday-31
C:\Users\Administrator\AppData\Roaming\homeplug-0
C:\Users\Administrator\AppData\Roaming\light-25
C:\Users\Administrator\AppData\Roaming\microamp-93
C:\Users\Administrator\AppData\Roaming\profibus-6
C:\Users\Administrator\AppData\Roaming\sepic-9
C:\Users\Administrator\AppData\Roaming\ultra160-3
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming"
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
emptytemp:
         
*****************

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490 (1).lnk => Verknüpfung Eigenschaft erfolgreich entfernt.
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome-Apps\FB6490.lnk => Verknüpfung Eigenschaft erfolgreich entfernt.
C:\Users\Administrator\Downloads\adwcleaner_6.044.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\autoruns.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\EmsisoftAntiMalwareSetup.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\FRST64.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\gs920w32.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\mbar-1.09.3.1001 (1).exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\mbar-1.09.3.1001.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\procexp.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\profi_cash_11_installer (1).exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\profi_cash_11_installer.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\SUPERAntiSpyware.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Administrator\Downloads\Tcpview.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\ElsterFormular-17.4.37.20160609k.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\profi_cash_11_installer.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\pw12_demo_1209.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\vlc-2.2.4-win32.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\VR-IK_setup.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\Büro\Downloads\WMTools520.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\g.\Downloads\Firefox Setup Stub 51.0.1.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\g.\Downloads\FoxitReader82_enu_Setup_clean.exe => ":BDU" ADS erfolgreich entfernt.
C:\Users\g.\Downloads\FreePDF4.14.EXE => ":BDU" ADS erfolgreich entfernt.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\brownout-7.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\brownout-8\brownout-43.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faraday-2.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\faraday-31\faraday-71.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\homeplug-5.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\homeplug-0\homeplug-99.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\light-1.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\light-25\light-4.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-3.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\microamp-93\microamp-3.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\profibus-16.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\profibus-6\profibus-2.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sepic-4.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\sepic-9\sepic-5.exe => nicht gefunden.
C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ultra160-8.lnk => erfolgreich verschoben
C:\Users\Administrator\AppData\Roaming\ultra160-3\ultra160-34.exe => nicht gefunden.
HKLM\System\CurrentControlSet\Control\Session Manager\\BootExecute => Wert erfolgreich wiederhergestellt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\User => erfolgreich verschoben
"C:\Windows\system32\GroupPolicy\Machine" => nicht gefunden.
"C:\Windows\system32\GroupPolicy\User" => nicht gefunden.
C:\ProgramData\cable-00 => erfolgreich verschoben
C:\ProgramData\doublers-9 => erfolgreich verschoben
"C:\ProgramData\energy-19" => nicht gefunden.
"C:\ProgramData\hertz-92" => nicht gefunden.
C:\ProgramData\infrared-26 => erfolgreich verschoben
C:\ProgramData\infrared-50 => erfolgreich verschoben
C:\ProgramData\infrared-8 => erfolgreich verschoben
C:\ProgramData\kelvin-89 => erfolgreich verschoben
C:\ProgramData\mxtni-29 => erfolgreich verschoben
C:\ProgramData\scuzzy-12 => erfolgreich verschoben
C:\ProgramData\tweak-81 => erfolgreich verschoben
C:\ProgramData\vmebus-8 => erfolgreich verschoben
C:\Program Files (x86)\Take Control Agent => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\brownout-8 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\fieldbus-46 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\floating-7 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\light-25 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\microamp-93 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\profibus-6 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\robotics-99 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\vmbus-1 => erfolgreich verschoben
"C:\Users\Administrator\AppData\Roaming\brownout-8" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\faraday-31" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\homeplug-0" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\light-25" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\microamp-93" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\profibus-6" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\sepic-9" => nicht gefunden.
"C:\Users\Administrator\AppData\Roaming\ultra160-3" => nicht gefunden.

========= dir /oge-d %APPDATA% =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\Administrator\AppData\Roaming

03.03.2017  12:24    <DIR>          ..
03.03.2017  12:24    <DIR>          .
25.01.2017  10:16    <DIR>          TeamViewer
24.01.2017  18:07    <DIR>          Foxit AgentInformation
24.01.2017  18:07    <DIR>          Foxit Software
23.01.2017  10:51    <DIR>          Adobe
11.08.2016  20:52    <DIR>          Profi cash
11.08.2016  09:53    <DIR>          ClassicShell
10.08.2016  14:24    <DIR>          elsterformular
07.03.2016  11:22    <DIR>          AVM
15.12.2015  09:24    <DIR>          Intel Corporation
               0 Datei(en),              0 Bytes
              11 Verzeichnis(se), 98.007.920.640 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

