Hallo!

Ich benötige eure Hilfe bezüglich des im Titel genannten Virus bzw. Prozesses.

Ich betreue eine Tierklinik welche einen sonst einwandfrei laufenden Windows Server 2008 R2 dort stehen hat. Nun ist seit gestern dem Kunde aufgefallen, dass die Backup-Vorgänge anstatt z.B. einer Stunde jetzt plötzlich 4-6 Stunden dauern.

Als ich dann mir den Server genauer anschaute bemerkte ich relativ schnell einen mir bis dato unbekannten Prozess im Task-Manager: msiexev.exe

Dieser Prozess verursacht fast permanente 100% CPU-Last und sobald man ihn beendet startet er sich selbst automatisch nach ein paar Minuten erneut.

Der Prozess verweist auf eine Datei im Ordner Windows\security. Dieser Datei fehlen jegliche Dateieigenschaften (Keine Versionsnummer o.ä.)

Bei meiner Recherche bezüglich des Prozesses und dessen Herkunft war das erste was ich bemerkte, dass Onkel Google kaum etwas zu genau diesem Prozessnamen ausspuckt. Ich fand nur ein englisches Forum in welchem jemand genau die selben Probleme hatte. Auf dessen Beitrag antwortete jemand nur, dass dieser Prozess ein Virus sei, irgendwelche Lösungsansätze wurden jedoch nicht genannt.

Nachfolgend habe ich als erstes den AdwCleaner gestartet, welcher jedoch bis auf einen Ordner namens "DNR" im AppData\Local\Temp nichts fand. Darauf habe ich Malwarebytes drüber laufen lassen. Dieser fand 3 Bedrohungen bzw. Trojaner:

RiskWare.BitCoinMiner - Datei - C:\windows\winhlp32.tmp
Backdoor.Bot.E - Datei - C:\windows\csrss.exe
Backdoor.Bot.E - Prozess - C:\windows\csrss.exe

Diese wurden nachfolgend in Quarantäne verschoben. Leider startete weiterhin immer wieder die benannte msiexev.exe

Nun bin ich so ziemlich mit meinem Latein am Ende. Ich habe abschließend noch einen Scan mit HijackThis laufen lassen, bei welchem ich jedoch nicht handelte und mir nur den Log speicherte, da ich zu wenig mit dem Programm arbeite um zu wissen was man hier anwählen darf und was nicht.

Im Anhang findet ihr diesen Log. Falls sonst irgendwelche Angaben benötigt werden oder wie auch immer lasst es mich wissen ich werde mich dann schnellstmöglich darum kümmern.

Ich hoffe ihr könnt mir helfen.


Vielen Dank schon mal

Bitte zuerst mal die Regeln bzgl gewerblich genutzter Rechner lesen --> http://www.trojaner-board.de/108422-...-anfragen.html

Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".

Hallo,

ich habe mir die Regeln durchgelesen. Bezüglich des Datenschutzes sehe ich sowie der Kunde kein Problem. Ich denke eine kleine Spende wäre ebenfalls möglich.

Wie können Sie mir bzw. uns nun helfen?

Gut. Dann fang mal hiermit an:

Zitat:

Darauf habe ich Malwarebytes drüber laufen lassen. Dieser fand 3 Bedrohungen bzw. Trojaner:

Logs dazu vollständig und in CODE-Tags posten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Malwarebytes Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 28.04.2017
Suchlaufzeit: 14:14
Protokolldatei: LogFile MWB.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2017.04.28.05
Rootkit-Datenbank: v2017.04.02.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows Server 2008 R2 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Administrator

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 308814
Abgelaufene Zeit: 3 Min., 23 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 1
Backdoor.Bot.E, C:\Windows\csrss.exe, 3580, Löschen bei Neustart, [7afb797dbbed270fc25ab9cc8779e31d]

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 2
RiskWare.BitCoinMiner, C:\Windows\winhlp32.tmp, In Quarantäne, [cea7975f2c7c41f5791000869b6506fa], 
Backdoor.Bot.E, C:\Windows\csrss.exe, Löschen bei Neustart, [7afb797dbbed270fc25ab9cc8779e31d], 

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

Gab es noch weitere Funde? Wenn ja, alle Logs dazu posten.

Da ich erst bei der Einsicht des MBAM-Logs gesehen habe, dass nach keinerlei Rootkits gesucht wurde habe ich eine Suche nach genau diesen gerade angestoßen.

Hier noch der AdwCleaner Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v6.046 - Bericht erstellt am 28/04/2017 um 14:09:55
# Aktualisiert am 24/04/2017 von Malwarebytes
# Datenbank : 2017-04-24.1 [Lokal]
# Betriebssystem : Windows Server 2008 R2 Standard Service Pack 1 (X64)
# Benutzername : Administrator - SERVER2008
# Gestartet von : C:\Users\Administrator\Downloads\adwcleaner_6.046.exe
# Modus: Suchlauf
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****

Keine schädlichen Dienste gefunden.


***** [ Ordner ] *****

Ordner Gefunden: C:\Users\Administrator\AppData\Local\Temp\DMR


***** [ Dateien ] *****

Keine schädlichen Dateien gefunden.


***** [ DLL ] *****

Keine infizierten DLLs gefunden.


***** [ WMI ] *****

Keine schädlichen Schlüssel gefunden.


***** [ Verknüpfungen ] *****

Keine infizierten Verknüpfungen gefunden.


***** [ Aufgabenplanung ] *****

Keine schädlichen Aufgaben gefunden.


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden: HKLM\SOFTWARE\Classes\Microsoft.IIsScriptHelper
Schlüssel Gefunden: HKLM\SOFTWARE\Classes\Microsoft.IIsScriptHelper.1.0
Schlüssel Gefunden: [x64] HKLM\SOFTWARE\Classes\Microsoft.IIsScriptHelper
Schlüssel Gefunden: [x64] HKLM\SOFTWARE\Classes\Microsoft.IIsScriptHelper.1.0


***** [ Internetbrowser ] *****

Keine schädlichen Elemente in Firefox basierten Browsern gefunden.
Keine schädlichen Elemente in Chrome basierten Browsern gefunden.

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [1485 Bytes] - [28/04/2017 14:09:55]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1558 Bytes] ##########
         

Du solltest eigentlich KEINE neuen Scans machen. Nur das was vorhanden ist posten.

Oh entschuldige, ich habe den Scan direkt abgebrochen. Es wurde auch noch keinerlei Bedrohung gefunden.

Poste jetzt erstmal alle vorhandenen Logs mit Funden. Falls das alle waren bitte FRST. Und HijackThis bitte ganz schnell vergessen, das Tool ist uralt!


Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

FRST.txt:

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 01-05-2017
durchgeführt von Administrator (Administrator) auf SERVER2008 (02-05-2017 13:46:57)
Gestartet von C:\Users\Administrator\Desktop
Geladene Profile: Administrator (Verfügbare Profile: personal & Genia & Administrator & Classic .NET AppPool)
Platform: Windows Server 2008 R2 Standard Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 10 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Microsoft Corporation) C:\Windows\SysWOW64\svchost.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Marvell) C:\Program Files (x86)\Marvell\storage\svc\mvraidsvc.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
() C:\Windows\SysWOW64\NMSAccess32.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe
() C:\Windows\SDUIBCFJ\msdtc.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Star Finanz - Software Entwicklung und Vertriebs GmbH) F:\StarMoney_5\ouservice\StarMoneyOnlineUpdate.exe
(Star Finanz-Software Entwicklung und Vertriebs GmbH) F:\Star Money 6.0\ouservice\StarMoneyOnlineUpdate.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Star Finanz-Software Entwicklung und Vertriebs GmbH) M:\Star Money 7.0\ouservice\StarMoneyOnlineUpdate.exe
(GP. Software) C:\Program Files (x86)\GP.Software\Vetera Backup Service\Jobs.exe
(Microsoft Corporation) C:\Windows\SysWOW64\dllhost.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
() C:\Program Files (x86)\Marvell\storage\tray\MarvellTray.exe
() M:\Star Money 7.0\offlagent11\offlagent.exe
(Star Finanz - Software Entwicklung und Vertriebs GmbH) F:\StarMoney_5\offlagent7\offlagent.exe
(IMU-BerliNet) C:\Program Files (x86)\Z-VSScopy\Z-VSScopy.exe
(Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe
(Microsoft) C:\Program Files (x86)\GP.Software\Vetera License Server\VetLicService.exe
() C:\Program Files (x86)\GP.Software\Vetera Update Service\VetUpdateService.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Microsoft Corporation) C:\Windows\SysWOW64\inetsrv\w3wp.exe
(GP.Software) C:\Program Files (x86)\GP.Software\Vetera\Vetera.exe
() C:\Windows\Temp\wininit.exe
(TeamViewer GmbH) C:\Users\Administrator\AppData\Local\Temp\TeamViewer\Version7\TeamViewer.exe
(TeamViewer GmbH) C:\Users\Administrator\AppData\Local\Temp\TeamViewer\Version7\tv_w32.exe
(TeamViewer GmbH) C:\Users\Administrator\AppData\Local\Temp\TeamViewer\Version7\tv_x64.exe
(Malwarebytes) C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbam.exe
() C:\Windows\Temp\winsxslog\SystemIISSec.exe
() C:\Windows\Prefetch\wuauser.exe
() C:\Windows\security\msiexev.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\w3wp.exe
(TeamViewer GmbH) C:\Users\Administrator\AppData\Local\Temp\TeamViewer\Version7\TeamViewer_Desktop.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [IAStorIcon] => C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [285240 2012-09-01] (Intel Corporation)
HKLM-x32\...\Run: [MSUTray] => C:\Program Files (x86)\Marvell\storage\tray\MarvellTray.exe [1213952 2012-06-13] ()
HKLM-x32\...\Run: [SMB50StarMoneyRunEntry] => F:\StarMoney_5\app\oflagent.exe [56976 2014-02-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
HKLM-x32\...\Run: [SMB60StarMoneyRunEntry] => F:\Star Money 6.0\app\oflagent.exe [58688 2015-12-07] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
HKLM-x32\...\Run: [SMB7StarMoneyRunEntry] => M:\Star Money 7.0\app\oflagent.exe [29808 2017-03-23] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
Lsa: [Notification Packages] scecli rassfm
GroupPolicyScripts: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7cb6df29-736a-49b2-a684-dcac3389c3b8} <======= ACHTUNG (Beschränkung - IP)
Tcpip\..\Interfaces\{5E4317CF-D547-4149-90AE-434776D82E4B}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{A11ABE1F-7515-4939-8750-73CEBCFCEAA3}: [NameServer] 10.10.10.250,10.10.10.11

Internet Explorer:
==================
HKU\S-1-5-21-1168675458-2510169923-3152098694-500\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/HardAdmin.htm

FireFox:
========
FF ProfilePath: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\t87t7g6e.default [2017-04-28]
FF Extension: (Adblock Plus) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\t87t7g6e.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-04-28]
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Endpoint Antivirus\Mozilla Thunderbird => nicht gefunden
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll [2013-01-24] ( Microsoft Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2012-06-01] (Foxit Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll [2013-01-24] ( Microsoft Corporation)

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 fastuserswitchingcompatibility; C:\Windows\SysWOW64\ntfastuserswitchingcompatibility.dll [141872 2005-07-16] (Microsoft Corporation) [Datei ist nicht signiert]
S3 FCRegSvc; C:\Windows\system32\FCRegSvc.dll [25600 2009-07-14] (Microsoft Corporation)
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [15872 2010-11-21] (Microsoft Corporation)
S2 MBAMService; C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe [1135416 2015-10-05] (Malwarebytes)
R2 MSSQL$VETERA; C:\Program Files\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\sqlservr.exe [61913952 2010-04-03] (Microsoft Corporation)
S2 MSUWebService; C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe [24645 2011-11-22] (Apache Software Foundation) [Datei ist nicht signiert]
R2 NMSAccess; C:\Windows\SysWOW64\NMSAccess32.exe [71096 2009-01-12] ()
R2 NSLS; C:\Program Files (x86)\Common Files\microsoft shared\TextConv\NSLS.dll [342464 2009-08-17] () [Datei ist nicht signiert]
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [91648 2009-07-14] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [14848 2009-07-14] (Microsoft Corporation)
R2 SDUIBCFJ; C:\Windows\SDUIBCFJ\msdtc.exe [1877504 2017-04-26] () [Datei ist nicht signiert]
S4 SQLAgent$VETERA; C:\Program Files\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\SQLAGENT.EXE [428384 2010-04-03] (Microsoft Corporation)
R2 StarMoney Business 5.0 OnlineUpdate; F:\StarMoney_5\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
R2 StarMoney Business 6.0 OnlineUpdate; F:\Star Money 6.0\ouservice\StarMoneyOnlineUpdate.exe [697488 2014-07-04] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
R2 StarMoney Business 7 OnlineUpdate; M:\Star Money 7.0\ouservice\StarMoneyOnlineUpdate.exe [701760 2016-11-25] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
R2 VetBackupService; C:\Program Files (x86)\GP.Software\Vetera Backup Service\Jobs.exe [52224 2016-07-26] (GP. Software) [Datei ist nicht signiert]
R2 VetLicService; C:\Program Files (x86)\GP.Software\Vetera License Server\VetLicService.exe [6144 2012-03-05] (Microsoft) [Datei ist nicht signiert]
R2 VetUpdateService; C:\Program Files (x86)\GP.Software\Vetera Update Service\VetUpdateService.exe [9216 2012-03-05] () [Datei ist nicht signiert]
U2 WELM; C:\Windows\Prefetch\wuauser.exe [207360 2017-04-26] () [Datei ist nicht signiert]
S2 WLMS; C:\Windows\system32\wlms\wlms.exe [19456 2010-11-21] (Microsoft Corporation)
U2 WMSA; C:\Windows\Wmsa.dll [89204 2017-04-26] () [Datei ist nicht signiert]
S3 WMSVC; C:\Windows\system32\inetsrv\wmsvc.exe [10752 2009-07-14] (Microsoft Corporation)
R2 Z-VSScopy; C:\Program Files (x86)\Z-VSScopy\Z-VSScopy.exe [758376 2012-11-06] (IMU-BerliNet)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [28216 2012-09-01] (Intel Corporation)
S3 ioatdma; C:\Windows\System32\Drivers\qd260x64.sys [35328 2009-06-10] (Intel Corporation)
S3 L1C; C:\Windows\System32\DRIVERS\L1C62x64.sys [104560 2012-04-25] (Qualcomm Atheros Co., Ltd.)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25816 2015-10-05] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2017-05-02] (Malwarebytes)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [63704 2015-10-05] (Malwarebytes Corporation)
R3 Mv_Process; c:\windows\syswow64\mv_process.sys [14376 2011-11-22] ()
S0 sacdrv; C:\Windows\System32\DRIVERS\sacdrv.sys [96320 2009-07-14] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