15.12.2015  14:46    <DIR>          ..
15.12.2015  14:46    <DIR>          .
               0 Datei(en),              0 Bytes
               2 Verzeichnis(se), 98.007.920.640 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d %PROGRAMDATA% =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\ProgramData

03.03.2017  17:40    <DIR>          GetSupportService_LOGICnow
03.03.2017  15:49    <DIR>          ManagedAntivirus
03.03.2017  15:46    <DIR>          Managed Antivirus
03.03.2017  15:08    <DIR>          paraffin-0
02.03.2017  15:23    <DIR>          Malwarebytes' Anti-Malware (portable)
02.03.2017  14:39    <DIR>          Malwarebytes
01.03.2017  13:05    <DIR>          Emsisoft
27.02.2017  01:10    <DIR>          AdvancedMonitoringAgentNetworkManagement
14.02.2017  17:51    <DIR>          GetSupportService
29.01.2017  02:17    <DIR>          cycles-7
28.01.2017  02:14    <DIR>          onewire-46
28.01.2017  02:14    <DIR>          smbus-1
28.01.2017  02:14    <DIR>          onewire-61
25.01.2017  10:30    <DIR>          Profi cash
25.01.2017  10:09    <DIR>          FreePDF
25.01.2017  02:14    <DIR>          maxbass-62
24.01.2017  18:07    <DIR>          Foxit ContentPlatform
22.01.2017  02:24    <DIR>          hardness-0
21.01.2017  02:13    <DIR>          glitch-83
17.01.2017  13:57    <DIR>          Package Cache
17.01.2017  10:54    <DIR>          yl
14.01.2017  09:01    <DIR>          Microsoft Help
10.08.2016  14:25    <DIR>          elsterformular
10.08.2016  11:41    <DIR>          Adobe
17.12.2015  21:28    <DIR>          Managed Online Backup
17.12.2015  13:21    <DIR>          GFI
12.08.2016  08:48    <DIR>          regid.1991-06.com.microsoft
               0 Datei(en),              0 Bytes
              27 Verzeichnis(se), 98.007.916.544 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "C:\Users\g.\AppData\Roaming" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\g.\AppData\Roaming

03.03.2017  17:53    <DIR>          ..
03.03.2017  17:53    <DIR>          .
15.02.2017  16:57    <DIR>          Mozilla
28.01.2017  02:16    <DIR>          homeplug-0
28.01.2017  02:16    <DIR>          microlan-2
28.01.2017  02:15    <DIR>          faraday-31
25.01.2017  02:16    <DIR>          ultra160-3
25.01.2017  02:13    <DIR>          screw-28
24.01.2017  18:11    <DIR>          Foxit Software
22.01.2017  02:15    <DIR>          fusion-2
21.01.2017  02:13    <DIR>          sepic-9
19.01.2017  12:00    <DIR>          Identities
12.08.2016  21:40    <DIR>          Profi cash
11.08.2016  11:34    <DIR>          elsterformular
11.08.2016  09:12    <DIR>          ClassicShell
17.12.2015  13:26    <DIR>          Intel Corporation
17.12.2015  13:26    <DIR>          Adobe
               0 Datei(en),              0 Bytes
              17 Verzeichnis(se), 98.007.916.544 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

03.03.2017  17:53    <DIR>          ..
03.03.2017  17:53    <DIR>          .
               0 Datei(en),              0 Bytes
               2 Verzeichnis(se), 98.007.916.544 Bytes frei

========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6509151 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 29596059 B
Edge => 0 B
Chrome => 169821327 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 0 B
g. => 80353430 B
j. => 10848 B
Büro => 883704 B
Administrator => 626009 B

RecycleBin => 165381 B
EmptyTemp: => 282.6 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 17:53:19 ====
         

Alt 03.03.2017, 20:52   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Und ein neuer Fix, denke wieder an die zensierten Usernamen




Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
C:\ProgramData\paraffin-0
C:\ProgramData\cycles-7
C:\ProgramData\onewire-46
C:\ProgramData\smbus-1
C:\ProgramData\onewire-61
C:\ProgramData\maxbass-62
C:\ProgramData\hardness-0
C:\ProgramData\glitch-83
C:\Users\g.\AppData\Roaming\homeplug-0
C:\Users\g.\AppData\Roaming\microlan-2
C:\Users\g.\AppData\Roaming\faraday-31
C:\Users\g.\AppData\Roaming\ultra160-3
C:\Users\g.\AppData\Roaming\screw-28
C:\Users\g.\AppData\Roaming\fusion-2
C:\Users\g.\AppData\Roaming\sepic-9
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming"
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.03.2017, 09:21   #15
Mitarbeiter
 
Trojaner o.ä. legt neue Dateien / Ordner an - Standard

Trojaner o.ä. legt neue Dateien / Ordner an



Beim jetzigen Öffnen von FRST kam "Failed to update (3)"

Fixlog:

Code:
ATTFilter
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-03-2017
durchgeführt von Administrator (07-03-2017 09:20:19) Run:2
Gestartet von C:\Users\Administrator\Downloads
Geladene Profile: Administrator (Verfügbare Profile: g. & j. & Büro & Administrator)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\ProgramData\paraffin-0
C:\ProgramData\cycles-7
C:\ProgramData\onewire-46
C:\ProgramData\smbus-1
C:\ProgramData\onewire-61
C:\ProgramData\maxbass-62
C:\ProgramData\hardness-0
C:\ProgramData\glitch-83
C:\Users\g.\AppData\Roaming\homeplug-0
C:\Users\g.\AppData\Roaming\microlan-2
C:\Users\g.\AppData\Roaming\faraday-31
C:\Users\g.\AppData\Roaming\ultra160-3
C:\Users\g.\AppData\Roaming\screw-28
C:\Users\g.\AppData\Roaming\fusion-2
C:\Users\g.\AppData\Roaming\sepic-9
cmd: dir /oge-d %APPDATA%
cmd: dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
cmd: dir /oge-d %PROGRAMDATA%
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming"
cmd: dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
emptytemp:
*****************

C:\ProgramData\paraffin-0 => erfolgreich verschoben
C:\ProgramData\cycles-7 => erfolgreich verschoben
C:\ProgramData\onewire-46 => erfolgreich verschoben
C:\ProgramData\smbus-1 => erfolgreich verschoben
C:\ProgramData\onewire-61 => erfolgreich verschoben
C:\ProgramData\maxbass-62 => erfolgreich verschoben
C:\ProgramData\hardness-0 => erfolgreich verschoben
C:\ProgramData\glitch-83 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\homeplug-0 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\microlan-2 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\faraday-31 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\ultra160-3 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\screw-28 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\fusion-2 => erfolgreich verschoben
C:\Users\g.\AppData\Roaming\sepic-9 => erfolgreich verschoben

========= dir /oge-d %APPDATA% =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\Administrator\AppData\Roaming

03.03.2017  12:24    <DIR>          ..
03.03.2017  12:24    <DIR>          .
25.01.2017  10:16    <DIR>          TeamViewer
24.01.2017  18:07    <DIR>          Foxit AgentInformation
24.01.2017  18:07    <DIR>          Foxit Software
23.01.2017  10:51    <DIR>          Adobe
11.08.2016  20:52    <DIR>          Profi cash
11.08.2016  09:53    <DIR>          ClassicShell
10.08.2016  14:24    <DIR>          elsterformular
07.03.2016  11:22    <DIR>          AVM
15.12.2015  09:24    <DIR>          Intel Corporation
               0 Datei(en),              0 Bytes
              11 Verzeichnis(se), 100.093.915.136 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

15.12.2015  14:46    <DIR>          ..
15.12.2015  14:46    <DIR>          .
               0 Datei(en),              0 Bytes
               2 Verzeichnis(se), 100.093.915.136 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d %PROGRAMDATA% =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\ProgramData

06.03.2017  18:12    <DIR>          versabus-7
06.03.2017  18:10    <DIR>          evsys-52
06.03.2017  12:26    <DIR>          GetSupportService_LOGICnow
03.03.2017  15:49    <DIR>          ManagedAntivirus
03.03.2017  15:46    <DIR>          Managed Antivirus
02.03.2017  15:23    <DIR>          Malwarebytes' Anti-Malware (portable)
02.03.2017  14:39    <DIR>          Malwarebytes
01.03.2017  13:05    <DIR>          Emsisoft
27.02.2017  01:10    <DIR>          AdvancedMonitoringAgentNetworkManagement
14.02.2017  17:51    <DIR>          GetSupportService
25.01.2017  10:30    <DIR>          Profi cash
25.01.2017  10:09    <DIR>          FreePDF
24.01.2017  18:07    <DIR>          Foxit ContentPlatform
17.01.2017  13:57    <DIR>          Package Cache
17.01.2017  10:54    <DIR>          yl
14.01.2017  09:01    <DIR>          Microsoft Help
10.08.2016  14:25    <DIR>          elsterformular
10.08.2016  11:41    <DIR>          Adobe
17.12.2015  21:28    <DIR>          Managed Online Backup
17.12.2015  13:21    <DIR>          GFI
12.08.2016  08:48    <DIR>          regid.1991-06.com.microsoft
               0 Datei(en),              0 Bytes
              21 Verzeichnis(se), 100.093.911.040 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "C:\Users\g.\AppData\Roaming" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\g.\AppData\Roaming