NETSVC: sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
NETSVCx32: WMSA -> C:\Windows\Wmsa.dll ()
NETSVCx32: winbit0sr -> C:\Windows\Wmsa.dll ()

==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-02 13:46 - 2017-05-02 13:47 - 00011257 _____ C:\Users\Administrator\Desktop\FRST.txt
2017-05-02 13:46 - 2017-05-02 13:46 - 00000000 ____D C:\FRST
2017-05-02 13:44 - 2017-05-02 13:42 - 02428416 _____ (Farbar) C:\Users\Administrator\Desktop\FRST64.exe
2017-04-28 14:28 - 2017-04-28 14:28 - 00388608 _____ (Trend Micro Inc.) C:\Users\Administrator\Downloads\hijackthis.exe
2017-04-28 14:12 - 2017-05-02 11:30 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2017-04-28 14:12 - 2017-04-28 14:12 - 00001108 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2017-04-28 14:12 - 2017-04-28 14:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2017-04-28 14:12 - 2017-04-28 14:12 - 00000000 ____D C:\ProgramData\Malwarebytes
2017-04-28 14:12 - 2017-04-28 14:12 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2017-04-28 14:12 - 2015-10-05 09:50 - 00109272 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2017-04-28 14:12 - 2015-10-05 09:50 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2017-04-28 14:12 - 2015-10-05 09:50 - 00025816 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2017-04-28 14:09 - 2017-04-28 14:43 - 00000000 ____D C:\AdwCleaner
2017-04-28 14:08 - 2017-04-28 14:11 - 60107896 _____ (Malwarebytes ) C:\Users\Administrator\Downloads\mb3-setup-consumer-3.0.6.1469-10103.exe
2017-04-28 14:07 - 2017-04-28 14:08 - 04102600 _____ C:\Users\Administrator\Downloads\adwcleaner_6.046.exe
2017-04-28 08:17 - 2017-04-28 08:17 - 03028503 _____ C:\Windows\winsxslog.rar
2017-04-26 23:05 - 2017-04-28 14:30 - 00000000 ____D C:\Windows\winsxslog
2017-04-26 23:04 - 2017-04-28 08:17 - 00276480 _____ C:\Windows\un.exe
2017-04-26 23:03 - 2017-04-26 23:03 - 00000000 ____D C:\Windows\SDUIBCFJ
2017-04-26 19:42 - 2017-04-26 19:42 - 00000434 _____ C:\Users\Public\rollback.vbs
2017-04-26 11:19 - 2017-04-26 11:19 - 00000000 ____D C:\ProgramData\kira
2017-04-26 10:40 - 2017-04-26 10:40 - 00048128 _____ C:\Windows\wmsa.exe
2017-04-26 03:19 - 2017-04-26 03:19 - 00089204 _____ C:\Windows\Wmsa.dll
2017-04-23 23:37 - 2017-04-23 23:37 - 00281048 _____ C:\Windows\Minidump\042317-15132-01.dmp
2017-04-21 20:34 - 2017-04-23 23:37 - 910229650 _____ C:\Windows\MEMORY.DMP
2017-04-21 20:34 - 2017-04-21 20:34 - 00281048 _____ C:\Windows\Minidump\042117-15256-01.dmp

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-02 13:47 - 2013-01-20 17:24 - 04568272 _____ C:\Windows\SysWOW64\za_mv_raid.ev
2017-05-02 13:47 - 2013-01-20 17:24 - 00031744 _____ C:\Windows\SysWOW64\freqdb.db
2017-05-02 13:47 - 2013-01-20 17:22 - 00000112 _____ C:\Windows\seqlog
2017-04-29 16:27 - 2013-01-20 17:24 - 00003144 _____ C:\Windows\System32\Tasks\ZDB-JobNr-02
2017-04-29 16:27 - 2013-01-20 17:24 - 00000358 _____ C:\Windows\Tasks\ZDB-JobNr-02.job
2017-04-28 15:01 - 2013-01-20 17:24 - 00003144 _____ C:\Windows\System32\Tasks\ZDB-JobNr-01
2017-04-28 15:01 - 2013-01-20 17:24 - 00000358 _____ C:\Windows\Tasks\ZDB-JobNr-01.job
2017-04-28 15:00 - 2013-01-20 17:24 - 00003142 _____ C:\Windows\System32\Tasks\ZDB-JobNr-08
2017-04-28 15:00 - 2013-01-20 17:24 - 00003130 _____ C:\Windows\System32\Tasks\ZDB-JobNr-05
2017-04-28 15:00 - 2013-01-20 17:24 - 00000356 _____ C:\Windows\Tasks\ZDB-JobNr-08.job
2017-04-28 15:00 - 2013-01-20 17:24 - 00000344 _____ C:\Windows\Tasks\ZDB-JobNr-05.job
2017-04-28 15:00 - 2009-07-14 06:49 - 00023680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-04-28 15:00 - 2009-07-14 06:49 - 00023680 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-04-28 14:59 - 2013-01-20 17:24 - 00003150 _____ C:\Windows\System32\Tasks\ZDB-JobNr-04
2017-04-28 14:59 - 2013-01-20 17:24 - 00000364 _____ C:\Windows\Tasks\ZDB-JobNr-04.job
2017-04-28 14:59 - 2010-11-21 07:44 - 00640358 _____ C:\Windows\system32\perfh007.dat
2017-04-28 14:59 - 2010-11-21 07:44 - 00133896 _____ C:\Windows\system32\perfc007.dat
2017-04-28 14:59 - 2009-07-14 07:10 - 01481146 _____ C:\Windows\system32\PerfStringBackup.INI
2017-04-28 14:59 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2017-04-28 14:58 - 2013-01-20 17:24 - 00003148 _____ C:\Windows\System32\Tasks\ZDB-JobNr-03
2017-04-28 14:58 - 2013-01-20 17:24 - 00000362 _____ C:\Windows\Tasks\ZDB-JobNr-03.job
2017-04-28 14:56 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\system32\inetsrv
2017-04-28 14:54 - 2009-07-14 07:06 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-04-28 14:31 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\security
2017-04-26 11:39 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\Registration
2017-04-23 23:37 - 2013-01-20 17:21 - 00000000 ____D C:\Windows\Minidump

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2013-01-20 17:09 - 2012-11-16 00:25 - 0033504 _____ () C:\Users\Administrator\AppData\Local\dd_depcheck_NETFX_EXP_35.txt
2013-01-20 17:09 - 2012-11-16 00:25 - 0000600 _____ () C:\Users\Administrator\AppData\Local\dd_dotnetfx35error.txt
2013-01-20 17:09 - 2012-11-16 00:25 - 0058420 _____ () C:\Users\Administrator\AppData\Local\dd_dotnetfx35install.txt
2013-08-20 10:45 - 2013-08-20 10:45 - 0000017 _____ () C:\Users\Administrator\AppData\Local\resmon.resmoncfg
2013-01-20 17:09 - 2012-11-16 00:25 - 0001768 _____ () C:\Users\Administrator\AppData\Local\uxeventlog.txt

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Public\rollback.vbs


==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-04-23 00:49

==================== Ende von FRST.txt ============================
         

Addition.txt:

Code: Alles auswählenAufklappen

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 01-05-2017
durchgeführt von Administrator (02-05-2017 13:48:01)
Gestartet von C:\Users\Administrator\Desktop
Windows Server 2008 R2 Standard Service Pack 1 (X64) (2012-11-15 21:06:20)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1168675458-2510169923-3152098694-500 - Administrator - Enabled) => C:\Users\Administrator
Andrea (S-1-5-21-1168675458-2510169923-3152098694-1002 - Limited - Enabled)
Bettina (S-1-5-21-1168675458-2510169923-3152098694-1009 - Limited - Enabled)
Bärbel (S-1-5-21-1168675458-2510169923-3152098694-1003 - Limited - Enabled)
CuraAPP (S-1-5-21-1168675458-2510169923-3152098694-1004 - Limited - Enabled)
dsservice (S-1-5-21-1168675458-2510169923-3152098694-1005 - Limited - Enabled)
Ele (S-1-5-21-1168675458-2510169923-3152098694-1019 - Limited - Enabled)
Gast (S-1-5-21-1168675458-2510169923-3152098694-501 - Limited - Enabled)
Genia (S-1-5-21-1168675458-2510169923-3152098694-1010 - Limited - Enabled) => C:\Users\Genia
Geniahome (S-1-5-21-1168675458-2510169923-3152098694-1006 - Limited - Enabled)
Kai (S-1-5-21-1168675458-2510169923-3152098694-1011 - Limited - Enabled)
Michael (S-1-5-21-1168675458-2510169923-3152098694-1012 - Limited - Enabled)
personal (S-1-5-21-1168675458-2510169923-3152098694-1007 - Limited - Enabled) => C:\Users\personal
Remote (S-1-5-21-1168675458-2510169923-3152098694-1008 - Limited - Enabled)
_vetera_ (S-1-5-21-1168675458-2510169923-3152098694-1018 - Administrator - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (HKLM-x32\...\{3108C217-BE83-42E4-AE9E-A56A2A92E549}) (Version: 2.0.15.16 - Atheros Communications Inc.)
Foxit Reader (HKLM-x32\...\{27E3028E-06C8-4C09-8C3E-07F7F508304E}) (Version: 5.3.1.606 - Foxit Corporation)
GDR 1617 für SQL Server 2008 R2 (KB2494088) (64-bit) (HKLM\...\KB2494088) (Version: 10.50.1617.0 - Microsoft Corporation)
Hotfix für Microsoft Visual Studio 2007 Tools for Applications - ENU (KB947789) (HKLM-x32\...\{8343C2D8-09DF-38B3-9D1A-A26148918E45}.KB947789) (Version: 1 - Microsoft Corporation)
Intel(R) Control Center (HKLM-x32\...\{F8A9085D-4C7A-41a9-8A77-C8998A96C421}) (Version: 1.2.1.1008 - Intel Corporation)
Intel(R) Network Connections Drivers (HKLM\...\PROSet) (Version: 17.4 - Intel)
Intel(R) OpenCL CPU Runtime (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version:  - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 8.15.10.2712 - Intel Corporation)
Intel(R) Rapid Storage Technology (HKLM-x32\...\{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}) (Version: 11.6.0.1030 - Intel Corporation)
Malwarebytes Anti-Malware Version 2.2.0.1024 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.0.1024 - Malwarebytes)
marvell 91xx driver (HKLM-x32\...\MagniDriver) (Version: 1.2.0.1020 - Marvell)
Marvell Storage Utility V4 (HKLM-x32\...\mvMSU) (Version: 4.1.0.2013 - Marvell)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Report Viewer Redistributable 2008 SP1 (HKLM-x32\...\Microsoft Report Viewer Redistributable 2008 (KB971119)) (Version:  - Microsoft Corporation)
Microsoft Report Viewer Redistributable 2008 SP1 Language Pack - DEU (HKLM-x32\...\Microsoft Report Viewer Redistributable 2008 SP1 Language Pack - DEU) (Version:  - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 (64-bit) (HKLM\...\Microsoft SQL Server 2008 R2) (Version:  - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Native Client (HKLM\...\{362A3FDF-B12E-436A-9097-1B795A9FFCC5}) (Version: 10.50.1617.0 - Microsoft Corporation)
Microsoft SQL Server 2008 R2 Setup (English) (HKLM\...\{79FB3E7E-FD92-49A9-AAD1-193EE4CB85D3}) (Version: 10.50.1617.0 - Microsoft Corporation)
Microsoft SQL Server 2008 R2-Richtlinien (HKLM-x32\...\{78033A38-50E2-4A65-823F-C1B34DF9FE41}) (Version: 10.50.1600.1 - Microsoft Corporation)
Microsoft SQL Server Browser (HKLM-x32\...\{8DD113A8-811A-404E-A4D7-443D014946AC}) (Version: 10.50.1600.1 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 DEU (HKLM-x32\...\{0125D081-30D0-4A97-82A8-C28D444B6256}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server Compact 3.5 SP2 Query Tools DEU (HKLM-x32\...\{3888A22E-1A9E-4DBE-A93B-42385141F37D}) (Version: 3.5.8080.0 - Microsoft Corporation)