07.03.2017  09:20    <DIR>          ..
07.03.2017  09:20    <DIR>          .
06.03.2017  15:36    <DIR>          tssop-16
06.03.2017  09:36    <DIR>          intermod-1
15.02.2017  16:57    <DIR>          Mozilla
24.01.2017  18:11    <DIR>          Foxit Software
19.01.2017  12:00    <DIR>          Identities
12.08.2016  21:40    <DIR>          Profi cash
11.08.2016  11:34    <DIR>          elsterformular
11.08.2016  09:12    <DIR>          ClassicShell
17.12.2015  13:26    <DIR>          Intel Corporation
17.12.2015  13:26    <DIR>          Adobe
               0 Datei(en),              0 Bytes
              12 Verzeichnis(se), 100.093.906.944 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" =========

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: ABCD-0C20

 Verzeichnis von C:\Users\g.\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

06.03.2017  09:36    <DIR>          ..
06.03.2017  09:36    <DIR>          .
06.03.2017  09:36             1.035 intermod-0.lnk
               1 Datei(en),          1.035 Bytes
               2 Verzeichnis(se), 100.093.911.040 Bytes frei

========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3240596 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 23017 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 0 B
g. => 278752 B
j. => 0 B
Büro => 0 B
Administrator => 11686 B

RecycleBin => 0 B
EmptyTemp: => 11.4 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:20:22 ====
         
Auch nach dem Neustart und Öffnen von FRST wieder die Meldung "Faild to update (3)"

Geändert von Mitarbeiter (07.03.2017 um 09:38 Uhr)

Antwort

Themen zu Trojaner o.ä. legt neue Dateien / Ordner an
autoruns, code, cookie, dateien, detected, explorer, löschen, microsoft, natürlich, neue, nichts, ordner, problem, process, richtet, scan, schädling, server, software, super, system, tcp, trojaner, version, virus, winlogon



Ähnliche Themen: Trojaner o.ä. legt neue Dateien / Ordner an


  1. RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner
    Plagegeister aller Art und deren Bekämpfung - 22.03.2016 (6)
  2. Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet
    Nachrichten - 22.02.2016 (0)
  3. Verknüpfte Dateien/Ordner auf dem USB Stick
    Plagegeister aller Art und deren Bekämpfung - 19.05.2015 (7)
  4. immer wieder neue Setup.exe in Temp-Ordner
    Plagegeister aller Art und deren Bekämpfung - 31.12.2013 (12)
  5. Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (13)
  6. BKA Trojaner-Neue Version? Entschlüsseln der Dateien?
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (7)
  7. Ordner/Dateien verschwinden, mehrere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.12.2011 (13)
  8. TR/PSW.Zbot - eTrust legt auch wieder fleißig Ordner
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  9. Automatisch neue Ordner in Windows/Temp nach Trojan/Virusbefall
    Plagegeister aller Art und deren Bekämpfung - 27.05.2010 (2)
  10. ordner lässt sich absolut nicht löschen (neue art des problems)
    Alles rund um Windows - 20.03.2010 (9)
  11. Trojaner oder Virus + SYSTEM Ordner in C:Programme:gemeinsame Dateien ??
    Mülltonne - 02.11.2008 (1)
  12. Ständig neue Datei nach dem löschen in temp Ordner
    Log-Analyse und Auswertung - 15.08.2008 (22)
  13. E-Scan legt verdächtige Dateien an
    Diskussionsforum - 03.10.2007 (2)
  14. escan legt Ordner an?
    Log-Analyse und Auswertung - 21.03.2007 (3)
  15. Nervige Popups und dauernd neue Dateien im System32 Ordner
    Plagegeister aller Art und deren Bekämpfung - 19.02.2007 (4)
  16. Dateien und Ordner umbenennen?
    Alles rund um Windows - 22.07.2005 (6)
  17. Mega-Dateien im TEMP-Ordner????
    Alles rund um Windows - 07.12.2004 (2)

Zum Thema Trojaner o.ä. legt neue Dateien / Ordner an - Hallo, folgendes Problem: Auf einem System werden neue Ordner und Dateien angelegt. Systematik ist die folgende: ProgramData\yyyyy-3\yyyyy-8.exe AppData\xxxx-7\xxxx-1.exe PS: Das System wird gewerblich genutzt wir würden etwas spenden wenn das - Trojaner o.ä. legt neue Dateien / Ordner an...
Archiv
Du betrachtest: Trojaner o.ä. legt neue Dateien / Ordner an auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.