Microsoft SQL Server VSS Writer (HKLM\...\{FBBA9369-3A6B-4EE3-9C53-DA0D29C2FC95}) (Version: 10.50.1600.1 - Microsoft Corporation)
Microsoft Visual Studio Tools for Applications 2.0 - ENU (HKLM-x32\...\{4ECF4BDC-8387-329A-ABE9-CF5798F84BB2}) (Version: 9.0.35191 - Microsoft Corporation)
Microsoft Visual Studio Tools for Applications 2.0 Language Pack - DEU (HKLM-x32\...\{8343C2D8-09DF-38B3-9D1A-A26148918E45}) (Version: 9.0.35191 - Microsoft Corporation)
Mozilla Firefox 40.0.3 (x86 de) (HKLM-x32\...\Mozilla Firefox 40.0.3 (x86 de)) (Version: 40.0.3 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 40.0.3.5716 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
MSXML 4.0 SP2 Parser und SDK (HKLM-x32\...\{716E0306-8318-4364-8B8F-0CC4E9376BAC}) (Version: 4.20.9818.0 - Microsoft Corporation)
SQL Server 2008 R2 Common Files (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
SQL Server 2008 R2 Database Engine Services (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
SQL Server 2008 R2 Database Engine Shared (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
SQL Server 2008 R2 Management Studio (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
Sql Server Customer Experience Improvement Program (Version: 10.50.1600.1 - Microsoft Corporation) Hidden
StarMoney (x32 Version: 3.0.5.8 - StarFinanz) Hidden
StarMoney (x32 Version: 4.0.1.51 - StarFinanz) Hidden
StarMoney (x32 Version: 5.0.0.226 - StarFinanz) Hidden
StarMoney Business 5.0 Deutsche Bank Edition (HKLM-x32\...\{5CBE9320-392A-4DAC-83D2-AC39F44BF1F6}) (Version: 5.0 - Star Finanz GmbH)
StarMoney Business 6.0 Deutsche Bank Edition (HKLM-x32\...\{5A96AB4E-5F21-4ACB-996D-3E367EA7A8D4}) (Version: 6.0 - Star Finanz GmbH)
StarMoney Business 7  (HKLM-x32\...\{77E9C62D-57FD-458F-9C6E-A73025D5DAE6}) (Version: 7 - Star Finanz GmbH)
Unterstützungsdateien für Microsoft SQL Server 2008-Setup  (HKLM\...\{6AF73222-EE90-434C-AE7E-B96F70A68D89}) (Version: 10.1.2731.0 - Microsoft Corporation)
Vetera (HKLM-x32\...\{B8407B2E-548F-4A8D-865E-9041CE7AD9F9}) (Version: 61.20.196 - GP.Software)
Vetera Backup Service (HKLM-x32\...\{50D7ECDF-BFB0-4087-B194-34ADC825E49A}) (Version: 1.5.7 - GP.Software)
Vetera License Server (HKLM-x32\...\{1514B38E-49B6-4A12-9461-BB35DDE9F0FB}) (Version: 1.1.11.120305 - GP.Software)
Vetera Mobile (HKLM-x32\...\{2A59273C-F11A-46D2-92B6-10C743478216}) (Version: 1.0.18.130813 - GP.Software)
Vetera Update Service (HKLM-x32\...\{181C36F8-3785-450E-BB82-70C73CFAE523}) (Version: 1.0.5.120305 - GP.Software)
WinRAR 4.20 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 4.20.0 - win.rar GmbH)
Z-Cron (HKLM-x32\...\{C870A5F5-CC9B-45B6-8542-44C7615406AD}) (Version: 4.9.0.21 - IMU Andreas Baumann)
Z-DBackup (HKLM-x32\...\{E5ADCCE6-14EB-4C77-9475-38D52DB61532}) (Version: 5.9.0.47 - Andreas Baumann)
Z-DBackup (HKLM-x32\...\{F2DA54F3-F7FB-4AE8-9B33-BEA5391E4A03}) (Version: 5.9.0.47 - IMU Andreas Baumann)
Z-VSScopy (HKLM-x32\...\{29AC4CDE-DD2A-4723-9920-4A0EF920BA31}) (Version: 1.7.0.8 - IMU Andreas Baumann)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {046A14F9-966F-488E-8FE5-8AF82B21685C} - System32\Tasks\ZDB-JobNr-05 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {63EE8552-A444-4BA2-8E1E-C8350D6D412A} - System32\Tasks\Microsoft\Windows\Server Manager\ServerManager => C:\Windows\system32\ServerManagerLauncher.exe [2009-07-14] (Microsoft Corporation)
Task: {69110D7B-41DC-4E9D-BDD3-C826C7DB613B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleUsageCollector => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
Task: {9D17EFC3-C407-492E-B7CB-CF1E40FC0F92} - System32\Tasks\ZDB-JobNr-01 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {AFECE848-8DA2-461B-B5E6-CBEF57A4DF7D} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerRoleCollector => C:\Windows\system32\ceiprole.exe [2010-11-21] (Microsoft Corporation)
Task: {BD39820F-AF0F-4525-A6A5-C2821687ECC2} - System32\Tasks\ZDB-JobNr-02 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {C29BD42C-B93C-4EE8-B814-A4586CA84D4B} - System32\Tasks\VetLicTask => net 
Task: {D49A10DA-0F70-4779-BD96-B2D976A4F2E3} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Server\ServerCeipAssistant => C:\Windows\system32\ceipdata.exe [2010-11-21] (Microsoft Corporation)
Task: {E75030DE-3F2B-435A-A545-10D34B643D23} - System32\Tasks\ZDB-JobNr-04 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {EB05D475-48F9-4E45-BBAE-93692DAB911F} - System32\Tasks\ZDB-JobNr-08 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {F6A59D80-D3E7-4A53-B1AB-EAAC8E058B54} - System32\Tasks\ZDB-JobNr-03 => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe [2012-11-22] (IMU-BerliNet)
Task: {F7672772-DAA9-4D4B-B529-1D35B1FDA1AB} - System32\Tasks\VetUpdateTask => net 

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\ZDB-JobNr-01.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe
Task: C:\Windows\Tasks\ZDB-JobNr-02.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe
Task: C:\Windows\Tasks\ZDB-JobNr-03.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe
Task: C:\Windows\Tasks\ZDB-JobNr-04.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe
Task: C:\Windows\Tasks\ZDB-JobNr-05.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe
Task: C:\Windows\Tasks\ZDB-JobNr-08.job => C:\Program Files (x86)\Z-DBackup\ZDBackup.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2013-01-20 17:24 - 2009-01-12 08:15 - 00071096 _____ () C:\Windows\SysWOW64\NMSAccess32.exe
2017-04-26 23:03 - 2017-04-26 23:03 - 01877504 _____ () C:\Windows\SDUIBCFJ\msdtc.exe
2013-01-20 17:24 - 2012-03-27 02:33 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2013-01-20 17:05 - 2012-06-13 04:34 - 01213952 _____ () C:\Program Files (x86)\Marvell\storage\tray\MarvellTray.exe
2016-11-08 02:53 - 2016-11-08 02:51 - 00174400 ____N () M:\Star Money 7.0\offlagent11\offlagent.exe
2013-01-20 17:05 - 2012-03-05 13:11 - 00009216 _____ () C:\Program Files (x86)\GP.Software\Vetera Update Service\VetUpdateService.exe
2017-04-28 14:38 - 2017-04-30 14:55 - 01631232 _____ () C:\Windows\Temp\wininit.exe
2017-04-28 14:39 - 2016-12-26 17:12 - 02594816 ____N () C:\Windows\Temp\winsxslog\SystemIISSec.exe
2017-04-26 03:19 - 2017-04-26 10:40 - 00207360 _____ () C:\Windows\Prefetch\wuauser.exe
2017-04-28 14:31 - 2017-04-28 14:31 - 01233408 _____ () C:\Windows\security\msiexev.exe
2017-04-26 03:19 - 2017-04-26 03:19 - 00089204 _____ () c:\windows\wmsa.dll
2009-08-17 20:00 - 2009-08-17 20:00 - 00342464 _____ () C:\Program Files (x86)\Common Files\microsoft shared\TextConv\NSLS.dll
2013-02-15 07:37 - 2011-01-13 12:44 - 00232800 ____N () F:\StarMoney_5\ouservice\PATCHW32.dll
2014-08-02 09:40 - 2011-01-13 12:44 - 00232800 ____N () F:\Star Money 6.0\ouservice\PATCHW32.dll
2016-12-14 04:14 - 2016-01-28 16:33 - 01058624 _____ () M:\Star Money 7.0\ouservice\libxml2.dll
2016-12-14 04:14 - 2011-01-13 12:44 - 00232800 _____ () M:\Star Money 7.0\ouservice\PATCHW32.dll
2016-12-15 15:35 - 2016-12-15 15:35 - 12938752 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetInit\e0339452795e90ea852391a1ce38a30a\VetInit.ni.dll
2016-12-15 15:35 - 2016-12-15 15:35 - 07655936 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetBib\c04ef2f2c25f2780c1105b53a8ff3d4a\VetBib.ni.dll
2016-12-15 15:36 - 2016-12-15 15:36 - 99319808 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetDB\4b721b7042d7b771a625f5a6dcc50fa3\VetDB.ni.dll
2016-12-15 15:35 - 2016-12-15 15:35 - 00020992 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetLogger\91072e3d1dd363493e62425cedb9661c\VetLogger.ni.dll
2013-01-20 17:06 - 2010-12-06 23:17 - 00073728 _____ () C:\Program Files (x86)\Z-VSScopy\FASTCRC.DLL
2015-11-25 18:23 - 2015-11-25 18:23 - 00012288 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetLogger\9599a22b6f824917c02f6ed5edc6fa69\VetLogger.ni.dll
2015-11-25 18:23 - 2015-11-25 18:23 - 00020992 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetUpdateService\38f34dc4429415f8bedbfd50909f77f6\VetUpdateService.ni.exe
2015-11-25 18:23 - 2015-11-25 18:23 - 00009216 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetUpdateContract\58ef9924ed6fbf0a163ffa90597c1f3a\VetUpdateContract.ni.dll
2015-11-25 18:26 - 2015-11-25 18:26 - 00016384 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\PSIClient\23cb3c4c57deda20fae679e26bcd1c4e\PSIClient.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 07657984 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetBib\a51cb5541f454ec9ce3509a7875fa87f\VetBib.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 24905728 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetSys\fa85d124af29d04883aaa4fee038bdbb\VetSys.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 12958208 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetInit\c91ddb6a799dc9b14537f9d18548808f\VetInit.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 99521536 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetDB\153dde9c4e603a31d1f65dfd9799f51e\VetDB.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 00022016 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetLogger\109dc45dbcf382e7b1714d96df413e8c\VetLogger.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 00056832 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetProgress\8d06b687c606aed165ca9084b6839d50\VetProgress.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00022016 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetAuthentication\6c6ad5135f761eee25929e04a10cb52b\VetAuthentication.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 00167936 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetResources\b817ba2996e0f083cfbdb180d2ba4efe\VetResources.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00018944 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\ProgressLib\4a89da5215d3df819fae8409c9d65ec4\ProgressLib.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 02543104 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetLLPrint\5dfd381ab739203890c1edb55501cd28\VetLLPrint.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00146944 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetSepa\5a58ce39d32664c012460fd2fe997f5e\VetSepa.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 00267776 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetProofManager\c907aa870ef2c37658b14b1d2e958b50\VetProofManager.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 07192064 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetUpdateTbls\774e5cc9e5705a7c09326de5c7ed287b\VetUpdateTbls.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00202752 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetDeletedVisits\bf5142a407f634de69a438892669853e\VetDeletedVisits.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00344576 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetInsemination\6da99a78a4f2f024ad703162535cfa2c\VetInsemination.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00565760 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetImpfung\5ee5b6413f893ed5d83b3129775efc61\VetImpfung.ni.exe
2016-12-15 15:12 - 2016-12-15 15:12 - 04093440 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetCControls\2fc92022afe5b2eb5093dca1bdd10456\VetCControls.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00532992 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetPermission\4b0093b5d59d1aec6c730b1e52670515\VetPermission.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 01367552 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetText\62c8445b9c112ede2ff8d82357ce72dd\VetText.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00017408 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetTeamViewer\e05f2bedc713974060ee7906d9216707\VetTeamViewer.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00900608 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetRtfPrint\9e134ecba5f94ab055eea6bdcb0a2a6c\VetRtfPrint.ni.dll
2016-12-15 15:11 - 2016-12-15 15:11 - 00019456 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetUp\1d6bd614fc658bd9f588d44d0eecba8e\VetUp.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 02981376 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetControls\17e20d36cfce739f716dd196cc0882e9\VetControls.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00073728 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\UpdateWebRequest\1fa8e6089b272f3d1905e5fe28b8d20a\UpdateWebRequest.ni.dll
2015-11-25 18:25 - 2015-11-25 18:25 - 00880128 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\ITapi3\349b052558daf50a66b5cb693977c8c6\ITapi3.ni.dll
2016-02-03 17:07 - 2016-02-03 17:07 - 00410112 _____ () C:\Program Files (x86)\GP.Software\Vetera\ITapi3.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00051712 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\ControlCenter\517e920bf83f769e815fb2e062471c36\ControlCenter.ni.exe
2016-12-15 15:12 - 2016-12-15 15:12 - 00044032 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetMessage\bd96d0db017b58998d08acc1a512ad91\VetMessage.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 00707072 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetChat\6d9fc7c8f337bdde84aac0fb464f7ce9\VetChat.ni.dll
2016-12-15 15:12 - 2016-12-15 15:12 - 09002496 _____ () C:\Windows\assembly\NativeImages_v4.0.30319_32\VetJournal\fb83043bd7dd4af1e983054e8183ceaa\VetJournal.ni.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1168675458-2510169923-3152098694-500\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 10.10.10.250 - 10.10.10.11
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [ComPlusRemoteAdministration-DCOM-In] => (Allow) %systemroot%\system32\dllhost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [DfsMgmt-In-TCP] => (Allow) %systemroot%\system32\dfsfrsHost.exe
FirewallRules: [{FD54FB78-0F7B-4D6D-AB36-70702B7C2862}] => (Allow) LPort=1433
FirewallRules: [{407EC21E-811A-4179-BE96-2C9B9BC8D30A}] => (Allow) LPort=1434
FirewallRules: [{1081E0DC-2444-43D9-A526-45A32A13A477}] => (Allow) C:\Program Files\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\sqlservr.exe
FirewallRules: [{E1BD8A65-2DCC-4A5B-8B04-D08A8DEEF840}] => (Allow) C:\Program Files\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\sqlservr.exe
FirewallRules: [{47CA8935-47B2-4785-A065-14DB4E7124F7}] => (Allow) %ProgramFiles%\Microsoft SQL Server\MSSQL10_50.VETERA\MSSQL\Binn\sqlservr.exe
FirewallRules: [{534502BB-1FE2-4AD6-B6F3-44670F979DBA}] => (Allow) LPort=80
FirewallRules: [{3671388C-F4CD-4A8B-BD11-0E220422C0C3}] => (Allow) F:\StarMoney_5\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{866ADAD7-0A3A-4EC1-BD07-F82BE49A17C3}] => (Allow) F:\StarMoney_5\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{25AD2244-526C-4DCE-BAD3-8F1891C27099}] => (Allow) F:\StarMoney_5\app\StarMoney.exe
FirewallRules: [{0B685365-B629-40AE-9931-BFC9B84847FE}] => (Allow) F:\StarMoney_5\app\StarMoney.exe
FirewallRules: [{B71A4371-7FDE-45B9-B115-C2350C14C39D}] => (Allow) F:\Star Money 6.0\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{BFD23B77-ABE6-41A8-A0FD-C602BC377551}] => (Allow) F:\Star Money 6.0\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{1C1A5703-62FA-44C0-B044-9047FF724C61}] => (Allow) F:\Star Money 6.0\app\StarMoney.exe
FirewallRules: [{B4B7A2A1-3D36-4286-9B56-CBA4DDD45767}] => (Allow) F:\Star Money 6.0\app\StarMoney.exe
FirewallRules: [{B30CC640-5F60-46CC-8B96-8A499DAC0DED}] => (Allow) LPort=80
FirewallRules: [{E8A4D121-BEB8-4E59-81CD-95462273D645}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{A03E880C-4203-489E-A8DA-353AE484B52F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{56664EDA-FD46-49B4-BC81-6227B284B50C}] => (Allow) M:\Star Money 7.0\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{D70E65BA-F1D8-4CA7-95CC-DB85AD89454C}] => (Allow) M:\Star Money 7.0\ouservice\StarMoneyOnlineUpdate.exe
FirewallRules: [{50512E08-9BDB-4D2B-94B7-C05F4AF2D5C3}] => (Allow) M:\Star Money 7.0\app\StarMoney.exe
FirewallRules: [{CE5F020C-E585-4B37-996C-F50FEF66B848}] => (Allow) M:\Star Money 7.0\app\StarMoney.exe
FirewallRules: [{F2A8611C-9300-4099-AF72-9D4D4DC7474C}] => (Block) LPort=445
FirewallRules: [{31425C4F-6C6F-480A-8F44-267F338793DF}] => (Block) LPort=445

==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
Description: Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Atheros
Service: L1C
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (05/02/2017 11:53:03 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: SystemIIS.exe, Version: 0.0.0.0, Zeitstempel: 0x00043e66
Name des fehlerhaften Moduls: SystemIIS.exe, Version: 0.0.0.0, Zeitstempel: 0x00043e66
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000034510
ID des fehlerhaften Prozesses: 0x6f8
Startzeit der fehlerhaften Anwendung: 0x01d2c329e3637d52
Pfad der fehlerhaften Anwendung: C:\Windows\Temp\winsxslog\SystemIIS.exe
Pfad des fehlerhaften Moduls: C:\Windows\Temp\winsxslog\SystemIIS.exe
Berichtskennung: 21f6edad-2f1d-11e7-a022-902b343f67a5

Error: (04/30/2017 02:56:04 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: SystemIIS.exe, Version: 0.0.0.0, Zeitstempel: 0x00043e66
Name des fehlerhaften Moduls: SystemIIS.exe, Version: 0.0.0.0, Zeitstempel: 0x00043e66
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000034510
ID des fehlerhaften Prozesses: 0x3620
Startzeit der fehlerhaften Anwendung: 0x01d2c1b12011d97a
Pfad der fehlerhaften Anwendung: C:\Windows\Temp\winsxslog\SystemIIS.exe
Pfad des fehlerhaften Moduls: C:\Windows\Temp\winsxslog\SystemIIS.exe
Berichtskennung: 5e56bc6b-2da4-11e7-a022-902b343f67a5

Error: (04/28/2017 02:57:02 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: httpd.exe, Version: 2.2.15.0, Zeitstempel: 0x4b8fed95
Name des fehlerhaften Moduls: mrxparser.dll, Version: 1.0.0.18, Zeitstempel: 0x5007de9b
Ausnahmecode: 0xc0000417
Fehleroffset: 0x0019d012
ID des fehlerhaften Prozesses: 0x10d0
Startzeit der fehlerhaften Anwendung: 0x01d2c01eb49750e7
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Marvell\storage\php5\ext\mrxparser.dll
Berichtskennung: 2bf1538b-2c12-11e7-a022-902b343f67a5

Error: (04/28/2017 02:56:22 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/28/2017 02:55:26 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: httpd.exe, Version: 2.2.15.0, Zeitstempel: 0x4b8fed95
Name des fehlerhaften Moduls: mv_api.dll, Version: 5.0.0.1016, Zeitstempel: 0x4ffd3c27
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0001a337
ID des fehlerhaften Prozesses: 0x5c4
Startzeit der fehlerhaften Anwendung: 0x01d2c01e9bff3932
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\mv_api.dll
Berichtskennung: f2e5b95a-2c11-11e7-a022-902b343f67a5

Error: (04/28/2017 02:55:24 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: httpd.exe, Version: 2.2.15.0, Zeitstempel: 0x4b8fed95
Name des fehlerhaften Moduls: mrxparser.dll, Version: 1.0.0.18, Zeitstempel: 0x5007de9b
Ausnahmecode: 0xc0000417
Fehleroffset: 0x0019d012
ID des fehlerhaften Prozesses: 0x69c
Startzeit der fehlerhaften Anwendung: 0x01d2c01e9e08868e
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Marvell\storage\php5\ext\mrxparser.dll
Berichtskennung: f180aaf1-2c11-11e7-a022-902b343f67a5

Error: (04/28/2017 02:54:46 PM) (Source: Apache Service) (EventID: 3299) (User: )
Description: The Apache service named  reported the following error:
>>> httpd.exe: Could not reliably determine the server's fully qualified domain name, using 10.10.10.28 for ServerName     .

Error: (04/28/2017 02:53:15 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

Error: (04/28/2017 02:52:17 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: httpd.exe, Version: 2.2.15.0, Zeitstempel: 0x4b8fed95
Name des fehlerhaften Moduls: mv_api.dll_unloaded, Version: 0.0.0.0, Zeitstempel: 0x4ffd3c27
Ausnahmecode: 0xc0000005
Fehleroffset: 0x7499a320
ID des fehlerhaften Prozesses: 0x5cc
Startzeit der fehlerhaften Anwendung: 0x01d2c01e2c7b0170
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe
Pfad des fehlerhaften Moduls: mv_api.dll
Berichtskennung: 81b2a886-2c11-11e7-97d8-902b343f67a5

Error: (04/28/2017 02:52:15 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: httpd.exe, Version: 2.2.15.0, Zeitstempel: 0x4b8fed95
Name des fehlerhaften Moduls: mrxparser.dll, Version: 1.0.0.18, Zeitstempel: 0x5007de9b
Ausnahmecode: 0xc0000417
Fehleroffset: 0x0019d012
ID des fehlerhaften Prozesses: 0x6a0
Startzeit der fehlerhaften Anwendung: 0x01d2c01e2e94f86e
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Marvell\storage\Apache2\bin\httpd.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Marvell\storage\php5\ext\mrxparser.dll
Berichtskennung: 80ed1650-2c11-11e7-97d8-902b343f67a5


Systemfehler:
=============
Error: (05/02/2017 01:47:50 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:52:53 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 6 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:31:13 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 5 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:30:12 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 4 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:29:12 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 3 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:28:12 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/02/2017 11:27:12 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (04/28/2017 02:57:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (04/28/2017 02:55:27 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "MSU Web Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (04/28/2017 02:52:21 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows Event Log Management" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i7-3770K CPU @ 3.50GHz
Prozentuale Nutzung des RAM: 25%
Installierter physikalischer RAM: 16273.81 MB
Verfügbarer physikalischer RAM: 12162.07 MB
Summe virtueller Speicher: 32545.8 MB
Verfügbarer virtueller Speicher: 28647.83 MB

==================== Laufwerke ================================

Drive c: (System) (Fixed) (Total:146.39 GB) (Free:104.62 GB) NTFS
Drive e: (PKBACK# 001) (Removable) (Total:931.51 GB) (Free:147 GB) NTFS
Drive f: (Vetera) (Fixed) (Total:319.28 GB) (Free:116.37 GB) NTFS
Drive m: (Daten HDD) (Fixed) (Total:931.43 GB) (Free:556.93 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 2FDCC7B3)
Partition 1: (Active) - (Size=94 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=146.4 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=319.3 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 931.5 GB) (Disk ID: 00000000)

Partition: GPT.

========================================================
Disk: 2 (MBR Code: Windows 7 or 8) (Size: 931.4 GB) (Disk ID: 18881383)
Partition 1: (Not Active) - (Size=931.4 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
         

Da seh ich noch einiges!

Zitat:

C:\Windows\SysWOW64\NMSAccess32.exe
C:\Windows\SDUIBCFJ\msdtc.exe
C:\Windows\Temp\wininit.exe
C:\Windows\Temp\winsxslog\SystemIISSec.exe
C:\Windows\Prefetch\wuauser.exe
C:\Windows\security\msiexev.exe
C:\Windows\SysWOW64\ntfastuserswitchingcompatibility.dll
C:\Users\Public\rollback.vbs

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

Hier die Links zu den einzelnen Dateien:

Code: Alles auswählenAufklappen

ATTFilter

https://virustotal.com/de/file/4cce820f455512c41e4f98109fa6f048907dd3452d5a00d5f885c77f93c9c105/analysis/1493730329/

https://virustotal.com/de/file/df27669c85d9456781b206bff2339af6228d7502b4fc694c0501df938ef226aa/analysis/1493730666/

https://virustotal.com/de/file/9bb7eac6e44ac8bc84362fa7d28e788c985f1912cc9bbba7a366a3a72f0c77e6/analysis/1493730748/

https://virustotal.com/de/file/c1fee6f3375b891081fa9815c620ad8c1a80e3c62dccc7f24c5afee72cf3ddcd/analysis/1493730830/

https://virustotal.com/de/file/e12220c78a081cb85984f21de59389781d423df593e37f5a625e24dcd872e2df/analysis/1493731450/

https://virustotal.com/de/file/450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f/analysis/1493731556/

https://virustotal.com/de/file/fc09b289d35a6a36af86e4c975278b7e3f735e737dd1feb25c4ecde7f34df823/analysis/1493731803/

https://virustotal.com/de/file/3a5142cee5f8d29f45b613b91b0ad63169e3d61a5db71eb13ddbf11a98cfd6c8/analysis/1493731889/
         

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hier nun der Log des MBAR:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2017.05.02.05
  rootkit: v2017.04.02.01

Windows Server 2008 R2 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Administrator :: SERVER2008 [administrator]

02.05.2017 17:10:14
mbar-log-2017-05-02 (17-10-14).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 309001
Time elapsed: 4 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WELM (Trojan.Agent) -> Delete on reboot. [abb2a76cc3e658ded31563012bd7bf41]

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Windows\Temp\winsxslog\SystemIISSec.exe (RiskWare.BitCoinMiner) -> Delete on reboot. [4e0fec27acfd6bcb91f54145fc043ec2]
C:\Windows\Prefetch\wuauser.exe (Trojan.Agent) -> Delete on reboot. [abb2a76cc3e658ded31563012bd7bf41]

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

Nach der zweiten Ausführung entstand noch folgender Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2017.05.02.05
  rootkit: v2017.04.02.01

Windows Server 2008 R2 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Administrator :: SERVER2008 [administrator]

02.05.2017 17:29:17
mbar-log-2017-05-02 (17-29-17).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 308882
Time elapsed: 4 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Windows\Temp\winsxslog\SystemIISSec.exe (RiskWare.BitCoinMiner) -> Delete on reboot. [233aee253970e155f98de3a3e818ea16]

Physical Sectors Detected: 0
(No malicious items detected)

(end)